KDC : Oznacza centrum dystrybucji klucza, który w Kerberso opisuje jednostkę , która przyznaje bilety klientom
Kensingtona bezpieczne gniazdo : Fizczne złącze znajdowane w laptopach, które jest używane do łączenia blokad i kabli stworzonych przez Kensingtona. Sondaże pokazują , że około 10 procent laptopów biznesowych jest kradzionych co roku, więc zabezpieczenie laptopa jest podstawowym elementem ochrony majątku firmy. Gniazda zabezpieczeń Kensington pozwalają na fizyczne zabezpieczenie laptopa kablami bezpieczeństwa na jednym końcu a na drugim przyłączone do stałej struktury, takiej jak biurko czy ściana.
Kerberos : Protokół uwierzytelniania stworzony prze Massachusetts Institute of Technology. Stworzony w latach 80-tych XX wieku jako metoda uwierzytelniania użytkowników w dużych, rozproszonych sieciach. Używa szyfrowania tahnym kluczem z silnymi kluczami ,tak ,ze klienci mogą zarówno udowodnić swoją tożsamość serwerom a także zapewnić prywatność i integralność ich komunikacji z serwerami. Protokół został nazwany na cześć Cerbera, trzygłowego psa z mitologii greckiej, który strzegł bram Hadesu. Kerberos używa trzech podprotokołów dla swego działania :
• Authentication Service (AS) Exchange : Używany przez centrum dystrybucji klucza (KDC) dla dostarczania klientom biletów uprawniających do usługi (TGT) i klucze sesji logowania
• Ticket-Granting Service (TGS) Exchange : Używany przez KDC dla dystrybucji usługi klucza sesyjnego i ich powiązanych biletów
• Client/Server (CS) Exchaneg : Używany przez klienta do przedstawienia biletu dla dopuszczenia do usługi
Typowa sesja uwierzytelniania między stacją roboczą klienta a serwerem sieciowym wygląda tak:
1.Dane weryfikujące użytkownika są wprowadzane u klienta, co wysyła żądanie do KDC dla dostępu do TGS używając protokołu AS Exchange. Żądanie zawiera szyfrowany dowód tożsamości użytkownika
2.KDC odbiera żądanie, wyszukuje klucz główny użytkownika w usłudze katalogowej Active Directory i deszyfruje informacje o tożsamości zawarte w żądaniu. Jeśli tożsamość została zweryfikowana, KDC odpowiada przez przyznanie użytkownikowi TGT i klucza sesyjnego przy użyciu protokołu AS Exchange
3.Następnie klient wysyła KDC żądanie TGT zawierające wcześniejsze TGT i prosi o dostęp do pewnej usługi na serwerze docelowym używając protokołu TGS Exchange
4.KDC odbiera żądanie, uwierzytelnia użytkownika i odpowiada przez przyznanie użytkownikowi biletu i klucza sesyjnego dla dostępu do serwera docelowego używając protokołu TGS Exchange
5.Klient wysyła potem do serwera docelowego żądanie zawierające bilet przyznany wcześniej używając protokołu CS Exchange. Serwer uwierzytelnia bilet , odpowiada kluczem sesyjnym, a klient może mieć teraz dostęp do serwera
Kerberosa zasady : Zasady Grupy ustawień dla uwierzytelniania Kerberos w Windows 2000. Zasady te definiują ustawienia Kerberosa dla domeny konta użytkownika. Ustawienia te są przechowywane w usłudze katalogowej Active Directory jako część domeny zasad bezpieczeństwa wewnątrz Zasad Grupy w Windows 2000. Zasady Kerberos obejmują ustawienia pokrywające maksymalny czas życia biletu, maksymalny czas życia odnowienia biletu, maksymalną tolerancję synchronizacji zegara komputera i egzekwowanie ograniczeń logowania użytkownika
klucz : Liczba binarna używana w algorytmie szyfrowania. Algorytm szyfrowania jest procedurą matematyczną dla konwertowania tekstu jawnego do tekstu zaszyfrowanego. Dla wyeliminowania konieczności wymyślania nowego algorytmu za każdym szyfrowaniem tekstu, wartość liczbowa zwana kluczem jest używana w połączeniu z tym algorytmem. W ten sposób, szczegóły algorytmu mogą być podane do publicznej wiadomości, podczas gdy klucz może być przechowywany w sekrecie lub nowy klucz może by generowany za każdym razem , kiedy wymagane jest szyfrowanie. Klucze dzielą się na kilka typów:
• Klucze tajne : Zwane również kluczami symetrycznymi, są kluczami używanymi z algorytmami szyfrowania tajnym lub symetrycznym, takimi jak Data Encryption Standard (DES) i Advanced Enryption Standard (AES). Aby użyć takiego algorytmu, obie części sesji komunikacyjnej muszą współdzielić kopię tego samego klucza, co jest czasami nazywane współdzieleniem klucza
• Klucze publiczne i prywatne : Są to klucze używane z algorytmami szyfrowania publicznymi lub asymetrycznymi takimi jak RSA, i zawsze idą w parach, z kluczem prywatnym znanym tylko właścicielowi i kluczem publicznym dostępnym każdemu
• Klucze sesyjne : Są to klucze , których czas życia jest ograniczony do pojedynczej sesji komunikacyjnej lub części sesji. Klucze sesyjne są generalnie kluczami tajnymi , które są tworzone i wymieniane używając algorytmu klucza publicznego dla obu części zaszyfrować sesję komunikacyjną. Klucze są fundamentalne dla komunikacji szyfrowanej, ale klucze mogą być złamane jeśli nie są wystarczająco silne. Siła klucza szyfrującego jest powiązana z jego długością; dłuższy klucz, trudniej go złamać szyfrowanie wykonywane przy użyciu tego klucza. Generalnie dla zachowania tego samego poziomu bezpieczeństwa, klucze dla systemów szyfrowania kluczem asymetrycznym lub publicznym muszą być większe niż te używane dla szyfrowania kluczem symetrycznym lub tajnym.
key distribution center (KDC) [centrum dystrubucji kluczy] : W Kerberos, jednostka, która przyznaje bilety klientom. W standardowej implementacji protokołu Kerberos, KDC hostuje dwie usługi:
• Usługę uwierzytelniania (AS) : Ta usługa emituje ticket-granting tickets (TGT) klientom, którzy muszą łączyć się z ticket-granting service (TGS) w swoich, lub zaufanych domeanch
• Usługa gwarantowania biletów (TGS) : Usługa ta wydaje bilety klientów, którzy mają dostęp do komputerów w swojej lub zaufanej domenie
W implementacji Kerberosa w Microsoft, KDC dla domeny jest umieszczone w domenie kontrolerów z kontem bazy danych Kerberos przechowywanym w usłudze katalogowej Active Directory
klucze mieszane : Połączenie algorytmu mieszającego i tajnego klucza . Algorytm mieszający jest procedurą matematyczną , która generuje z wiadomości wynik o stałym rozmiarze zwany hash. Aby zwiększyć bezpieczeństwo wynikowego hasha, klucz tajny może być połączony z wiadomością przed zastosowaniem algorytmu mieszającego. Wynikiem jest klucz mieszany, który może być wyliczony tylko przez użytkownika, który zna ten klucz. Klucze mieszane są często używane do generowania kodu uwierzytelniania wiadomości (MAC) aby zapewnić integralność wiadomości transmitowanej przez niezabezpieczone media. Nadawca dołącza współdzielony tajny klucz do wiadomości i hashe wynikające z tworzenia klucza mieszanego. Nadawca potem transmituje wiadomość razem z kluczem mieszanym do odbiorcy, który może zweryfikować integralność wiadomości przez stworzenie drugiego klucza mieszanego z wiadomości używając tego samego współdzielonego tajnego klucza i porównując go z kluczem mieszanym wysłanym z widomością. Jeśli te dwa klucze mieszane są takie same, odbiorca może być pewien , że wiadomość nie została naruszona podczas transmisji.
keyed-hash message authentication code [kod MAC z wmieszanym kluczem tajnym] : Inna nazwa dla hash-based maessage authentication code (HMAC), algorytmu kodu uwierzytelniania wiadomości (MAC), który łączy algorytm mieszający z tajnym kluczem
key escrow [deponowanie kluczy] : Dostarczanie trzeciej, zaufanej jednostce kopi kluczy kryptograficznych. Aby zapobiec temu by przestępcy i terroryści komunikowali się przy użyciu szyfrowania, rządy mogą wymagać aby komercyjny sprzęt i oprogramowanie kryptograficzne implementowało depozyt kluczy, metodę która dostarcza organom ściągania "furtkę" do odszyfrowania zaszyfrowanych wiadomości, w razie konieczności. Najprostszą formą depozytu klucza jest to, aby wszystkie klucze master , takie jak klucze prywatne jednostki certyfikującej w Public Key Infrastructure (PKI), miały kopie przechowywane w trzeciej ,zaufanej jednostce , która przechowywałaby te klucze "w depozycie" dla agencji rządowych. Pomysł depozytu kluczy budzi obawy adwokatów, którzy postrzegają ją jako erozję prywatności. Przykładem jest debata na temat chipu Clipper, sprzętowej technologii szyfrowania zaproponowanej przez rząd USA w 1994 roku i zdefiniowanej w FIPS 186 Escrowed Encryption Standard (EES). Clipper jest oparty o na niejawnym algorytmi Skipjack stworzonym przez National Security Agency (NSA), i pierwotnie miał być obowiązkowo włączany do komputerów, modemów, telefonów, telewizorów i innych urządzeń komunikacyjnych. Ponieważ Clipper zwierał wbudowaną technologię escrow, dawało to rządowi i agencjom rządowym bezprecedensową możliwość monitorowania wszystkich form komunikacji elektronicznej. Sprzeciw obywateli, producentów komputerówi przemysłu opóźnil realizację Clippera. Depozyt klucza może być realizowany na różne sposoby:
• Przez przechowywanie kopii całych klucz w depozycie (wyraźny depozyt), aby władze miały bezpośredni dostęp w razie potrzeby
• Przez przechowanie tylko części klucza w depozycie (częściowy depozyt), aby władze musiały dokonać wysiłku obliczeniowego dla odkrycia klucza
• Przez podzielenie klucza na dwie lub więcej części i ich dystrybucję do różnych agentów depozytu (depozyt współdzielony) aby władze musiały wykonać kilka prawnych kroków aby odkryć części i złożyć klucz
• Przez użycie publicznego klucza władz do zaszyfrowania klucza sesyjnego użytego do szyfrowania komunikacji a potem przechowanie zaszyfrowanego klucza sesyjnego w depozycie (hermetyzacja klucza), aby władze mogły deszyfrować każdą pojedynczą sesje, ale nie miały możliwości odszyfrowania całej komunikacji użytkownika
key exchange [wymiana klucza] : Metoda współdzielenia tajnego klucza między dwoma jednostkami. Szyfrowanie symetrycznym (lub tajnym) kluczem wymaga by dwie jednostki współdzieliły ten sam tajny klucz. Główny problem z tym systemem to bezpieczna dystrybucja tajnego klucza, ale są różne sposoby zrobienia tego :
• Poza pasmem: Tajny klucz jest dystrybuowany przy użyciu oddzielnego kanału komunikacyjnego rozpatrywanego jako bezpieczny, na przykład ,przez dostarczenie osobiste, pocztą poleceoną lub inną metodą. Jest to najstarsza metoda i może być kosztowna, ale także bezpieczna i czasochłonna
• Diffie-Hellman (DH) : Szyfrowanie kluczem publicznym jest stosowane do szyfrowania klucza tajnego i przekazania go drugiej stronie. Po odszyfrowaniu, tajny klucz może być potem użyty jako kluczsesyjny dla bezpiecznej komunikacji.
• ANSI X9.17: Ta metoda jest używana w finansach i obejmuje zastosowanie hierarchii kluczy. Na górze są Master Keys (KKM), które są rozprowadzane ręcznie i mają długi okres żywotności. Te KKM′y są potem używane do szyfrowania klucza - kluczy szyfrujących (KK), które są dystrybuowane elektronicznie i maja krótszy czas życia. Kiedy parterzy finansowi mają kopie KK, używają ich do wymiany kluczy danych (DK), które są używane do szyfrowania i deszyfrowania wiadomości dla pojedynczej sesji komunikacyjnej.
key management [zarządzanie kluczami] : Pojęcie opisujące różne procesy stosowane do zarządzania kluczami kryptograficznymi. Klucze są niezbędne w kryptografii, w celu zapobieżeniu aby nieupoważnione podmioty nie przechwyciły, odszyfrowały lub porwąły zaszyfrowanej komunikacji, klucze muszą być właściwie zabezpieczone i odpowiednio zarządzane. Niektóre z kluczowych aspektów związanych z zarządzaniem kluczem obejmują:
• Generowanie klucza : Tworzenie nowych kluczy kiedy są konieczne
• Przechowywanie klucza : Bezpieczne przechowywanie kluczy kryptograficznych
• Dystrybucja klucza : Tworzenie kluczy publicznie dostępnych wszystkim , którzy ich potrzebują
• Wymiana klucza : Metody dla współdzielenia tajnego klucza tak aby dwie części mogły szyfrować komunikację
• Unieważnienie klucza : Mechanizm dla unieważnienia klucza, kiedy zostanie zgubiony lub naruszony
• Odzyskiwanie klucza : Metody dla odzyskania klucza kiedy zostanie zgubiony lub uszkodzony
• Depozyt klucza : Zapewnienie zaufanym jednostkom dostępu do kluczy
key pair [para kluczy] : Matematycznie powiązana para kluczy. Pary kluczy są używane w systemach kryptograficznych klucza publicznego dla , których dwa klucze są niezbędne dla szyfrowania lub cyfrowego podpisu wiadomości, Te dwa klucze w parze kluczy to :
• Klucz prywatny posiadany przez jednsotkę, która jest jego właścicielem i jest znana tylko tej jednostce
• Klucz publiczny zarejestrowany w centrum dystrybucji kluczy (KDC) lub Urzędzie Certyfikacyjnym (CA) i dostępny każdemu kto go potrzebuje. Te dwa klucze są generowane w tym samym czasie. Jednakże, jest obliczeniowo niemożliwe wyłuskanie jednego klucza z drugiego.
key recovery [odzyskanie klucza] : Metoda ponownego stworzenia klucza kryptograficznego jeśli został zgubiony, ukradziony lub uszkodzony. Odzyskiwanie klucza jest zasadniczą częścią zarządzania kluczami dla systemów kryptograficznych, ponieważ jeśli użytkownik zgubi swoje klucze lub zostaną mu skradzione, jego zaszyfrowane dane będą niedostępne. System kryptograficzny obejmuje agentów odzyskiwania kluczy, który może być użyty do przywrócenia zgubionego lub uszkodzonego klucza i odszyfrowania danych. Przykładem takiego systemu jest Encrypting File System (EFS) Microsoft. Termin odzyskiwanie klucza jest czasami używany do opisu depozytu klucza, procesu zapewniającego trzeciej, zaufanej jednostce kopie kluczy kryptograficznych
key ring [pierścień kluczy] : Struktura danych dla przechowywania kluczy publicznych. W pewnych schematach kryptograficznych, użytkownicy mają pierścień kluczy, który zawiera klucze publiczne innych użytkowników z którymi życzą sobie się komunikować zaszyfrowanymi wiadomościami. Pierścienie kluczy mogą również zawierać informacje osobiste o tych użytkownikach i cyfrowe certyfikaty używane do podpisywania dokumentów. Różne poziomy zaufania również mogą być przypisane do każdego klucza lub certyfikatu wewnątrz pierścienia kluczy. Użytkownicy mogą również zezwalać na współdzielenie pierścieni kluczy z innymi użytkownikami dla zbudowania społeczności bazodanowej zaufanych użytkowników. Przykładem systemu kryptograficznego w którym używany jest pierścień kluczy jest Pretty Good Privacy (PGP), popularny schemat szyfrowania używany do wysyłania zaszyfrowanych emaili
key rollover : Zmiana klawiszy podczas kryptograficznej sesji komunikacyjnej. Klucze kryptograficzne generalnie mają trwałą użyteczność, nim staną się podatne na złamanie lub nadużycie. Dlatego większość systemów kryptograficznych powoduje ,że klucze wygasają po upływie jakiegoś czasu. Nawet przy silnych kluczach, może to być dobry pomysł, aby zmieniać klucze często, aby zabezpieczyć się przed atakami, które mogą przechwycić szyfrowaną sesję i spróbować uruchomić atak man-in-the -middle dla przechwycenia sesji. Aby zapewnić najwyższy poziom bezpieczeństwa, klucze mogą być zmieniane wielokrotnie podczas jednej sesji komunikacyjnej między dwoma komputerami. Ten proces zmiany kluczy sesyjnych podczas zaszyfrowanej sesji komunikacyjnej nazywana jest key rollover. Porstym sposobem aby to zrobić jest mieć wybraną losowo wartość dla nowego klucza szyfrowania , na jednym hoście, za pomocą istniejącego klucza sesyjnego, i wysłać go do drugiego hosta, który następnie odszyfrowuje tą wartość i używa jej jako nowego klucza sesyjnego. Jeszcze bardziej bezpiecznym podejściem byłoby użycie wymiany klucza Diffie-Hellmana (DH) dla wysłana nowego klucza do hosta z jednoczesnym ponownym uwierzytelnieniem tego hosta. Inny sposób wykonania key rollover to podzielenie kluczy na kilka części. Na przykład klucz może być podzielony na dwie części, z których większa część jest zmieniana miesięcznie, a mniejsza częściej ,np. co dziennie, lub co godzinę. Inne podejście do key rollover znajduje się w technologii Key Hopping stworzonej przez NextComm dla zwiększenia bezpieczeństwa sieci bezprzewodowych 802.11a i 802.11b. Key Hopping jest implementowany sprzętowo w zintegrowanych chipach produkowanych przez NextComm dla dostawców sieci bezprzewodowych
key search attack [atak metodą wyszukiwania klucza] : Próba odgadnięcia klucza kryptograficznego. Wyczerpujące wyszukiwanie klucza stosuje metdoę brute-force dla kryptoanalizy przez wypróbowanie wszystkicj możliwych kluczy dopóki nie znjadzie się jeden, którym można rozszyfrować dany fragment tekstu zaszyfrowanego Kiedyś, algorytmy takie jak DES były uznawane za odporne na tego typu ataki, które były postrzegane jako obliczeniowo niewykonalne przy użyciu ówczesnego sprzętu. Wraz z rozwojem Internetu potencjał dla rozproszonych zadań wyczerpującego wyszukiwania wzrósł, a przetwarzanie na tysiącach komputerów stało się rzeczywistością. W 1998 roku grupa prowadzona przez Rocke Versera, Matta Curtina i Justina Dolske złamała 56-bitoy klucz DES przy użyciu rozproszonej mocy obliczeniowej użytkowników Internetu.
keyspace [przestrzeń kluczy] : Zakres możliwości dla klucza kryptograficznego. Przestrzeń kluczy jest nazwą nadana zbiorowi wszystkich możliwych wartość dla klucza kryptograficznego. Rozmiar przestrzeni klucza jest powiązana z liczbą bitów w kluczu. Na przykład 56-bitowy klucz DES ma przestrzeń klucza równą 256, co równa się około 7 x 1016 możliwych wartości. Rozmiar przestrzeni klucza jest zatem bezpośrednio powiązana z trudnością złamania systemu kryptograficznego przy użyciu prostego podejścia brute-force.
keystroke logger : Sprzęt lub oprogramowanie dla przechwytywania informacji wprowadzanych z klawiatury. Keystorke logging jest techniką nadzoru, która rejestruje każdy wciśnięty klawisz na klawiaturze. Można ją zaimplementować na dwa sposoby:
• Użycie urządzenia sprzętowego , które jest połączone między klawiaturą a komputerem . Takie urządzenia są zwykle instalowane w środowiskach o wysokim poziomie bezpieczeństwa, aby śledzić co pracownicy robią, aby uniemożliwić im korzystanie ze sprzętu dla celów prywatnych
• Użycie oprogramowania, które może być zainstalowane umyślnie (np. do monitorowania pracowników) lub ukradkiem (np. trojan zainstalowany w celu kradzieży informacji)
klaxon : Narzędzie do wykrywania ataku skanowania portów. Klaxon jest narzędziem stworzonym przez Douga Hughesa z Auburn University, które jest przydatne dla określanie kiedy porty twojego komputera zostały zeskanowane narzędziami takimi jak ISS lub SATAN. Klaxon może wykryć i zapisać połączenia skanowania portów na komputerze na którym jest uruchomiony. Klaxon uruchami się na Linux i różnych platformach UNIX, w tym AIX i Solaris
Knark : Rootkit, którego celem jest platform Linux. Rootkit jest zbiorem narzędzi zainstalowanych przez atakującego na systemach do złamania pozwalając na ponowne wejścia bez wykrycia. Knark jest rootkitem zaprojektowanym specjalnie dla Linuxa, a to co sprawia ,że ten rootkit jest wyjątkowy, to to ,że ukrywa się w jadrze systemu operacyjnego za pomocą Loadable Kernel Modules (LKM) przy instalacji. To sprawia ,że dużo trudniej wykryć go niż inne rootkity, które generalnie zastępują system plików i mogą być wykryte przy użyciu narzędzia do weryfikacji systemu plików.
known plaintext attack [atak znanym tekstem jawnym] : Atak kryptoanalityczny w którym cracker ma parę tekst jawny/tekst zaszyfrowany z którą pracuje. W ataku tym, crkcker już zna tekst jawny jednego lub więcej tekstu zaszyfrowanego. Używając tej informacji, dużo łatwiej jest crakcerowi wydedukować klucz szyfrowania i zdeszyfrować dodatkowe bloki tekstu zaszyfrowanego. Atakujący może uzyskać wymaganą parę tekst jawny / zaszyfrowany w ten sposób:
• Jako wynik starszych danych dopuszczonych do domeny publicznej jako tekst jawny
• Przez dedukcję ,że początkowe bloki transmisji stanowią standardowe nagłówki dokumentów Microsoft Word, e-maili Simple Mail Transfer Protocol lub innych popularnych formatów.
KryptoKnight : System kryptograficznego uwierzytelniania stworzony przez IBM. KryptoKnight ma architekturę uwierzytelniania podobną do protokołu Kerberosa stworzony przez Massachusetts Institute of Technology (MIT). Podczas gdy Kerberos używa centrów dystrybucji kluczy (KDC) dystrybuowanych pośród różnych domen, KryptoKnight używa serwerów uwierzytelniania zarządzających różnymi dziedzinami. Ważną różnicą jest to ,że podczas gdy Kerberos używa algorytmu szyfrowania tajnego klucza takiego jak Data Encryption Standard (DES) dla uwierzytelniania i szyfrowania biletów, KryptoKnight używa funkcji skrótu wiadomości (MD zamiast dla większej wydajności i zgodności kryptograficznej kontroli eksportu.