P3P : Oznacza Platform for Privacy Preferences, mechanism dla dostarczania użytkownikom Internetu prywatności dla ich osobistych informacji identyfikowalnych (PII)
packet filtering [filtrowanie pakietów] : Mechanizm, który blokuj pakiety w oparciu o wcześniej określone zasady. Filtrowanie pakietów jest rodzajem technologii zabezpieczeń używaną do kontrolowania jakie rodzaje pakietów mogą wejść lub wyjść z systemu lub sieci.. Filtrowanie pakietów jest zwykle wyorzystywane do blokowania złośliwego ruchu na podstawie adresu źródłowego , numeru portu , typy protokołu i innych kryteriów. Filtrowanie pakietów jest standardową funkcją większości działających systemów, w tym UNIX/Linux i Windows i większości routerów i firewalli. Filtry pakietów mogą być :statyczne lub dynamiczne. Filtry statyczne określają czy zaakceptować lub zablokować każdy pakiet w oparciu o informację przechowywaną w nagłówku takiego pakiety, takiego jak adres źródłowy lub port przeznaczenia pakietu. Filtry statyczne są zwykle w systemach operacyjnych i routerach i używają szeregu zasad dla określenia losu każdego pakietu. Administratorzy tworzą te zasady jako listę uporządkowaną, a każdy pakiet docierający do filtra jest porównywany do każdej zasady w kolejności, dopóki nie zostanie dopasowany. Jeśli brak dopasowania, domyślna zasada, zazwyczaj odmowa, jest zastosowana. Zasady mogą zaakceptować lub odrzucić pakiety na podstawie informacji nagłówka opisującego źródło, cel i naturę pakietu. Większość filtrów pakietów pozwala na utworzenie dwóch zbiorów zasad, jedne dla ruchu przychodzącego i drugi dla wychodzącego. Filtry dynamiczne działają podobnie do statycznych ale również zachowuje informacje o sesji, które umożliwiają im kontrolowanie dwukierunkowego przepływu pakietów w sesji między dwoma hostami przez dynamiczne otwieranie i zamykanie portów w miarę potrzeb. Dynamiczne filtry są powszechnie implementowane w firewallach gdzie mogą być używane do kontrolowania przepływu ruchu do i z sieci. Na przykład, filtry dynamiczne mogą być konfigurowane tak, że, tylko przychodzący ruch http, który może wejść do sieci jest ruchem w odpowiedzi na żądania klientów http wewnątrz sieci. Aby to zrobić, ruch wychodzący przez port 80 TCP jest dozwolony, co pozwala żądaniom http od klientów wewnątrz sieci na wydostanie się na zewnątrz Internetu. Kiedy wychodzące żądania przechodzą przez filtr, filtr sprawdza pakiety w celu uzyskania informacji o sesji TCP dla tego żądania, a wtedy otwiera port 80 dla ruchu przychodzącego tylko w odpowiedzi na to żądanie. Kiedy nadchodzi odpowiedź http, przechodzi przez port 80 do sieci, a potem filtr zamyka ponownie port 80 dla ruchu przychodzącego. W ten sposób tylko ruch przychodzący protokołu http jest dozwolony dla wejścia do sieci, jest to ruch w odpowiedzi na żądanie http od klientów wewnątrz sieć . Cały pozostały ruchu przychodzącego HTTP jest zablokowany. Takie podejście nie jest możliwe przy filtrze statycznym, który można skonfigurować tylko na zezwolenie lub zablokowanie całego ruchu przychodzącego do portu 80 a nie część takiego ruchu. Zauważ jednak ,że dynamiczne filtrowanie pakietów nie jest niezawodne ponieważ atakujący może przejąć sesję i stworzyć ruch przychodzący, który będzie dopuszczony do sieci. Należy również zauważyć ,że dynamiczne filtrowanie pakietów jest możliwe tylko z pakietami TCP, a nie z pakietami User Datagram Protocol (UDP) lub Internet Control Message Protocol (ICMP) ponieważ UDP i ICMP są protokołami bezpołączeniowymi, które nie ustanawiają sesji dla komunikacji. Kiedy konfigurujemy filtrowanie pakietów routera, najlepiej zacząć od wyraźnej konfiguracji zablokowania wszystkich zasad nawet jeśli ta zasada jest używana domyślnie. Innymi słowy ,zaczynamy od filtru pakietów w całkowicie zablokowanym stanie a następnie stopniowo ją otwieramy do tego stopnia ,aż jest konieczne. Filtrowanie pakietów oparte o numer portów jest zazwyczaj używane dla ochrony systemów przeciwko znany, lub potencjalnym lukom w usługach sieciowych, podczas gdy filtrowanie pakietów oparte o adres źródłowy jest używany do ochrony sieci przeciwko atakom IP spoofing
pakietu modyfikacja : Modyfikowanie informacji przechowywana w pakietach sieciowych. Modyfikacja pakietu jest techniką używaną przez atakujących dla uzyskania kontroli nad systemami docelowymi i sieciami. W typowym scenariuszu , atakujący podsłuchuje połączenie przechwytywania sesji, a następnie modyfikuje informacje zawarte w pakiecie sesyjnym dla złośliwych celów. Najlepszą obroną przeciwko takim atakom jest zazwyczaj szyfrowanie całego ruchu sieciowego przy użyciu IPSec lub podobnego mechanizmu
pacekt replay : Przechwytywanie i wysyłane ponowne pakiety w sieci. Packet replay jest techniką używaną przez atakujących dla uzyskania kontroli sesji komunikacyjnej. Ta metoda zazwyczaj obejmuje przechwytywanie i zapisywanie ruchu między dwoma hostami, analizując pakiety i możliwe modyfikacje niektóre z nich, a następnie wysłanie przechwyconych pakietów z powrotem do strumienia danych, aby przechwycić sesję lub wykonać szkodliwe działanie. Packet replay jest często stosowany do złamania sekwencji uwierzytelniania przez umożliwienie atakującemu powtórzenia przechwycenia pakietów aby stały się uwierzytelnione przez niczego nie spodziewającego się hosta lub sieci. Istnieją różne sposoby zabezpieczenia systemów komunikacji przeciwko atakom packet replay. Pakiety znaczników czasowych i śledzenie sekwencji liczb odebranych może zapobiec takim atakom , podczas gdy szyfrowanie sesji uwierzytelnienia może zapewnić dodatkową obronę przeciwko packet replay. Protokoły takie jak Internet Protocol Security (IPSec) również obejmują specjalne pola w pakietach , które mają unikalne wartości dla każdego związku bezpieczeństwa lub bezpiecznej sesji komunikacyjnej i pomagają zapobiegać przed wykonaniem ataków packet reply
padding [wypełnienie] : Technika używana w kryptografii dla uproszczenia operacji algorytmu szyfrowania. Wypełnienie jest używane w szyfrach blokowych i innych algorytmach szyfrowania dla dodawania bitów do wiadomości tekstu jawnego aby uczynić je liczbami całkowitymi pełnych oktetów (bajtów) lub nawet podzielne przez jakąś liczbę. W skrócie wiadomości 5 (MD5), na przykład, wiadomość jasnego tekstu musi być dokładną wielokrotnością 512 bitów (64 bitów) przed zastosowaniem algorytmu, i jest to osiągnięte przez dodanie na końcu pojedynczego bitu "1" po którym występują bity "0" dopóki wiadomość jest o 64 bitów mniejsza od wielokrotności 512. Wtedy 64 bitowa wartość , która jest funkcją liczą bitów w oryginalnej (niewypełnionej) wiadomości jest dodatkowo dołączany dając wiadomość wypełnioną , która jest dokładną wielokrotnością 512 bitów. Wypełnienie jest używane w wielu innych protokołach dla podobnych celów. W Kerberos, na przykład, wypełnienie jest dołączone po polu Timestamp dla zapewnienia ,że wiadomości Kerberos są dokładną wielokrotnością64 bitów (8 oktetów) tak więc mogą być łatwo szyfrowane dla bezpiecznej transmisji.
Palladium : Dawna nazwa dla Next-Generation Secure Computing Base for Windows, zbiór funkcji dla kolejnych wersji systemu operacyjnego Windows, który zapewnia większe bezpieczeństwo danych, prywatność i integralność systemu.
PAM : Oznacza pluggable authentication module, model Unix dla architektury rozszerzonego uwierzytelniania.
PAP : Oznacza Password Authentication Protocol, protokół uwierzytelniania zdalnego dostępu wspierany przez Point-to-Point Protocol (PPP)
parkingowy atak : Inna nazwa wardrivingu, technik znajdowania słabo zabezpieczonych sieci bezprzewodowych
Passfilt.dll : Używany do poprawy bezpieczeństwa hasła w systemach na platformie Microsoft Windows NT. Passfilt.dll został zawarty w systemie Windows NT 4.0 z dodatkiem Service Pack 2 w celu zwiększenia siły haseł używanych do zabezpieczenia konta użytownika. Kiedy Passfilt.dll jest zarejestrowany w systemie, modyfikuje zasady haseł w celu zapewnienia ,że wszystkie hasła są długości co najmniej sześciu znaków i nie zawiera żadnej części nazwy użytkownika. Passfilt.dll wymusza złożoność hasła przez wymóg ,że wszystkie hasła zawierająco najmniej trzy z poniższych typów znaków : małe litery, wielkie litery, cyfry i znaki alfanumeryczne. W późniejszych wersjach Windows ta funkcjonalność została wbudowana w system operacyjny i jest zarządzany przez Lokalne Zasady Bezpieczeństwa.
pasywny atak : Forma ataku , który nie modyfikuje ruchu sieciowego. Atak pasywny jest zasadniczo "atakiem nasłuchiwania" w którym atakujący "nasłuchuje" (przechwytuje) ruch sieciowy ale nie modyfikuje pakietów lub wstawia nowe pakiety od strumienia ruchu, Ataki pasywne są "niewidoczne" w naturze i są zatem trudne do wykrycia przez administratorów monitorujących bezpieczeństwo systemów lub sieci. W przeciwieństwie, aktywny atak jest atakiem, który obejmuje bezpośrednią ingerencję w ruch sieciowy poprzez przekazywanie, modyfikowanie lub odtwarzanie pakietów.
passphrase [hasło] : Wyrażenie lub zdanie używane podobnie jako hasło. Niektóre aplikacje, takie jak narzędzia do szyfrowania stosują passphrase zamiast haseł. Passphrase może generalnie dowolnej długości i może zawierać spacje i może nawet wyrażać sens jako zwykłe zdanie. Jedyna rzeczywista różnica między passphrase a hasłami jest długość ponieważ typowe hasła stosowane przez użytkowników są zwykle długości od 6 do 12 znaków aby były łatwe do zapamiętania. Narzędzia szyfrowania takie jak Pretty Good Privacy (PGP), zwroty hasła są używane dla generowania unikalnych kluczy sesyjnych dla szyfrowania wiadomości. Takie passphrase generalnie są długie (50 do 100 znaków) aby zapewnić ,że klucze wynikowe są wystarczająco silne aby oprzeć się atakom brute-force dla ich złamania. Passphrases dla szyfrowania wiadomości powinny być łatwe dla użytkownika do zapamiętania, ale trudne dla odgadnięcia dla innych. Najbezpieczniejsze zwroty passphrase to , oczywiście, łańcuchy losowo generowanych znaków, ale ludzie generalnie nie pamiętają łańcucha 50 lub 100 losowych znaków.
Passprop : Narzędzie dla poprawy bezpieczeństwa w Microsoft Windows NT. Passprop jest narzędziem wiersza poleceń. Z tym narzędziem, administratorzy mogą poprawić bezpieczeństwo sieci opartych na Windows NT poniższymi metodom
• Egzekwowanie złożoności hasła w celu zapewnienia aby hasło zawierało mieszaninę dużych i małych liter, cyfr i symboli
• Włączenie domyślne konta Administratora aby zalogować się interaktywnie na wszystkich komputerach z wyjątkiem kontrolerów domeny
password [hasło] : Łańcuch znaków używany do weryfikacji tożsamości użytkownika logującego się do aplikacji, systemu lub sieci. Hasła są podstawowym elementem bezpieczeństwa większości systemów i sieci. Są one również głównymi celami hakerów próbujących się włamać i naruszyć takie systemy. Podstawową cechą jest to ,że systemy chronione hasłem są dłuższe i bardziej złożone, i są bezpieczniejsze przed złamaniem. Ale jest także zasadnicza słabość takich systemów, ponieważ długie i skomplikowane hasło jest trudniejsze do zapamiętania, i bardziej prawdopodobne będzie to ,że użytkownicy będą wystawiać swoje hasła na nadużycia w jakiś sposób. Na przykład, większość użytkowników ma trudności z zapamiętaniem hasła takiego jak "t6Aq79J4rkM" ,a zatem może zapisać je na karteczce i trzymać gdzieś pod klawiaturą lub na dnie szuflady. Problem jest taki ,że jedną z pierwszych rzeczy jaką social engineer (atakujący który uzyskuje fizyczne dojście do firmy) zazwyczaj robić to sprawdzenie klawiatury i szuflad szukając ukrytych haseł, a kiedy hasło zostanie znalezione taki atakujący może użyć go dla uzyskania dostępu do wrażliwych informacji przechowywanych w sieci firmowej. Hasła są więc na ogół kompromisem między bezpieczeństwem a użytecznością, a większość użytkowników wybiera hasła , które są długości od 6 do 10 znaków.
Password Authentication Protocol (PAP) : Protokół uwierzytelniania zdalnego dostępu wspieranego przez Point-to-Point Protocol (PPP). Password Authentication Protocol (PAP) jest najprostszym protokołem uwierzytelniania wspieranym przez PPP i przenoszącym dane użytkownika (nazwę i hasło) przez połączenie tekstem jawnym. W rezultacie PAP jest mniej bezpieczną metodą uwierzytelnienia PPP i generalnie nie powinny być używane chyba że klient i serwer nie mogą negocjować bardziej bezpiecznego protokołu uwierzytelnienia jak CHAP czy MS-CHAP. Jak wskazano w RFC 1334, wsparcie dla PAP jest obowiązkowe w PPP ale w praktyce jest to zwykle potrzebne tylko dla połączenia starszych serwerów dostępu opartych na Unix, które nie wspierają innych metod uwierzytelniania
password-based encryption (PBE) [szyfrowanie z wykorzystywaniem hasła] : Metoda generowania klucza kryptograficznego z hasła. Algorytm szyfrowania z wykorzystaniem hasła (PBE) jest schematem , który używa haseł dla generowania tajnych kluczy dla celu sekretności i integralności danych. Algorytmy PBE są powszechnie używane dla bezpiecznego przechowywania plików lub dla ochrony przechowywania klucza prywatnego użytkownika w systemie, ale są one również używane dla szyfrowania i podpisania elektronicznych wiadomości. Dwa standardy kryptografii klucza publicznego (PKCS) z RSA Security, PKCS #5 i #12 definiujące algorytmy PBE , które mogą być używane dla generowania tajnych kluczy z haseł. W typowym schemacie PBE , hasło użytkownika jest łączone z salt, pseudolosową liczbę używaną dla powiększenia przestrzeń możliwych haseł dla zredukowania podatności algorytmu na wyszukiwanie klucza brute force. Połączenie hasła i salt jest wtedy hashowanie przy użyciu algorytmu hashowania takiego jak skrót wiadomości 5 (MD5) lub Secure Hash Algorithm-1 (SHA-1) dla stworzenia tajnego klucza używanego do szyfrowania. W pewnych schematach taka funkcja hashowania jest stosowana iteracyjnie klika razy w celu uczynienia trudniejszym do złamania klucza wynikowego. Po wygenerowaniu klucza , można zastosować go ze standardowym algorytmem szyfrowania kluczem symetrycznym takim jak Data Encryption Standard (DES) dla szyfrowania informacji, które mają być chronione.
password cracking [łamanie hasła] : Odgadywanie hasła do aplikacji lub systemu aż do poprawnego jego znalezienia. Ponieważ hasła tworzą jedną z podstaw bezpieczeństwa dla większości systemów i sieci, odgadnięcie lub "złamanie" hasła jest wysoko na liście priorytetów atakujących którzy próbują się włamać i naruszyć takie systemy. Łamanie hasła może być wykonane na dwa sposoby
• Online : takie podejście generalnie obejmuje "sniffowanie" ruchu sieciowego dla przechwycenia sesji uwierzytelnienia i próby wydobycia hasła z przechwyconych informacji. Zazwyczaj jest to powolne i trudne do osiągnięcia, ale są dostępne narzędzia które są specjalnie zaprojektowane do sniffowania haseł z ruchu sieciowego
• Offline : jest to preferowana metoda i wymaga naruszenia systemu przez pewne exploity dla uzyskania dostępu do pliku z hasłami oraz bazy danych, a następnie uruchomienie narzędzia nazwanego pssword cracker dla próby odgadnienia poprawnych haseł dla kont użytkowników. Łamanie offline może być wykonane na naruszonych maszynach lub plik z hasłami zostanie "przechwycony" i skopiowany na maszynę umieszczoną poza naruszoną sieci dla późniejszego złamania.
Niektóre robaki mogą automatycznie pobrać hasła z zainfekowanych systemów. Password crakcer używa dwóch technik :
• Atak słownikowy: Obejmuje wypróbowanie wszystkich słów w słowniku (lista słów typowo używanych w hasłach) aby zobaczyć czy można znaleźć poprawne dopasowanie. Wyrafinowane password cracker również reguł dla generowania złożonych kombinacji i wariacji słów w słowniku, na przykład przez systematyczne rozróżnianie między małym a dużymi literami lub dołączanie prostych łańcuchów numerycznych jak "123" na końcu słowa. Połączenie podejścia słownikowego i opartego o reguły jest często nazywany atakiem hybrydowym
• Atak brute-force: kiedy atak słownikowy nie pomaga, brute-force jest zazwyczaj jedyną alternatywą. Atak brute -force polega na wypróbowaniu wszystkich możliwych kombinacji liter, cyfr i znaków specjalnych, aby wygenerować wszystkie możliwe hasła o każdej możliwej długości tak długi jak hasło nie zostanie znalezione lub program albo atakujący nie zrezygnuje.
Łatwość łamania haseł zależy od różnic między platformami i systemami. Systemy takie jak Windows Serwer 2003 przechowują hasła w bezpiecznej zaszyfrowanej formie. Aby złamać takie hasła zazwyczaj wymaga to minimalnego fizycznego dostępu do systemu przy użyciu danych administratora, a nawet wtedy brute force jest zazwyczaj jedynym podejściem dla wyodrębniania haseł. Aplikacje użytkownika takie jak pakiet biurowy można chronić hasłem, a te są na ogół łatwiejsze do złamania niż hasła kont użytkowników. Starsze platformy takie jak Windows 95 przechowywały informacje o hasłach w plikach .pwl które był słabo szyfrowane i łatwe do złamania
password grinding [mielenia hasła] : Ręczne próby odgadywania haseł dla aplikacji, systemów lub sieci. Password grinding jest prymitywną formą łamania haseł w której atakujący po prostu próbuje logować się powtarzalnie na maszynie docelowej, próbując różnych haseł dopóki albo nie zgadnie prawidłowego albo system zostanie zablokowany przed atakującym.
password hash : Przechowywanie haseł w zaszyfrowanej formie. Password hashing jest mechanizmem bezpieczeństwa , który używa szyfrowania dla ochrony haseł z nieautoryzowanego widoku Algorytm hashowania konwertuje hasła do formy nierozpoznawalnej tak że jeśli atakujący uzyska kopię pliku haseł, będzie mu dużo trudniej atakującemu odzyskać oryginalne hasła. Hasła hashowane są używane w schemacie uwierzytelniania wyzwanie-odpowiedź takim jak NTLM dla bezpieczeństwa uwierzytelniania użytkowników bez przesyłania hasła.
EAP : Oznacza Extensible Authentication Protocol, rozszerzenie zabezpieczeń dla Point-to-Point Protocol (PPP)
password policy [zasady haseł] : Zasady egzekwowane przez system operacyjny w zakresie atrybutów haseł dla kont użytkowników. Większość systemów operacyjnych zawiera wsparcie dla zasad haseł , funkcji, która pozwala administratorom konfigurować jakie formy haseł są akceptowalne dla kont, i jak te hasła są zarządzane. Lokalne Zasady Bezpieczeństwa można skonfigurować z następującymi ustawieniami zasad haseł
• Minimalna dozwolona długość hasła password recovery [odzyskiwanie hasła] : Inna nazwa dla password cracking , zgadywanie hasła dla aplikacji lub systemu dopóki nie zostanie znalezione. Zazwyczaj używane w kontekście legalnej działalności password shadowing : Technika używana n platformie Unix dla ukrywania położenia hasła. W systemach Unix hasła użytkownika, wraz z nazwami użytkowników i innymi informacjami dotyczącymi użytkowników, są przechowywane w pliku o nazwie /etc/passwd Jednym z głównych celów atakujących próbujących naruszać takich systemów jest "przechwycenie" pliku passwd a potem próba złamania haseł w nim zawartych. Password shadowing oddziela poufne informacje (takie jak hasła) w tym pliku od informacji publicznych (takich jak nazwa użytkownika) i przechowuje poufne informacje w innym pliku nazwanym pliku shadow Uprawnienia do tego pliku są potem konfigurowane jako odczytywalne tylko dla roota, co oznacza , że root (superużytkownik) ma dostęp do jego zawartości, czyniąc go bardziej bezpieczniejszym niż plik passwd, do którego każdy ma dostęp. patch [łatka] : Poprawka dla wady lub błędu w aplikacji lub systemie operacyjnym. Łatki są poprawkami oprogramowania wydanymi przez sprzedawców w celu skorygowania błędów w oprogramowaniu, które mogą prowadzić do utarty lub uszkodzenie danych .Niektóre wady w produktach są podatne na naruszenie przez atakujących, w którym to przypadku są łatki bezpieczeństwa wydawane w celu skorygowania problemów. Duża liczba poprawek zabezpieczeń wydawanych przez producentów nie oznacza ,że produkt został źle zaprojektowany. Zamiast tego, oznacza ,że wykazują czujność ze strony dostawcy oprogramowania w odpowiedzi na stale rosnący poziom ataków z Internetu. Niemniej, zarządzanie poprawkami staje się głównym problemem wielu przedsiębiorstw, jeśli należy wdrożyć nowe łatki w dużej liczbie systemów w odpowiednim czasie dla zwiększenia bezpieczeństwa sieci. Jednym z przykładów narzędzi do zarządzania łatkami jest Software Update Service (SUS) , narzędziu Microsoft dla wdrażania krytycznych aktualizacji oprogramowania w sieci, zawierającej komputery z systemem Windows PBE : Oznacza password-based encryption, metoda dla wygenerowania klucza kryptograficznego z hasła. PCBC : Oznacza plaintext cipher block chaining, szyfr blokowy używany w uwierzytelnianiu Kerberos. PCT : Oznacza Private Communivation Technology, protokół dla dostarczania prywatnej komunikacji przez Internet. PEAP : Oznacza Protected Extensible Authentication Protocol, protokół uwierzytelnienia stworzony przez CISCO dla sieci bezprzewodowych Projekt Peekabooty : Projekt rozwoju oprogramowania dla obejścia ograniczeń cenzorskich w Internecie. Według niektórych szacunków, wiele krajów cenzoruje niektóre części sieci World Wide Web swoim obywatelom. Jest to robione przez konfigurowanie firewalli u dostawców Internetu aby uniemożliwić użytkownikom dostęp do niektórych Uniform Resource Locators (URL) i przez monitorowanie ruchu i treści, które są sprzeczne z prawem lub praktykami danego kraju, Peekabooty Project jest projektem dla rozwoju sieci peer-to-peer (P2P) , które mogą pozwolić obywatelom w tym kraju na tajny dostęp do tych treści cenzurowanych przez władze. Peekbooty został pierwotnie opracowany przez Hacktivismo, grupę hackerów sprzeciwiającą się wszelkim formom cenzury w Internecie, założona przez członka Cult of the Sead Cow (cDc). Jest to projekt open source udostępniany na licencji GNU Public License (GPL). Peekbooty składa się z oprogramowania P2P, które znajduje się na komputerach chętnych użytkowników w całym Internecie. Komputery te działają jako proxy dla przekazywania zawartości do użytkowników poza firewalle w lokalizacjach, gdzie taka zawartość jest zakazana. Aby uzyskać dostęp do zabronionych stron WWW, użytkownik wprowadza adres do każdego węzła Peekbooty (komputer z uruchomionym oprogramowanie Peekbooty P2P) poza firewallem. Węzły Peekbooty pobiera zawartośći zwraca ją użytkownikowi w postaci zaszyfrowanej w połączeniu Secure Sockets Layer (SSL). Aby korzystać z Peekbooty, użytkownicy nie muszą instalować żadnego oprogramowania na swoich komputerach (zainstalowanie takiego oprogramowania może być interpretowane przez władze jako akt nieleglny i użytkownicy mogą popaść w kłopoty). Wszystko co muszą zrobić użytkownicy ,aby korzystać z Peekbooty, to konfiguracja ustawień proxy w swoich przeglądarkach aby przekazywać żądania URL;i do węzłów Peekbooty w Internecie. PEM : Oznacza Privacy Enhanced Mail, schemat dla zapewnienia prywatności wysyłania e-mail przez Internet. penetracyjne testowanie : Testowanie bezpieczeństwa obronności sieci. Konfiguracja sieci jest tak bezpieczna jest jak jedna rzecz; testowanie konfiguracji aby zobaczyć czy są bezpieczne jak inne. Testowanie penetracyjne jest ważną częścią bezpieczeństwa sieciowego i obejmuje testowanie różnych aspektów obrony sieci aby zobaczyć czy naprawdę działają. Testy penetracyjne mogą odkryć różne słabości w obronie sieci , w tym wrażliwe usługi , słabości proceduralne, nieefektywne reguły i problemy konfiguracyjne . Testy penetracyjne mogą testować każdy aspekt sieci w tym wewnętrzne sieci LAN< serwery, stacje robocze, linie dzierżawione WAN , firewalle, systemy operacyjne i aplikacje. Są dwa sposoby wykonania testów penetracyjnych w sieci:
• Zdalne testy penetracyjne : próbują odkryć słabości w obronie spoza sieci. Można to zrobić albo bez wcześniejszej wiedzy o konfiguracji sieci (brak informacji z testów penetracyjnych) lub w połączeniu z dokumentacją sieci dostarczoną przez firmę ,której sieć jest w fazie testów perfect forward secrecy (PFS) [doskonała tajność przekazu] Właściwość schematu szyfrowania , który sprawia ,że trudno go przełamać. Jeśli schemat szyfrowania ma doskonałą tajność przekazu (PFS), atakujący nie może przełamać sesji komunikacyjnej nawet jeśli może podsłuchiwać aby uzyskać transkrypcję całej konwersacji i również włamać się do każdej części systemy i ukraść ich tajemnice. Typowy schemat szyfrowania , który ma PFS to te , które używają kluczy sesyjnych z poniższymi charakterystykami : perimeter network [sieć obwodowa] Inna nazwa strefy zdemilitaryzowanej (DMZ) , wyizolowanego segmentu sieci a punkcie gdzie sieci korporacyjne spotykają się w Internecie permission [uprawnienie] : Zasady regulujące sposób w jaki można uzyskać dostęp do obiektów takich jaki pliki. Uprawnienia są istotnym elementem bezpieczeństwa aplikacji, systemów i sieci. Uprawnienia są używane do kontroli kto ma dostęp do obiektów i na jakim poziomie. Typy obiektów , które są zazwyczaj zabezpieczone przy użyciu uprawnienia obejmują poliki, drukarki i obiekty przechowywane w katalogach. Uprawnienia są zazwyczaj albo dozwolone albo zabronione, z uprawnieniami odmowy zazwyczaj uchylane uprawnieniami nadrzędnymi. Na przykład, jeśli użytkownik należy do grupy, i ma on uprawnienia z dostępem do obiektu podczas gdy grupa nie, użytkownik zazwyczaj nie będzie miał dostępu do obiektu. Poziomy uprawnień czasami kumulują się , tak ,że użytkownik ,który wyraźnie ma pełną kontrolę uprawnień nad plikiem ma domyślnie mniejsze uprawnienia do odczytu. personalne dane : Informacje dotyczące tożsamości osoby personal identification device (PID) [identyfikator osobisty] : Urządzenie używane do ustalania tożsamości osoby. PID'y zazwyczaj są używane do uwierzytelniania użytkowników aby mieli dostęp do systemów lub sieci.. PID'y są zazwyczaj małymi urządzeniami , które łatwo mogą być przenoszone; przykładem mogą być od być karta plastikowa z paskiem magnetycznym do podręcznych przedmiotów zawierających osadzone układy pamięci czy biometryczne skaner odcisków palców . PID może zawierać wszystko, od nazwiska osoby, numer REGON, numer paszportu itd. PID'y są często używane w połączeniu z hasłami lub PIN'ami, więc w razie jego zgubienia, nie będzie przydatny osobom nieupoważnionym. personal identyfication numer (PIN) [osobisty numer identyfikacyjny] : Unikalny identyfikator używany razem z osobistym urządzeniem identyfikacyjnym (PID). Osobiste numery identyfikacyjne (PIN) są wykorzystywane do ochrony bezpieczeństwa PID, zapewniającą dodatkowo dowód ,że osoba próbująca użyć PID jest w rzeczywistości uprawnionym właścicielem. Kody PIN są znane tylko osobom , które są właścicielami PID, i nigdy nie powinny nikomu być ujawnione. Kody PIN to zazwyczaj cyfry od czterech w górę; długość liczb jest często charakterystyczna dla używanego PID'u. PIN pomaga zapewnić ,że dane osobowe przechowywane w PID pozostaje prywatne i nie wpadną w nieautoryzowane ręce. personalne informacje : Inna nazwa danych osobowych, informacje dotyczące tożsamości osoby. personally identifiable information (PII) [informacje umożliwiające identyfikację osoby] : Informacje dotyczące tożsamości osoby . Dane osobowe (PII) to termin używane w administracji , finansach i reklamie dla odniesienia się do danych osobowych zbieranych i służących do weryfikacji. PFS : Oznacza perfect forward secrecy, właściwość schematu szyfrowania , który czyni go trudniejszym do złamania. PGP : Oznacza Pretty Good Privacy, popularną technologię szyfrowania e-mail. pishing : Namówienie kogoś do przekazania hasła lub innych poufnych informacji. Podczas łamania haseł ,całkowicie technicznym podejściem dla uzyskania hasła użytkownika , podejście inżynierii społecznej, często szybsze, łatwiejsze i mające wyższy wskaźnik powodzenia. Przeprowadzono badania i okazało się że cztery na pięć osób pracujących w firmie byłoby skłonnych podać swoje hasło, jeśli poprosiłoby się je we właściwy sposób. To wyraźnie wskazuje na fakt ,że bezpieczeństwo w sieci to więcej niż problem techniczny jedne osoby lub administratora sieci. phreaking [łamanie zabezpieczeń sieci telefonicznej] : Hackowanie i crackowanie sieci telefonicznych i telekomunikacyjnych. Phreaking stał się popularny w latach 60-tych w XX wieku, kiedy pierwsi hackerzy , motywowani głównie ciekawością techniczną, zaczęli badać sieć telefoniczną. Wkrótce "phreakerzy" nauczyli się odwzorowywać różne przełączniki i linie telefoniczne i nauczyli się oszukiwać system zapewniającą im bezpłatne połączenia międzymiastowe przy użyciu prostego gwizdka zawartego w płatkach Cap'n Crunch (gwizdek generował dźwięk o częstotliwości 2600 Hz, która była częstotliwością używaną do wyzwalania tonu przełącznika telefonicznego). Ogólną ideą nie była kradzież usług firmy telefonicznej, ale określenia sprawności technicznej i odkrywania tajemnic dotyczących tej technologii. Jedną z popularnych działań w latach 70-tych XX wieku było budowanie urządzeń dla oszukiwania systemów telefonicznych dla wykonywania różnych działań, physical security [fizyczne bezpieczeństwo] : Zabezpieczenie systemów komputerowych poprzez fizyczne ich wyodrębnienie i ochronę. Bezpieczeństwo fizyczne jest niekiedy zaniedbywanym aspektem bezpieczeństwa sieciowego , ponieważ jest postrzegane jako "niskie" w porównaniu z innymi aspektami obronnych sieci. Bezpieczeństwo sieciowe może być tak prosta jak umieszczenie kluczowych serwerów w bezpiecznym miejscu aby zabezpieczyć się przed nieautoryzowanym dostępem. Chociaż wiele firm inwestuje w ochronę swoich sieci przed atakami z zewnątrz, ataki wewnętrzne przez niezadowolonych pracowników lub intruzów , którzy potajemnie weszli dzięki technikom inżynierii społecznej mogą faktycznie stanowić większe zagrożenie dla bezpieczeństwa i integralności systemów informatycznych przedsiębiorstw. Przez proste odblokowanie serwerowni, atakujący może być w stanie uruchomić serwer z CD i uzyskać dostęp do krytycznych danych lub zainstalować backdoor dla niewidocznej zdalnej kontroli zasobów sieciowych. Bezpieczeństwo fizyczne może obejmować część lub wszystkie poniższe działania, w zależności od stopnia wymaganego bezpieczeństwa PIC : Oznacza Pre-IKE Credential , proponowane zastępstwo dla protokołu Internet Key Exchange (IKE) pilfering [podkradanie] : Zbieranie tyle informacji jak to możliwe po naruszeniu systemu lub sieci. Kiedy został wykonany exploit, podkradanie jest tą działalnością wykonywaną przez atakującego, który naruszył system lub sieć, Celem zazwyczaj nie jest kradzież danych firmy (chyba ,że był to pierwotny zamiar ataku), ale uzyskanie skrótów haseł i innych informacji ,które mogą być wykorzystane później, aby umożliwić atakującemu złamanie innych systemów w sieci. Kolejnym etapem po podkradaniu jest zwykle instalowanie backdoora, ukrytego mechanizmu umożliwiającego atakującemu ponowne wejście do systemu bez koniczności ponownego wykonywania exploitu, Po zainstalowaniu backdoora , atakując wyciera logi dziennika aby usunąć dowody ataku a potem przechodzi do ataku na inne systemy. ping : Narzędzie ,które weryfikuje integralność połączenia. Polecenie Ping jest jednym z pierwszych poleceń jakiego używa się przy rozwiązywaniu problemów komunikacyjnych w sieci TCP/IP. Aby użyć Ping, otwieramy wierz poleceń i wpisujemy ping a następnie albo adres IP albo w pełni kwalifikowaną nazwę (FQDN) hosta, dla którego chcesz przetestować połączenie sieciowe. Pakiety echa ICMP są wtedy transmitowane do hosta, i jeśli połączenie działa , odebrana jest równa liczba echa odpowiedzi. Odpowiedzi pokazują rozmiar pakietu w bajtach, czas reakcji w milisekundach i Time to Live (TTL) echa odpowiedzi. TTL jest zmniejszane dla każdego przeskoku po drodze i wskazuje liczbę routerów przez które przechodził pakiet. Wiele firewalli, routerów i odrzucone pakiet ICMP nie odpowiadają na Ping. Zmniejsza to prawdopodobieństwo ,że crakcerzy je znajdą. Pakiety echa ICMP są używane w wielu atakach , w tym ping flood i ping of death. Najlepszym sposobem dla zabezpieczenia się przeciw takim atakom, jest upewnienie się ,ze systemy są na bieżąco aktualizowane. ping flood Floodowanie systemu lub sieci echo request Internet Control Message Protocol (ICMP). Ping flood jest jednym z najwcześniejszych ataków tylu denial of service (DoS) u obejmuje wysyłanie dużej liczby pakietów echo request ICMP dla hosta docelowego lub sieci. Jeśli przepustowość atakującego jest znacząco większa niż celu, sieć może stać się nasycona w odpowiedzi na żądania i połączenia poprawnych użytkowników są odrzucane. Ping flood został użyty do ataków na strony WWW, serwery IRC, firewalle i inne hosty połączone z siecią. Atakujący zazwyczaj używają takich narzędzi jak Smurf, który może wysyłać dużą liczbę żądań równocześnie używając fałszywych adresów źródłowych, co czyni je trudniejszymi do śledzenia. Filtrowanie adresów źródłowych pakietów przychodzących i całkowite blokowanie ruchu ICMP są metodami zazwyczaj używanymi do działania z takimi atakami. ping of death : Powodowanie awarii systemów docelowych przez wysyłanie żądania usług ping. Atak ping of death pojawił się pod koniec 1996 roku i wykorzystywał słabości w konstrukcji protokołów Internetowych .Standard TCP/IP ograniczał dopuszczalny rozmiar pakietów do 65 535 bajtów, ale przez stworzenie większego pakietu i pofragmentowanie go na kilka części, atakujący może zawiesić host TCP/IP połączony z Internetem. Działa to w ten sposób : kiedy fragmenty dochodzą do celu , cel próbuje go złożyć w całość, ale ponieważ wynik przekracza bufor docelowego stosu TCP/IP , powodując warunek błędu. W zależności od tego czy celem jest system komputerowy, router , drukarka sieciowa czy jakieś inne urządzenie TCP/IP , cel albo będzie zawieszony, ulegnie awarii lub zrestartowany. Inetrnet Control Message Protocol (ICMP) był pierwszym protokołem TCP/IP używanym do wykorzystania tej kwestii ponieważ wczesne implementacje narzędzia ping pozwalały konstruować echo request ICMP (legalne pakiety ping mają tylko 64 bajty długości). Późniejsze protokoły TCP/IP takie jak User Datagram Protocol (UDP) zostały wykorzystane do podobnych celów. ping sweep : Metoda dla footprintingu sieci używając echo request Internet Control Message Protocol (ICMP). Ping sweeping jest techniką skanowania , która używa żądania pingowania dla próby określenia czy hosty są aktywne i nasłuchują w sieci. Ping sweep generuje szereg żądań pingowania adresowanych do wybranego zakresu adresów Internet Protocol (IP). Adresy , które odpowiadają komunikatom ICMP zwykle są obecne, podczas gdy adresy które nie odpowiadają są traktowane jako nieużywane. Chociaż narzędzie ping dołączone do Windows jaki i Unix/Linux jest poprawnym narzędziem do testowania sieci, ping sweep generalnie stosuje bardziej zaawansowane narzędzia, które mogą być automatycznie skanować cały zakres adresów i wykonują inne rodzaje testów dla enumerowania hostów, które są wykryte. Liczba narzędzi jakie mogą być użyte do wykonania ping sweep w zdalnych sieciach, w tym Fping, Gping, Nmap, Pinger, Ping Sweep i Rhino9. PKCS : Oznacza public key cryptography standards, szereg specyfikacji dla implementacji Public Key Infrasturcture (PKI) PKCS #7 : Specyfikacja składni wiadomości kryptograficznych. Jest najszerzej implementowanym de facto standardem PKCS wydanym przez RSA Security. PKCS #7 stanowi podstawę standardu Cryptographic Message Syntax (CMS) RFC 2630, który określa sposób uwierzytelniania, skrótu, szyfrowania i podpisu cyfrowego wiadomości. Użycie PKCS #7 obejmuje żądania certyfikatów dla Public Key Innfrastructure (PKI) i podpisów cyfrowych dla standardu bezpieczeństwa wiadomości Secure/Multipurpose Internet Mail Extensions (S/MIME). PKI : Oznacza Public Key Infrastructure , zbiór technologii i reguł dla uwierzytelniania jednostek używając kryptografii klucza publicznego. PKINIT : Rozszerzenie Kerberosa , która dodaje kryptografię klucza publicznego. PKINIT poprawia specyfikacje Kerberosa RFC 1510bis przez zezwolenie klientom Kerberosa na wstępną autoryzację przy użyciu kryptografii klucza publicznego. PKINIT jest pochodną " Public Key cryptography for INITial authentication" i jest aktualnie standardem Internet-Draft, rozpatrywanym przez Internet Engineering Task Force (IETF). Zaletą dołączenia kryptografii klucza publicznego do Kerberosa, obejmują łatwiejsze zarządzanie kluczem i możliwość wykorzystania systemów Public Key Infrastructure (PKI). Projekt standardu PKINIT określa jak pola danych uwierzytelnienia wstępnego i pola błędów danych w wiadomościach Kerberos mogą być używane do przenoszenia danych klucza publicznego. PKIX : Oznacza Public Key Infrastructure (X.509) , zbiór standardów dla implementacji PKI w oparciu o X.509 plaintext [tekst jawny] : Informacja która jest niezaszyfrowana. Szyfrowanie jest procesem transformacji tekstu jawnego na tekst zaszyfrowany. Tekst jawny jest informacją która jest czytelna dla człowiek. Aby uchronić się przesz odczytaniem informacji przez jednostki niepowołane, wiadomość może być zaszyfrowana przy użyciu procedur matematycznych nazywanych algorytmem szyfrowania. Wynikiem zastosowanie takiego algorytmu dla informacji jest tekst zaszyfrowany, łańcuch bitów , która pozostaje informacją oryginalną, ale nie może być odczytana przez kogokolwiek, chyba , że wcześniej zostanie zdeszyfrowana do tekstu jawnego. plintext cipher block chaining (PCBC) [ wiązanie bloków zaszyfrowanych tekstu jawnego] : PCBC jest zmodyfikowaną wersją wiązania szyfrów blokowych (CBC), mechanizm sprzężenia zwrotnego powszechnie używany w szyfrach blokowych. PCBC dostarcza mechanizmu dla wykrywania kiedy zaszyfrowana komunikacja została naruszona przez zapewnienie ,że jeśli część zaszyfrowanej wiadomości została zmieniona, zawartość pozostałej części wiadomości jest śmieciowa (nie do odczytania). Przez dołączenie standardowego bloku danych na końcu każdej wiadomości Kerberosa, odbiorca może przetestować czy wiadomość naruszona, przez sprawdzenie czy ta standardowa dana została odszyfrowana właściwie. Platform for Privacy Preferences (P3P) : Mechanizm dla zapewnienia użytkownikom Internetu prywatności danych osobowych. P3P to projekt World Wide Web Consortium (W3C), przeznaczonym jako standard przemysłowy dla ochrony prywatności użytkowników którzy wysyłają dane osobowe do stron internetowych jakie odwiedzają. P3P dostarcza mechanizmu dla implementacji zasad prywatności na stronach WWW i zapewnia użytkownikom jasną i jednoznaczną informację na temat tego jak strona obsługuje ich dane osobiste. P3P pozwala na zasady prywatności dla stron WWW zaimplementowanych w ustandaryzowanym formacie maszynowym tak , że przeglądarki sieciowe wspierające P3P mogą automatycznie porównywać zasady danej strony z preferencjami prywatności użytkownika skonfigurowanymi w przeglądarce. playback : Inna nazwa dla packet reply , przechwytywania i ponownego wysyłania pakietów w sieci. pluggable authentication module (PAM) [dołączalne moduły uwierzytelniania] : Model programowania Unix, dla rozszerzalnej architektury uwierzytelniania. PAM jest strukturą, która pozwala nowym usługom uwierzytelniania na zainstalowanie w systemie Unix aby zwiększyć jego bezpieczeństwo. PAM składa się z biblioteki, pliku konfiguracyjnego i dołączalnego modułu, z których każdy implementuje inny schemat uwierzytelniania. Przez układnie w stos takich modułów, Unix może być skonfigurowany dla wypróbowania wielu metod uwierzytelniania kiedy próbuje uwierzytelnić użytkownika bez konieczności ponownego wprowadzania jego danych dla każdego modułu. Point-to-Point Tunneling Protocol (PPTP) : Metoda hermetyzacji ruchu sieciowego używana dla wirtualnych sieci prywatnych. PPTP jest protokołem tunelowania używanym dla zezwolenia zdalnym klientom na bezpieczny dostęp do sieci prywatnych przez Internet, tworząc wirtualną sieć prywatną (VPN), która zostanie nałożona na część publicznego Internetu. PPTP działa przez hermetyzowanie pakietów Point-to-Point Protocol (PPP) w pakiety Internet Protocol (IP) dla wysyłania ich przez Internet. PPTP został zaprojektowany przez konsorcjum Microsoft i innych firm, a jego szczegóły są opisane w RFC 2637. port flooding : Wysyłanie dużej liczby pakietów TCP lub UDP do określonego portu. Port flooding jest techniką używaną przez atakujących dla wykonania różnego rodzaju ataków denial of service , w tym : port forwarding [przekierowywanie portów] : Oznacza Extensible Authentication Protocol, rozszerzenie zabezpieczeń dla Point-to-Point Protocol (PPP). Metoda stosowana przez Secure Shell (SSH) dla bezpiecznej komunikacji w Internecie. Port forwarding jest używany dl tworzenia szyfrowanej sesji komunikacyjnej między serwerem SSH a klientem SSH. Port frowarding działa przez odwzorowanie określonego portu na serwerze do portu u klienta bezpiecznym kanałem przez firewall i Internet. W typowym scenariuszu , firma uruchamia serwer SSH na firewallu Zdalny klient uruchamia klienta SSH , który chce połączyć się z serwerem w wewnętrznej sieci firmowej. Aby uczynić rzecz bardziej ciekawą, zakładamy ,że sieć wewnętrzna używa Network Address Transaltion (NAT) tak ,aby jej hosty miały przypisane prywatne adresy Internet Protocol (IP) i zę firewall również blokuje cały ruch przychodzący HTTP na porcie 80 .W rezultacie , wewnętrzny serwer WWW jest dla użycia w intranecie i nie jest dostępny dla normalnego klienta HTTP w Internecie. Aby połączyć się z wewnętrznym serwerem, zdalny klient SSH ustanawia połączenie do innego portu (na przykład 8080) na firewallu, a serwer SSH przekazuje ruch od klienta do portu 80 (standardowy port HTTP) na wewnętrznym serwerze WWW. Tu SSH jest używany do implementacji lokalnego przekierowania portów poprzez mapowanie jednego portu (8080) do drugiego (80), aby obejść firewall i zabezpieczenia NAT dla dostępu do prywatnego adresu IP z Internetu. Przeciwne podejście również działa : zdalne przekierowywanie portów może być skonfigurowane tak aby umożliwić klientom bezpieczny dostęp do wewnętrznych serwerów zdalnych za pomocą odwzorowanych portów w celu obejścia ograniczeń zapory. portu numer Identyfikatory portów reprezentujące różne usługi sieciowe. Port jest rodzajem otwartych drzwi w systemie komputerowym lub urządzeniu sieciowym, które są używane do nasłuchiwania połączeń . Na przykład port http jest używany w serwerach sieciowych do nasłuchiwania maszyn klienckich próbujących połączyć się i pobrać stronę WWW używając HTTP, jednego z kilku protokołów warstwy aplikacji Internetu. Każdy port przedstawia inną usługę sieci mającą własny unikalny numer portu dla identyfikacji jej dla klienta .Każdy numer portu może być użyty na dwa sposoby : port redirection [przekierowywanie portów] : Metoda używana przez atakujących dla ominięcia bezpieczeństwa firewalla. Przekierowywanie portu wymaga naruszenia hosta pośredniczącego, zainstalowania programu do przekierowania portów i użycia hosta pośredniczącego dla ustanowienia komunikacji z innym hostem (docelowym). Atakujący wysyła pakiety do hosta pośredniczącego, który przekierowuje je do hosta docelowego tak ,że objawiają się jako pochodzące z hosta pośredniczącego zamiast atakującego. Jeśli host pośredniczący jest firewallem sieciowym, a host docelowy serwerem w sieci wewnętrznej, przekierowanie portu zapewnia ,że atakujący ma dostęp do zasobów na serwerze docelowym. Popularne narzędzie używane do przekierowywania portów jest Fpipe z Foundstone. Chociaż Fpipe może być używany zgodnie z prawem, mogą być również wykorzystywane do przekierowywania portów przez atakujących próbujących włamać się do sieci. Gdy atakującemu udało się naruszyć firewall, atakujący instaluje Fpipe na hoście firewalla i konfiguruje Fpipe do nasłuchu na jakimś porcie przychodzący , który jest często pozostawionym otwartym na firewallach, takim jak port 53 UDP, który jest używany do transferu strefy Domain Name System (DNS). Fpipe jest potem konfigurowany dla przekierowania wszystkich pakietów przychodzących na port 53 UDP do portu 23, pozwalając atakującemu na połączenie z usługą Telenet ukrytą za firewallem. Ponieważ firewall zazwyczaj blokuje połączenia przychodzące z wysokimi numerami portów dynamicznych klienta zewnętrznego, Fpipe również może być skonfigurowany dla sfałszowania adresu źródłowego pakietów przychodzących do portu 53 UDP tak ,ze firewall sądzi ,że możliwy jest transfer strony DNS . portów skanowanie : Metoda dla określenia jakie porty "nasłuchują" (są otwarte) w systemie docelowym lub sieci. Skanowanie portów jest metodą używaną przez atakujących dla zbierania informacji o tym , jakie usługi są uruchomione w systemie docelowym lub sieci systemów. Usługi sieciowe powszechnie stosują standardowe numery portów dla ich identyfikacji dla klientów chcących się z nimi połączyć. Na przykład, numer portu 80 jest standardowym portem Transmission Control Prortocol (TCP), na którym usługi sieciowe nasłuchują przychodzących żądań HTTP z przeglądarek sieciowych. Jeśli skan portów określa , że host docelowy ma otwarty port 80, istnieje szansa ,że host jest serwerem sieciowym, a kolejnym krokiem atakującego jest enumeracja celu aby zebrać informacje o koncie użytkownika i aplikacjach w systemie, szukając znanych luk do wykorzystania .Niektóre z różnych metod stosowanych przez skanowanie portów obejmują: Pre-IKE Credential (PIC) : Proponowane zastępstwo dla protokołu Internet Key Exchange (IKE). PIC jest jednym z kilku proponowanych zastępstw dla IKE, protokołu zarządzania kluczem używanym przez Internet Protocol Securoty (IPSec). PIC jest przeznaczony dla przezwyciężenia pewnych niedostatków IKE, w tym jego złożoności działa i braku wsparcia la metod uwierzytelniania szeroko używanych na rynku. PIC działa przez "ładowanie początkowe" uwierzytelniania IKE w którym użytkownik jest najpierw uwierzytelniany a potem serwer uwierzytelniania generuje dopuszczalne dane uwierzytelniające IKE. PIC jest oparty na ISAKMP połączony z Extensible Authentication Protocol (EAP) i nie wymaga modyfikowania samego IKE. Pretty Good Privacy (PGP) : Popularna technologia szyfrowania e-maili. PGP jest schematem stworzonym przez Phila Zimmermanna w celu zapewnienia poufności i integralności wiadomości e-mail i bezpiecznego przechowywania pliku. PGP stworzono w czasie, kiedy eksport technologii szyfrowania był ściśle kontrolowany przez rząd USA, a PGP został wydany jako "partyzancki freeware" aby oddać technologię szyfrowania w ręce zwykłych ludzi . PGP został przekształcony w kilka form , w tym te : principal [zasada] : Tożsamość jednostki w protokole Kerberos . Kerberos identyfikuje podmioty (osoby i procesy) używając zasad, które mają ogólną postać podstawowe/instancja@dziedzina, gdzie komponenty mają następujące znaczenie : prywatność : Za[pobieganie przed podglądaniem informacji przez nieupoważnione osoby. Prywatność ma kilka kontekstów w odniesieniu do bezpieczeństwa informacji (infosec). Z punktu widzenia konsumentów, prywatność jest to kontrola użytkowników nad zbieraniem ,wykorzystywaniem i dystrybucją swoich danych osobowych. Ogólnie, w komunikacji online i telekomunikacji, prywatność jest zapewnieniem ,że wiadomość może być odczytana tylko przez jej adresata, czyli coś co jest nazywane poufnością. Prywatność w kontekście militarnym jest nazywana tajemnicą. Szyfrowanie jest podstawowym środkiem zapewniającym prywatność informacji, czy przechowywane czy przekazywane. Całościowa prywatność zapewnia szyfrowanie wiadomości przechwytywanej przez podsłuch w dowolnym miejscu wzdłuż drogi transmisji i nie może być użyta di naruszenia prywatności uczestników sesji komunikacyjnej. Prawo do prywatności jest dodatkowym środkiem ochrony prywatności poprzez egzekwowanie kar za nieautoryzowane użycie, zdobywanie i ujawnienie zaszyfrowanej informacji. Polityka prywatności jest polityką firmy przedstawiającą procedury wykorzystywane do ochrony danych osobistych użytkowników Privacy Enhanced Mail (PEM) : Schemat dla zapewnienie prywatności e-mailom wysyłanym przez Internet. PEM był jednym z najwcześniejszych schematów stworzonym dla szyfrowania komunikacji e-mailowej, i jest zdefiniowane w RFC 1421 do 1424. PEM został stworzony kiedy wiadomości e-mail były tylko tekstowe, Kiedy stworzono Multipurpose Internet Mail Extenisons (MIME) dla obsługi załączników binarnych, PEM stał się podstawą nowego schematu szyfrowania nazwanego Secure/ Multipurpose Internet Mail Extenisons (S/MIME). PEM został oparty na Public Key Infrastructure (PKI) i używa losowych kluczy sesyjnych dla szyfrowania wiadomości privacy policy [polityka prywatności] : Polityka określająca wymagania organizacji i odpowiadająca za zgodność z przepisami ochrony prywatności i dyrektywami. Polityka prywatności określa szczegółowo jak organizacja będzie zbierać , wykorzystywać i udostępniać dane osobowe uzyskane od użytkowników. Polityka prywatności zazwyczaj obejmuje : privacy statement : Dokument podsumowujący politykę prywatności organizacji, który jest opublikowany w formacie i miejscu , które pozwala użytkownikom na łatwy do niego dostęp. Oświadczenie o ochronie prywatności informuje konsumentów o polityce organizacji dla zebrania, używania i udostępniania informacji osobowych zebranych od użytkowników. Oświadczenia prywatności są zazwyczaj umieszczane w widocznym miejscu na stronie internetowej e-commerce dla poinformowania konsumentów o prywatności i bezpieczeństwie ich danych i jak mogą uzyskać dostęp i modyfikację do swoich danych. Oświadczenie prywatności może również zawierać informację na temat konkretnych technologii używanych do zarządzania danymi osobistymi takimi jak ciasteczka czy listy mailingowe Private Communication Technology (PCT) : Protokół bezpieczeństwa stworzony przez Microsoft dla prywatnej komunikacji przez Internet. PCT był wariantem Secure Sockets Layer (SSL) wersja 2, protokół stworzony przez Netscape dla bezpiecznej komunikacji prywatnej informacji przez niezabezpieczone sieci publiczne takie jak Internet, Podobnie jak SSLv2, PCT pracuje przez TCP dla solidnych połączeń sieciowych i może być używany zarówno dla uwierzytelniania sesji i dla szyfrowania danych aby zapewnić prywatność takiej sesji. PCT zawiera również wsparcie dla podpisu cyfrowego wiadomości używając HMAC dla zapewnienia integralności komunikacji . PCT poprawia SSLv2 na kilka sposobów : prywatny klucz : Klucz znany tylko swojemu właścicielowi w systemie kryptograficznym klucza publicznego. Każdy użytkownik systemu kryptografii klucza publicznego ma dwa klucze : klucz prywatny znany tylko użytkownikowi i klucza publicznego dostępnego dla każdego kto chce go uzyskać. Zazwyczaj klucze prywatne są używane dla następujących celów: prywatnym kluczem szyfrowanie : Termin czasami używany do reprezentowania symetrycznego (lub tajnego) klucza szyfrowania, chociaż jest to rzeczywiście mylące , ponieważ klucze prywatne są częścią systemów kryptograficznych. privilege escalation [eskalacja uprawnień] : Inna nazwa podnoszenia uprawnień (EoP), metoda używana przez atakujących dla uzyskania kontroli nad systemem lub siecią privileges [uprawnienia] : Inna nazwa dla praw, zasad regulujących jakie zadania może wykonać użytkownik w systemie. PRNG : Oznacza pseudorandom numer generator, oprogramowanie dla generowania łańcucha ciągu pozornie przypadkowych liczb i znaków process table attack [atak przetwarzania tabeli] : Typ ataku denial of service (DoS) przeciwko systemom Unix. W niektórych starszych implementacjach Unix i z niektórymi usługami sieci , przychodzące połączenia TCP powodują nowe procesy występujące na hoście, zazwyczaj przez sfałszowanie istniejącego procesu. Jeśli żadne ograniczenia nie są wprowadzone na liczbę procesów jakie mogą być utworzone floodowanie takiego połączenia TCP może powodować ,że przepełnienie tabeli procesów w systemie docelowym. Powoduje to że nawet root (superuser) nie jest w stanie wykonać poleceń w systemie, w tym poleceń zabijających istniejące procesy, i musi być wykonany twardy restart aby odzyskać kontrolę nad konsolą. Większość platform Unix nie jest podatnych na takie ataki, ponieważ monitorują liczbę procesów w celu zapobieżenia zapełnienia tabeli procesów. promiscuous mode [tryb nasłuchiwania] : Tryb pracy kart sieciowej , w której cały ruch jest albo przekierowywany do lokalnego hosta albo do innych hostów w sieci. Aby host sieciowy być używany do skanowania całego ruchu w segmencie sieci, karta sieciowa na hoście musi być uruchomiona w trybie nasłuchiwania. Powoduje to ,że karta odbiera dowolne ramki poruszające się w sieci i przekazuje je do stosu TCP/IP do skanera dla analizy. Generalnie, tryb nasłuchiwania jest włączony (lub wyłączony) używając oprogramowania dostarczonego do kart, i raz włączony (lub wyłączony) może być trudne to do zmiany. Protectes Extensible Authentication Protocol (PEAP) : Protokół uwierzytelniania stworzony przez Cisco dla sieci bezprzewodowych. PEAP jest protokołem uwierzytelniania sieci bezprzewodowych 802.1x, który używa haseł do uwierzytelniania klientów i certyfikatów dla uwierzytelniania serwerów .Po stronie serwera PEAP używa Extensible Authentication Protocol - Transport Layer Security (EAP-TLS), podczas gdy uwierzytelnienie klienta jest stworzone dla wspierania protokołów uwierzytelniania haseł i również haseł jednokierunkowych (OTP). PEAP jest oparte na standardzie Internet-Draft Cisco, razem z Microsoft i RSA Security przedłożono Internet Engineering Task Force ( IETF) . PEAP jest wspierane przez protocol analyzer [analizator protokołów] : Urządzenie lub oprogramowanie dla wyświetlenia informacji zawartej w pakietach podróżujących w sieci. Analizatory protokołów są narzędziem do rozwiązywania problemów w sieci, które zapewniają szczegółowy obraz ruchu sieciowego . Są one często używane do rozwiązywania problemów z siecią, gdy zawiodły inne narzędzia. Analizatory protokołów pozwalają użytkownikowi monitorować "rozmowy" w sieci, i podobnie jak większość narzędzi bezpieczeństwa mogą być używane dla dobrych i złych celów. Crakerzy często używają "snifferów" dla potajemnego monitorowania sieci aby uzyskać przydatne informacje takie jak hasło. Użycie analizatorów protokołów , czy to przez crackerów czy dla rozwiązywania problemów, generalnie wymaga głębokiego zrozumienia jak działają różne protokoły pakietu TCP/IP. Na przykład, niektóre analizatory dostarczają informacji sieciowych w surowym stanie przez zrzucenie reprezentacji szesnastkowej każdego bajtu w pakiecie. Niektóre analizatory tłumaczą taką informację do ASCII , dla łatwiejszego odczytania ładunku danych i określania różnych pól w bajtach nagłówka za pomocą etykiety dla każdego pola. Niektóre analizatory wspierają różne opcje zapytań dla filtrowania różnego rodzaju ruchu dla znajdowania typu informacji jakiej szuka użytkownik. pseudorandom numer generator (PRNG) [generator liczb pseudolosowych] : Oprogramowanie dla generowania łańcucha pozornie losowych cyfr lub znaków. Generatory liczb pseudolosowych (PRNG) są podstawą wielu operacji kryptograficznych w tym tworzenia nasion dla szyfrów blokowych i generowania kluczy z haseł. Łańcuch liczb wygenerowanych przez PRNG nie jest w rzeczywistości losowy ponieważ PRNG działa używając deterministycznych formuł matematycznych. W oparciu o pewne początkowe nasiona, skomplikowany proces matematyczny jest zasadniczo używany do wygenerowania łańcucha liczb , które mają taki sam rozkład statystyczny jako jak doskonałe liczby losowe wygenerowane z naturalnego procesu takiego jak rozpad radioaktywny. Haczyk jest tu, że jeśli to samo nasiono jest użyte ponownie później, identyczny łańcuch "losowych" cyfr jest tworzony przez PRNG, dlatego słowo pseudo jest używane do opisu tego procesu. Aby liczby pseudolosowe były naprawdę losowe, różne nasiona losowe muszą być określone za każdym razem kiedy używamy PRNG. Typowy sposób wytwarzania takiego nasienia w systemie komputerowym jest połączenie razem informacji z kliku rzeczywistych źródeł, w tym zegar wewnętrzny, lokalizacja myszy, wielkość aktualnie otwartego pliku itd. Ta informacja jest potem hashowana przy użyciu funkcji jednokierunkowej dla stworzenia nasiona o stałej długości , które jest wprowadzona do PRNG i używany do generowania unikalnego i nieprzewidywalnego łańcucha (zasadniczo) liczb losowych. publiczny klucz : Klucz znany każdemu w systemie kryptografii klucza publicznego. Każdy użytkownik w systemie kryptografii klucza publicznego ,a dwa klucze : klucz prywatny znany tylko użytkownikowi i klucz publiczny dostępny dla każdego kto chce go uzyskać. Zasadniczo , klucze publiczne są używane dla poniższych celów: public key cryptography [kryptografia klucza publicznego] : Schemat szyfrowania , który pozwala na prywatną komunikację , która miała miejsce bez wcześniejszego istnienia wspólnego hasła. Kryptografia tradycyjna lub tajnego klucza powołująca się na istnienie współdzielonej tajemnicy znanej tylko zaangażowanym stronom. Kryptografia tajnego klucza jest bardzo prywatna ,ale słabością tego systemu jest bezpieczna wymiana tej tajemnicy między dwoma stronami, niezbędnym krokiem przed zaszyfrowaniem komunikacji. Kryptografia kluczem publicznym rozwiązuje ten problem przez zapewnienie sposobu współdzielenia tajemnicy między dwoma jednostkami przez niezabezpieczone połączenie publiczne takie jak Internet. Kilka popularnych algorytmów używanych do kryptografii kluczem publicznym to : public key cryptography standards (PKCS) : Szereg specyfikacji dla implementacji Public Key Infrastructure (PKI). PKCS są szeregiem formalnych i de facto standardów stworzonych przez PSA Security w połączeniu ze składowymi przemysłowymi i akademiami. Standardy nakreślają różne protokoły i specyfikacje dla implementacji różnych aspektów PKI. Kilka standardów zostało włączonych do innych standardów branżowych , w tym PKI (X.509) (PKIX), Secure/Multipurpose Internet Mail Extension (S/MIME), Secure Sockets Layer (SSL) i standardów X9 z American National Standards Institute (ANSI). Lista PKCS obejmuje : public key encryption [szyfrowanie kluczem publicznym] : Inna nazwa dla kryptografii kluczem publicznym, schemat szyfrowania, który zezwala na prywatną komunikację mającą miejsce bez wcześniejszego istnienia współdzielonej tajemnicy. Public Key Infrastructure (PKI) : Zbiór technologii i zasad dla uwierzytelniania jednostek używając kryptografii klucza publicznego. PKI przedstawia zbiór standardów , zasad, oprogramowania i procedur dla implementowania silnego uwierzytelniania używając kryptografii kluczem publicznym . PKI włącza podpisy cyfrowe dla transakcji business to business i business to consumer. PKI samo w sobie nie zapewnia szyfrowania dla wiadomości elektronicznej, jedynie weryfikuje tożsamości poprzez uwierzytelnienie oparte na certyfikatach. PKI również nie implementuje żadnej formy kontroli dostępu dla zabezpieczenia dostępu do zasobów w przedsiębiorstwie lub sieci. W rezultacie, PKI zazwyczaj łączy się z innymi technologiami. PKI jest używane w kilku protokołach , wliczając w to Secure/Multipurpose Internet Mail Extension (S/MIME), Secure Socket Layer (SSL), Pretty Good Privacy (PGP) Public-Key Infrasturcture (X.509) (PKIX) : Zbiór standardów dla implementacji Public Key Infrastructure (PKI) opartą o X.509. Standard X.509 z International Telecommunications Union (ITU) definiuje format używany do identyfikacji jednostek w katalogu X.500. Chociaż standardowy katalog X.500 nigdy nie był szeroko implementowany z powodu swojej złożoności, standard X.509 zyskał szerokie zastosowanie jako standardowy format podpisów cyfrowych używanych w systemach PKI. PKIX reprezentuje wysiłki grupy roboczej Internet Engineering Task Force (IETF) dla implementacji X.509 w PKI. Projekt Publius : System dla anonimowego publikowania informacji w WWW. Został stworzony dla obejścia mechanizmów używanych do cenzurowania dostępu do niektórych treści w sieci. Gdy użytkownik publikuje zawartość za pomocą Publiusa, zawartość jest publikowana na serwerach sieciowych w postaci form losowych stworzonych w celu uniknięcia wykrycia przez zapory skonfigurowane dla blokowania niektórych treści. Przez połączenie z serwerem proxy Publiusa (lub pobranie i zainstalowanie klienta proxy na swojej maszynie), użytkownik może mieć dostęp do tej losowej zawartości i wyświetlenie jej w oryginalnej formie. Projekt Publius jest zarządzany przez Center for Democracy and Technology (CDT), organizację swobód obywatelskich Pulist : Narzędzie dla wyświetlenia procesów uruchomionych na maszynach z Windows. Jest to narzędzie wiersza poleceń w Windows , które wyświetla nazwy procesu i ID proces dla uruchomionych procesów na lokalnym lub zdalnym komputerze. Pulist może również wyświetlić kontekst zabezpieczeń w którym każdy uruchomiony proces wyświetla nazwę użytkownika powiązanego z tym procesem, o ile ma on wystarczające uprawnienia systemowe w celu uzyskania tych informacji z urządzenia docelowego.
• Czy hasło ma być proste czy złożone
• Czy historia hasła (lista starych haseł) będzie utrzymana czy nie
• Minimalny okres ważności hasła (czas do wygaśnięcia hasła, chyba ,że zostało zmienione)
• Wewnętrzne testy penetracyjne : analiza bezpieczeństwa sieci od wewnątrz poprzez analizę konfiguracji systemu i wykonywanie różnych testów. To podejście może być bardziej wszechstronne niż testowanie zdalne, ale najlepszą praktyką jest zazwyczaj połącznie obu tych testów dla upewnienia się ,że żadne potencjalne luki nie zostały pominięte
• Unikalne generowanie dla każdej sesji
• Nie pochodzące z tajemnicy długoterminowej przechowywanej przez uczestników
• Zapominane całkowicie po zakończeniu sesji
Dodatkowo , takie klucze sesyjne są zazwyczaj bezpiecznie wymieniane między częściami używając kryptografii klucz publicznego takiego jak Diffie-Hellman (DH). Kerberos nie ma PFS, ponieważ klucze sesyjne zawarte w biletach są szyfrowane tajemnicami długoterminowymi.
• Umieszczenie krytycznych systemów informatycznych w zamkniętych pomieszczeniach, i ograniczenie dostępu do tych pomieszczeń
• Wykorzystanie elektronicznych systemów blokujących do serwerowni, które logują wszystkie wpisy dla śledzenia kto wchodzi
• Monitorowanie serwerowni przy użyciu kamer wideo dla zdalnego rejestrowania i zapisu na taśmach.
• Wyłączanie i usuwanie sprzętu takiego jak dyskietka czy CD/DVD tak aby fizycznie zainfekowane maszyn nie były przejęte przez atakującego.
• Zapewnienie , że kopia zapasowa nośników zawierających poufne dane są fizycznie zabezpieczone w pomieszczeniach, skarbcach itp.
• Uniemożliwienie legalnym użytkownikom sieci połączenia z usługami sieciowymi
• Wypełnienie tabel procesu na routerach i switchach, powodują awarię lub restart
• Spowodowanie ,że przełączniki Ethernet przejdą w stan błędu , który czyni je działającymi jako hub, tak ,że atakujący może sniffować ruch w zdalnym segmencie.
• Dla ustanowienia sesji komunikacyjnej używając TCP, zazwyczaj dla tego celu transferując dane między hostami
• Dla komunikacji bezpołączeniowej używając UDP, często do wykonywania zapytań dotyczących usług sieciowych. Zakres numerów portów od 0 do 65 535 są zorganizowane w trzech kategoriach :
• System dobrze znanych portów : To zakres od 0 do 1023 i przedstawia ustandardyzowane numery portów przypisanych przez Internet Assigned Numbers Authority (IANA);
• Numery portów użytkownika (zarejestrowane) : Zakres od 1024 do 49 151, IANA nie kontroluje ich przypisania, ale rejestruje jak zwykle są używane przez aplikacje różnych producentów
• Dynamiczne i/lub prywatne numery portów : jest to zakres od 49 152 do 65 535 i mogą być dynamicznie przypisywane przez aplikacje , jeśli to konieczne.
• Vanilla scan : atakujący próbuje połączyć się ze wszystkimi możliwymi portami na zdalnym systemie od portu 0 do 65 535 przez wysłanie pakietów TCP SYN do każdego portu każdego adresu .Nazywane jest to również skanowaniem SYN, ponieważ używa pakietów TCP SYN
• Strobe scan : atakujący próbuje połączyć się z określonym zbiorem portów powszechnie otwartych na hostach z Windows lub Unix/Linux (inna forma skanowania SYN ale szybsza niż vanilla scan)
• Skanowanie UDP : atakujący wysyła puste pakiety UDP do różnych portów dla zakresu adresów i oczekuje na odpowiedź. Niektóre platformy systemów operacyjnych odpowiadają pakietem błędów ICMP kiedy puste pakiety UDP są odbierane na portach nasłuchujących, podczas gdy zamknięte porty UDP zwykle odpowiadają pakietami "port nieosiągalny". Pakiety ICMP również mogą być używane do tych celów.
• FTP bounce : atakujący wykonuje skanowanie przez pośredniczący serwer FTP aby ukryć lokalizację maszyny atakującej
• Sweep : atakujący skanuje duży zakres adresów IP szukając systemów , które mają otwarty jeden określony port (tai jak port 23 dla usług Telnet)
• FIN scan : atakujący wysyła pakiet TCP FIN do wszystkich (lub niektórych) portów z zakresu adresów, Pakiet FIN wskazuje, że nadawca chce zamknąć sesję TCP. Jeśli port jest już zamknięty, cel zazwyczaj odpowiada pakietem TCP RST ,ale jeśli port jest otwarty (podłączony do jakiegoś innego hosta), pakiet FIN jest odrzucany. Jest to ukryta forma skanowania, ponieważ w rzeczywistości nie obejmuje ustanawiania połączeń z hostami docelowymi a takie próby często nie są rejestrowane przez system docelowy
• Skanowanie pasywne : atakujący przechwytuje cały ruch sieciowy wchodząc lub opuszczając sieć zdalną (być może naruszając firewall sieciowy i instalując program do sniffowania) i analizując ruch dla określenia które porty są otwarte na jakich hostach w sieci
• PGP Classic : używa szyfrowani Rivest-Shamir-Adleman (RSA) i International Data Encryption Algorithm (IDEA) i jest do pobrania ze strony Massachusetts Institute of Technology (MIT) dla niekomercyjnego używania przez obywateli USA i Kanady
• PGP 8.0.x : komercyjna wersja dostępna z PGP Corporation
• OpenPGP : rodzina darmo dostępnych wersji wywodzących się pracy komitetu Internet Engineering Task Force (IETF)
• GNU Privacy Guard (GnuPG) : wersja open source OpenPGP dostępne na licencji GNU Public License (GPL)
PGP używa kryptografii klucza publicznego dla generowania długoterminowych kluczy dla użytkowników. W przeciwieństwie do tradycyjnych systemów Public Key Infrastructure (PKI), które wykorzystują hierarchiczny łańcuch jednostek autoryzacyjnych (CA) dla wydawania i weryfikacji certyfikatów cyfrowych, PGP nie wymaga ani certyfikatów cyfrowych ani CA dla ich zarządzania. Zamiast tego, każdy użytkownik po prostu decyduje jakim użytkownikom zaufać , a następnie uzyskuje klucze publiczne tych użytkowników. Aby używać PGP najpierw pobieramy i instalujemy oprogramowanie na komputerze , a następnie używamy go do wygenerowania klucza prywatnego, który jest chroniony za pomocą hasła, a potem hashowany dla bezpiecznego przechowywania. Klucze dla innych użytkowników z którymi się komunikujesz są przechowywane w pierścieniu kluczy, które mogą być albo strukturami lokalnymi lub wspólnymi strukturami baz danych w Internecie.
• Podstawowe : nazwa użytkownika, numer ID lub inne dane osobowe
• Instanca : opcjonalne pole , które pozwala podmiotowi na wiele tożsamości, każda z własnym poziomem kontroli dostępu do zasobów
• Dziedzina : Dziedzina Kerberosa podmiotu, która jest zazwyczaj pomijana kiedy uwierzytelnianie ma miejsce w lokalnej dziedzinie, ale które muszą być włączone do uwierzytelniania w odległych dziedzinach
• Jaki typ informacji tworzy dane osobowe dla celów polityki
• Przyczyny zbierania takich informacji i co z nimi robi organizacja
• Warunki w jakich informacje te mogą być ujawnione innym organizacjom, w tym organom ścigania
• Odpowiedzialność organizacji w celu ochrony gromadzonych informacji
• Krótsze wiadomości i prostsza struktura rund dla szybszego uwierzytelniania
• Większa elastyczność jest negocjowana która używa algorytmu szyfrowania do używania w sesji
• Różne klucze używane do podpisywania wiadomości niż do ich szyfrowania
Microsoft opracował PCT w odpowiedzi na słabości implementacji Netscape SSLv2 , ale kiedy SSLv3 został wydany, rozwiązał słabości poprzednika a PCT nie stał się standardem internetowym
• Deszyfrowanie wiadomości odebranych od innych użytkowników którzy szyfrują je używając klucza publicznego odbiorcy.
• Podpisywania cyfrowo wiadomości aby udowodnić odbiorcy ,że integralność wiadomości nie została naruszona
• Szyfrowanie wiadomości wysyłanej do innych użytkowników, który potem deszyfrują je używając swojego własnego klucza prywatnego
• Weryfikacja podpisów cyfrowych dołączanych do wiadomości udowadniając ,że integralność wiadomości jest nienaruszona.
• Diffie-Hellman (DH) : Był to pierwszy algorytm stworzony dla kryptografii klucza publicznego
• Algorytm Rivest-Shamir-Adleman (RSA) : Zastrzeżony algorytm , którego patent wygasł w 2000 roku, co oznacza ,że algorytm jest obecnie w domenie publicznej.
• Digital Signature Algorithm (DSA) : Zastrzeżony algorytm opatentowany przez NIST
Inne algorytmy klucza publicznego to:
• El Gamal
• Shamir Three Pass
• Massey-Omura
• Efficient Probabilistic Public Key Encryption (EPOK)
W kryptografii klucza publicznego, każdy użytkownik wydaje parę kluczy : klucz publiczny dostępne dla każdego kto tego zażąda, i klucz prywatny znany tylko temu użytkownikowi który jest jego właścicielem. Jeśli jeden z tych dwóch kluczy jest używany do szyfrowania wiadomości, drugi może być używany do deszyfrowania. Aby użytkownik A zaszyfrował wiadomość i wysłał go do użytkownika B, użytkownik A może uzyskać klucz publiczny użytkownika B (który jest łatwo dostępny) i szyfruje wiadomość używając tego klucza. Użytkownik A potem wysyła zaszyfrowaną wiadomość do użytkownika B, który deszyfruje ją używając własnego klucza prywatnego (ponieważ klucz prywatny użytkownika B może cofnąć to co klucz publiczny B zrobił). Chociaż systemy klucza publicznego mogą być użyte w ten sposób ,że szyfrują komunikację między użytkownikami , w praktyce nie są używane w ten sposób. Zamiast kryptografii klucza publicznego jest generalnie używana do bezpiecznej wymiany klucza sesyjnego (tajnego klucza używanego tylko dla pojedynczej sesji komunikacyjnej a potem odrzucany) między tymi dwoma użytkownikami, a kiedy obie części mają ten klucz sesyjny mogą użyć go do szyfrowania i deszyfrowania wiadomości wysyłanych między nimi. Można to zrobić ponieważ klucze publiczne są dużo dłuższe (1024 bitów lub więcej) niż klucze tajne (56 do 256 bitów, zazwyczaj), a algorytmy klucza publicznego są bardziej złożone niż algorytmy klucza tajnego, więc wymiana klucza sesyjnego czyni komunikację szybszą i bardziej wydajną niż przy użyciu samej kryptografii kluczem publicznym. Kryptografia kluczem publicznym jest używana czasami również do innego celu : podpisywania wiadomości, aby potwierdzić ,że nie zostały naruszone w trakcie przenoszenia. Podpisy cyfrowe są używane dla weryfikacji integralności wiadomości elektronicznych ,a podpisywanie wiadomości przy użyciu kryptografii kluczem publicznym jest przeciwieństwem szyfrowania tej wiadomości. Jeśli użytkownik A chce podpisać wiadomość i wysłać ją do użytkownika B, użytkownik A używa własnego klucza prywatnego do podpisania wiadomości, dołącza podpis do wiadomości, i wysyła ją do użytkownika B . Kiedy użytkownik B odbiera podpisaną wiadomość, on lub ona oddziela podpis od wiadomości i weryfikuje ją używając klucza publicznego użytkownika A, który może być uzyskany z publicznych źródeł.
• PKCS #1 : RSA Cryptography Standard
• PKCS #3 : Diffie-Hellman Key Agreement Standard
• PKCS #5 : Password-Based Cryptography Standard
• PKCS #6 : Extended-Cerificate Syntax Standard
• PKCS #7 : Cryptographic Message Syntax Standard
• PKCS #8 : Private-Key Information Syntax Standard
• PKCS #9 Selected Atribute Types
• PKCS #10 : Certification Request Syntax Standard
• PKCS #11 : Cryptographic Token Interface Standard
• PKCS #12 : Personal Information Exchange Syntax Standard
• PKCS #13 : Elliptic Cirve Cryptography Standard
• PKCS #15 : Cryptographic Token Information Format Standard
PKCS #2 i PKCS #4 zostały włączone do PKCS #1.
Główne elementy typowej implementacji PKI obejmują :
• Jednostkę certyfikującą (CA) : Zaufana jednostkę , która wydaje certyfikaty cyfrowe dla podmiotów (użytkowników, aplikacji lub organizacji), kiedy wymagana jest rejestracja. CA podpisuje certyfikaty , które wydaje używając swojego własnego klucza prywatnego gwarantując autentyczność certyfikatu. Organizacja może mieć jedną CA , lub dla większej skalowalności , klika CA ułożonych w hierarchii zaufania z root CA na górze. CA mogą być również ułożone w topologii siatki dla uformowania bardziej złożonej ścieżki certyfikacji, ale jest to mało popularne.
• Przechowalnia certyfikatów ; Centralna baza danych lub katalog wydanych certyfikatów zarządzana przez CA. Certyfikaty wygasają po jakimś czasie, a jeśli zostaną zgubione lub naruszone , mogą być odwołane przez dodanie ich do listy odwołanych certyfikatów (CRL) lub przez użycie Online Certificate Status Protocol (OCSP).
• Certyfikaty cyfrowe : Zaszyfrowane informacje , które gwarantują , że klucz szyfrujący należy do użytkownika
• Organ rejestrujący (RA) ; Zaufany podmiot, który sprawdza poprawność certyfikatów cyfrowych i przekazuje te żądania do CA. W niektórych przypadkach, rola RA jest inkorporowana do CA