Begriffsglossar
Administrative Installation
Kopiert ein Abbild von Reflection in einen Zielordner, um ein Administratorinstallationsverzeichnis zu erstellen. Über diesen Ordner können Bereitstellungstools Pakete erstellen, die anschließend auf Workstations bereitgestellt werden. Ein Endbenutzer, der Zugriff auf den Ordner hat, kann das Produkt aus dem Ordner auf seiner Workstation installieren. Es ist auch möglich, das Installationsanpassungstool aus dem Administratorinstallationsverzeichnis auszuführen.
Authentifizierung
Vorgang, bei dem die Identität des Kommunikationspartners zuverlässig festgestellt wird. Die Identität kann durch Ihnen bekannte Daten (z. B. ein Kennwort), durch etwas in Ihrem Besitz (z. B. Privatschlüssel oder Token) oder ein eindeutiges Merkmal (z. B. Fingerabdrücke) nachgewiesen werden.
Zertifizierungsstelle (CA)
Hierbei handelt es sich um einen Server in einer vertrauenswürdigen Organisation, der digitale Zertifikate ausstellt. Die Zertifizierungsstelle verwaltet das Ausstellen neuer Zertifikate sowie das Widerrufen von Zertifikaten, die ihre Gültigkeit für die Authentifizierung verloren haben. Darüber hinaus kann eine Zertifizierungsstelle die Berechtigung zum Ausstellen von Zertifikaten auch an eine oder mehrere Zwischenzertifizierungsstellen delegieren und somit eine Vertrauenskette aufbauen. Die Zertifizierungsstelle der höchsten Ebene wird als vertrauenswürdiges Zertifikat bezeichnet.
Verschlüsselung
Eine Verschlüsselungsart ist ein Algorithmus. Anhand der von Ihnen gewählten Verschlüsselungsart wird festgelegt, welcher mathematische Algorithmus zum Verschlüsseln der Daten verwendet wird, die versendet werden, nachdem eine Secure Shell-Verbindung erfolgreich hergestellt wurde.
Zertifikatswiderrufsliste (CRL, Certificate Revocation List)
Hierbei handelt es sich um eine digital signierte Liste von Zertifikaten, die von der Zertifizierungsstelle widerrufen wurden. In einer CRL erfasste Zertifikate sind nicht mehr gültig.
Datenintegrität
Die Sicherheit, dass Daten in ihrem ursprünglichen Zustand erhalten bleiben. Methoden zum Schutz der Datenintegrität sind darauf ausgelegt, sicherzustellen, dass Daten nicht versehentlich oder absichtlich modifiziert, abgeändert oder gelöscht werden.
Digitales Zertifikat
Digitale Zertifikate sind ein wesentlicher Bestandteil einer PKI (Public Key Infrastructure; Infrastruktur öffentlicher Schlüssel). Digitale Zertifikate (auch als X.509-Zertifikate bezeichnet) werden von einer Zertifizierungsstelle ausgestellt, die die Richtigkeit der im Zertifikat enthaltenen Informationen sicherstellt. Jedes Zertifikat enthält Identifizierungsinformationen über den Zertifikatseigentümer, eine Kopie des öffentlichen Schlüssels des Zertifikatseigentümers (zum Ver- und Entschlüsseln von Nachrichten und digitalen Signaturen) und die von der Zertifizierungsstelle erstellte digitale Signatur des Zertifikatsinhalts. Anhand dieser Signatur bestätigt der Empfänger, dass das Zertifikat nicht manipuliert wurde und vertrauenswürdig ist.
Digitale Signatur
Bestätigt die Authentizität und die Integrität einer übermittelten Nachricht. Normalerweise besitzt der Absender den privaten Schlüssel und/oder ein Schlüsselpaar aus öffentlichem oder privatem Schlüssel. Der Empfänger besitzt den öffentlichen Schlüssel. Zum Erstellen der Signatur errechnet der Absender aus der Nachricht einen Hashwert und verschlüsselt diesen Wert mithilfe seines privaten Schlüssels. Der Empfänger entschlüsselt die Signatur mit dem öffentlichen Schlüssel des Absenders und berechnet den Hashwert der Nachricht selbst noch einmal. Wenn der berechnete Wert mit dem entschlüsselten Wert übereinstimmt, kann der Empfänger sicher sein, dass der Absender den privaten Schlüssel besitzt und dass die Nachricht während der Übertragung nicht geändert wurde.
Verschlüsselung
Als "Verschlüsselung" wird ein Vorgang bezeichnet, bei dem Daten durch einen geheimen Code oder eine Chiffre so unkenntlich gemacht werden, dass sie nur noch von entsprechend berechtigten Benutzern gelesen werden können. Verschlüsselte Daten sind wesentlich sicherer als unverschlüsselte Daten.
GSSAPI (Generic Security Services Application Program Interface)
Eine Anwendungsprogrammierschnittstelle, die Programmen den Zugriff auf Sicherheitsdienste ermöglicht.
Hash
Ein Hashwert, auch Nachrichtenhash genannt, ist eine Zeichenfolge mit fester Länge, die aus einer beliebig großen Menge digitaler Daten gebildet wird. Der Hashwert ist wesentlich kleiner als die Originaldaten. Aufgrund der zu seiner Erstellung verwendeten Formel ist es statistisch unwahrscheinlich, dass andere Daten den gleichen Hashwert ergeben.
LDAP (Lightweight Directory Access Protocol)
Standardprotokoll, mit dem Sie Informationen an einem zentralen Speicherort ablegen und an Benutzer verteilen können.
MAC (Message Authentication Code)
Ein MAC ist ein Hash, der mithilfe eines Datenpakets beliebiger Länge und einem freigegebenen geheimen Schlüssel sicherstellt, dass Daten während ihrer Übertragung nicht geändert werden. Sender und Empfänger berechnen den MAC für jedes Paket der übertragenen Daten unabhängig voneinander anhand des freigegebenen Schlüssels und eines vereinbarten Algorithmus. Wenn die Nachricht während ihrer Übertragung geändert wurde, weichen die Hashwerte voneinander ab und das Paket wird abgelehnt.
OCSP (Online Certificate Status Protocol)
Ein Protokoll (verwendet HTTP-Transport), das alternativ zur CRL-Prüfung zur Bestätigung der Gültigkeit eines Zertifikats verwendet werden kann. Ein OCSP-Responder beantwortet Anfragen zum Zertifikatstatus mit jeweils einer von drei digital signierten Antworten: "good" (Zertifikat gültig), "revoked" (Zertifikat gesperrt) und "unknown" (Zertifikat unbekannt). Bei Verwendung von OCSP müssen Server und/oder Clients keine umfangreichen CRLs mehr abrufen und durchsuchen.
Passphrase
Eine Passphrase ist grundsätzlich mit einem Kennwort vergleichbar, kann aber eine Reihe von Wörtern, Interpunktionszeichen, Zahlen, Leerzeichen oder jede andere beliebige Zeichenfolge umfassen. Passphrasen erhöhen die Sicherheit, indem Sie den Zugriff auf sichere Objekte, wie z. B. private Schlüssel und/oder einen Schlüsselagenten, einschränken.
PKCS
Bei PKCS (Public Key Cryptography Standards) handelt es sich um eine Reihe von Standards, die von RSA-Laboratorien festgelegt und veröffentlicht wurden und die Kompatibilität zwischen Implementierungen der Kryptographie öffentlicher Schlüssel gewährleisten. Einzelne kryptografische Anwendungsbereiche werden durch spezielle PKCS-Standards festgelegt. Reflection for Secure IT Client for Windows verwendet die folgenden PKCS Standards:
-
PKCS#11 unterstützt die Authentifizierung mithilfe von Hardwaregeräten, z. B. Smartcards oder USB-Tokens.
-
PKCS#12 wird zum Speichern und Übertragen von Zertifikaten und dazugehörigen privaten Schlüsseln verwendet. Für Dateien dieses Formats wird normalerweise die Erweiterung .pfx oder .p12 verwendet. Reflection for Secure IT unterstützt die Authentifizierung mit Zertifikaten und Schlüsseln, die in diesem Format gespeichert sind.
Einzelne kryptographische Anwendungsbereiche werden durch spezielle PKCS-Standards festgelegt. Zum Beispiel:
-
Mit PKCS#7 können Nachrichten signiert und/oder verschlüsselt werden. Darüber hinaus können Sie mit diesem Standard Zertifikate speichern und weitergeben (z. B. als Antwort auf eine PKCS#10-Meldung).
-
PKCS#10 ist eine Syntax für die Zertifizierungsanforderung.
-
PKCS#11 ist eine Programmierschnittstelle, die für kryptographische Hardware-Tokens verwendet wird.
-
PKCS#12 definiert die Syntax für den Austausch persönlicher Informationen, die zum Speichern und Übertragen von Zertifikaten und dazugehörigen privaten Schlüsseln verwendet wird. Für Dateien dieses Formats wird normalerweise die Erweiterung .pfx oder .p12 verwendet.
Portweiterleitung
Ungesicherter Verkehr kann damit durch einen sicheren SSH-Tunnel weitergeleitet werden. Es gibt zwei Arten der Anschlussweiterleitung: lokal und entfernt. Die lokale Anschlussweiterleitung (auch als ausgehende Weiterleitung bezeichnet) sendet ausgehende Daten von einem bestimmten lokalen Anschluss durch den sicheren Kanal an einen bestimmten Remoteanschluss. Sie können eine Clientanwendung für den sicheren Datenaustausch mit einem Server konfigurieren, indem Sie festlegen, dass sich der Client nicht mit dem entsprechenden Servercomputer, sondern mit dem umgeleiteten Anschluss verbindet. Die entfernte Anschlussweiterleitung (wird auch als eingehende Weiterleitung bezeichnet) sendet eingehende Daten von einem bestimmten entfernten Anschluss durch den sicheren Secure Shell-Kanal an einen bestimmten lokalen Anschluss.
Öffentliche Schlüssel/private Schlüssel
Öffentliche Schlüssel und private Schlüssel sind kryptografische Schlüsselpaare, die zum Verschlüsseln und Entschlüsseln von Daten verwendet werden. Daten, die mit dem öffentlichen Schlüssel verschlüsselt wurden, können nur mit dem privaten Schlüssel entschlüsselt werden, und Daten, die mit dem privaten Schlüssel verschlüsselt wurden, können nur mit dem öffentlichen Schlüssel entschlüsselt werden.
Reflection-Ordner "Anwendungsdaten"
Secure Shell-Informationen, die allen Benutzern zur Verfügung stehen, werden in Reflection im folgenden Verzeichnis gespeichert:
Windows 7, Windows Vista, Windows Server 2008:
\ProgramData\Attachmate\Reflection
**Reflection-Ordner „ssh“ **
Reflection speichert die Secure Shell-Informationen in folgendem Verzeichnis für die einzelnen Benutzer im Windows-Ordner Eigene Dateien:
Windows 7, Windows Vista, Windows Server 2008:
\Users\Benutzername\Documents\Attachmate\Reflection\.ssh
Bei UNIX-Systemen werden ähnliche Dateien im Verzeichnis $HOME abgelegt.
Regulärer Ausdruck
Ein regulärer Ausdruck, häufig abgekürzt als regex, ist eine Abfolge von Zeichen, die einen oder mehrere übereinstimmende Zeichenfolgen beschreibt. Innerhalb eines regulären Ausdrucks haben einige Zeichen eine vordefinierte Bedeutung, die festlegt, was als Übereinstimmung zählt. Beispiel: Der reguläre Ausdruck "t.*t"
bezeichnet alle Wörter, die mit dem Buchstaben t beginnen und enden, während der reguläre Ausdruck "text" nur Wörter genau dieser Buchstabenabfolge bezeichnet.
Secure Shell
Bei Secure Shell handelt es sich um ein Protokoll, mit dem Sie sich sicher auf einem Remotecomputer anmelden und Befehle ausführen können. Es stellt eine sichere Alternative zu Telnet, FTP, rlogin und rsh dar. Bei Secure Shell-Verbindungen müssen sowohl der Server als auch der Benutzer authentifiziert werden. Außerdem wird die gesamte Datenkommunikation zwischen den Hosts über einen verschlüsselten Kommunikationskanal abgewickelt. Secure Shell-Verbindungen können auch zum Weiterleiten von X11-Sitzungen oder bestimmten TCP/IP-Anschlüssen über den sicheren Tunnel verwendet werden.
Socket
Kombination aus einem Hostnamen (IP-Adresse oder DNS-Name) und einer Anschlussnummer. Dabei wird ein eindeutiger Identifikator angelegt, den die Clientanwendung als Kommunikationsendpunkt verwendet.
Registrierter Host
Ein vertrauenswürdiger Host ist ein Host, für den Sie über den öffentlichen Schlüssel verfügen.
URI (Uniform Resource Identifier)
Zeichenfolge, die die Position oder die Adresse einer Ressource angibt. URIs können zum Suchen von Ressourcen im Internet oder auf einem LDAP-Server verwendet werden.
UTC (Universal Time, Coordinated, koordinierte Weltzeit)
Ein Zeitstandard mit hoher Genauigkeit. Bei der Beschreibung von Zeitzonen bezieht sich UTC auf die Zeit am Greenwich-Meridian (0. Längengrad), auch bekannt als Greenwich Mean Time (GMT). UTC-Zeitangaben erfolgen normalerweise im 24-Stunden-Format.
Windows-Ordner für gemeinsam genutzte Anwendungsdaten
Der Ordner mit den Anwendungsdaten ist standardmäßig ausgeblendet.
Der Standardwert ist:
-
Windows 8, Windows 7, Windows Vista, Windows Server 2008:
\ProgramData\
Windows-Ordner für eigene Dateien
Der Standardwert ist:
-
Windows 8, Windows 7, Windows Vista, Windows Server 2008:
\Benutzer\benutzername\Dokumente\
Windows-Ordner "Benutzerprofil"
Der Ordner mit dem Benutzerprofil kann vom Windows-Systemadministrator bearbeitet werden. Der Standardwert ist:
-
Windows 7, Windows Server 2008:
\Benutzer\benutzername\
Workstation-Installation
Installiert Reflection auf der Festplatte einer Arbeitsstation. Sie können die Standardeinstellungen übernehmen oder die Installation anpassen, indem Sie das Standardverzeichnis ändern, einen Organisations- bzw. Unternehmensnamen angeben und den Installationsstatus der verschiedenen Features bearbeiten.