 | AAA | |
|---|---|---|
Sigla per Authentication Authorization Accountabiity Esistono i server AAA; il loro servizio è quello di verificare gli accessi, assegnare diritti (permessi) sulle risorse, tenere traccia delle azioni eseguite. Esempi di server AAA sono i server RADIUS e i server TACACS+ | ||
 | Account | |
|---|---|---|
Account - o per meglio dire: account utente - è sinonimo di "utenza informatica". Come nella realtà ci si registra presso un servizio con una utenza, così nei sistemi informatici ci si registra presso un server o un sistema con un account; in questo modo si ottiene l'accesso a risorse/dati/servizi/... Nel gergo comune si associa al termine account la coppia username+password, che costituiscono di fatto le credenziali più diffuse di un account. Quando un utente tenta di entrare in un servizio col proprio account, si sta realizzando il processo di autenticazione; successivamente l'utente avrà l'autorizzazione a usufruire di particolari dati/servizi/risorse/... e la sua attività sarà tracciata mediante meccanismi di accountability. Non è sempre vero che un account sia associato ad una persona fisica; è tipico nei sistemi operativi sentir parlare di "account di sistema", associati a particolari processi dell'OS.
| ||
 | Accountability | |
|---|---|---|
 | AES | |
|---|---|---|
AES sta per Advanced Encryption Standard L'AES è un algoritmo a blocchi simmetrico con chiavi a 128, 192 o 256 bit; la dimensione dei blocchi da cifrare è di 128bit. E' universalmente adottato anche da istituzioni nazionali, e non ancora violato. | ||
| Algoritmo di cifratura | |
|---|---|---|
L'algoritmo di cifratura prende un testo generico (plain-text) e lo converte in una forma indecifrabile (cipher-text) per un osservatore esterno; per operare ha bisogno di una chiave (parametro per l'algoritmo). L'operazione di de-cifratura avviene con una chiave, nella modalità simmetrica (stessa chiave della cifratura) o asimmetrica (chiave diversa). In figura uno schema di cifratura simmetrica:
| ||
 | Attacco Brute Force | |
|---|---|---|
Attacco informatico che prevede l'utilizzo della "brute force". Utilizzare la forza bruta nella ricerca di una soluzione a un problema informatico prevede un approccio per tentativi che utilizzi tutti i possibili parametri dell'algoritmo indagato. Nel caso specifico della Cybersecurity significa sostanzialmente provare a forzare l'algoritmo di cifratura utilizzando tutte le chiavi possibili; è una procedura molto lenta . [Tempestare un server con migliaia o milioni di richieste rientra tra i tentativi di attacco brute force] Per scoraggiare gli attacchi di brute force bisogna essere statisticamente certi che i tempi necessari alla violazione della chiave siano talmente lunghi da far rinunciare l'attaccante, oppure sufficientemente lunghi da rendere inutili perché obsoleti - gli esiti della violazione. | ||
 | Attacco Replay | |
|---|---|---|
L'attacco replay prende di mira i meccanismi di autenticazione sniffando le credenziali di autenticazione inviate da un host, per poi riutilizzarle in una successiva comunicazione verso lo stesso destinatario, con un tipico spoofing di identità. | ||
 | Autenticazione | |
|---|---|---|
L'autenticazione è la procedura che verifica la legittimità di un accesso a un sistema/servizio/risorsa. Con le proprie credenziali di accesso un utente prova ad accedere a un sistema; una volta entrato gli saranno assegnate le autorizzazioni del caso. | ||
 | Autenticazione con crittografia asimmetrica | |
|---|---|---|
Un qualunque elemento crittografato con la chiave privata del mittente può essere decodificato solo la sua chiave pubblica (non esistono altri metodi per decifrarlo); questo è un modo per autenticare il mittente, e per implementare anche la non-ripudiabilità. Tale autenticazione si usa in molte applicazioni crittografiche, tra cui la firma digitale.
| ||
| Autorità di certificazione | |
|---|---|---|
Traduzione italiana per Certification Authority (CA) | ||