用語集
A
- agent (エージェント)
- Certificate System マネージャーで エージェントサービス (agent services) の管理を許可されたグループに属するユーザー。Certificate Manager エージェント、キーリカバリー認証局エージェント (Key Recovery Authority agent) も併せて参照してください。
- APDU
- アプリケーションプロトコルデータユニット。スマートカードとスマートカードリーダーとの間の通信に使用される通信ユニット (バイトに類似)。
- アクセス制御 (access control)
- 特定ユーザーが実行できるものを制御するプロセス。たとえば、サーバーへのアクセス制御は通常、パスワードまたは証明書によって確立された ID と、そのエンティティーが実行できることに関するルールに基づいています。アクセス制御リスト (ACL) も併せて参照してください。
- アクセス制御リスト (ACL)
- サーバーが特定のリソースへのアクセス要求を受け取ったときに評価されるアクセスルールの階層を定義するアクセス制御エントリーのコレクション。アクセス制御手順 (access control instructions, ACI) を参照してください。
- アクセス制御手順 (access control instructions, ACI)
- アクセスを要求するサブジェクトを識別する方法、または特定のサブジェクトに対して許可または拒否される権限を指定するアクセスルール。アクセス制御リスト (ACL) を参照してください。
- エージェントサービス (agent services)
- 1.エージェントに必要な特権が割り当てられた Certificate System サブシステムが提供する HTML ページを通じて、Certificate System agent (エージェント) が管理できるサービス。2.このようなサービスを管理するための HTML ページ。
- エージェント承認登録の設定
- 証明書の発行前に、エージェントによる要求を承認するのに必要な登録。
- 属性値アサーション (attribute value assertion, AVA)
- attribute = value の形式のアサーションで、attribute は o (組織) または uid (ユーザー ID) などのタグ、value は "Red Hat, Inc." やログイン名などの値です。AVA は、証明書の サブジェクト名 (subject name) と呼ばれる、証明書の対象を識別する 識別名 (distinguished name, DN) を形成するために使用されます。
- 監査ログ (audit log)
- さまざまなシステムイベントを記録するログこのログは署名して、改ざんされなかった証明を提供でき、auditor ユーザーのみが読み取りできます。
- 監査者 (auditor)
- 署名付き監査ログを表示できる特権ユーザー。
- 管理者 (administrator)
- 1 つ以上の Certificate System マネージャーをインストールおよび設定し、それらの特権ユーザーまたはエージェントをセットアップする人。agent (エージェント) も併せて参照してください。
- 自動登録 (automated enrollment)
- 人の介入なしに、エンドエンティティー登録の自動認証を可能にする Certificate System サブシステムを設定する方法。この形式の認証では、認証モジュールの処理を正常に完了した証明書要求が、プロファイル処理と証明書の発行に対して自動的に承認されます。
- 認可 (authorization)
- サーバーが制御するリソースにアクセスするパーミッション。承認は通常、リソースに関連付けられた ACL がサーバーによって評価された後に行われます。アクセス制御リスト (ACL) を参照してください。
- 認証 (authentication)
- 自信を持って識別すること。コンピューター化された送信の当事者が偽者ではないことを保証すること。認証には通常、パスワード、証明書、PIN、またはその他の情報を使用して、コンピューターネットワーク上で ID を検証することが含まれます。パスワードベースの認証 (password-based authentication)、証明書ベースの認証 (certificate-based authentication)、クライアント認証 (client authentication)、サーバー認証 (server authentication) も併せて参照してください。
- 認証モジュール (authentication module)
- ルールのセット (として実装されますJava™クラス) エンドエンティティー、エージェント、管理者、または Certificate System サブシステムと対話する必要があるその他のエンティティーを認証するため。通常のエンドユーザー登録の場合は、ユーザーが登録フォームで要求された情報を入力した後、登録サーブレットはそのフォームに関連付けられた認証モジュールを使用して情報を検証し、ユーザーの ID を認証します。サーブレット (servlet) を参照してください。
- 高度暗号化標準 (Advanced Encryption Standard, AES)
- Advanced Encryption Standard (AES) は、その前身の Data Encryption Standard (DES) と同様に、FIPS 承認の対称鍵暗号化標準です。AES は 2002 年に米国政府によって採用されました。AES-128、AES-192、および AES-256 の 3 つのブロック暗号を定義します。NIST (National Institute of Standards and Technology) は、米国で AES 標準を定義しています。FIPS PUB 197。詳細は、http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf を参照してください。
B
- バインド DN (bind DN)
- Red Hat Directory Server への認証にパスワードとともに使用される識別名 (DN) の形式のユーザー ID。
C
- CA サーバーキー (CA server key)
- CA サービスを提供するサーバーの SSL サーバーキー。
- CA 署名鍵 (CA signing key)
- CA 証明書の公開鍵に対応する秘密鍵。CA は、その署名キーを使用して証明書および CRL に署名します。
- CA 証明書 (CA certificate)
- CA 階層 (CA hierarchy)
- ルート CA が下位 CA に証明書を発行する権限を委任する CA の階層。下位 CA は、発行ステータスを他の CA に委譲して階層を拡張することもできます。認証局 (certificate authority, CA)、下位 CA (subordinate CA)、ルート CA も併せて参照してください。
- Certificate Manager
- 認証局として機能する独立した Certificate System サブシステム。Certificate Manager インスタンスは、証明書を発行、更新、および取り消します。証明書は、CRL とともに LDAP ディレクトリーに公開できます。エンドエンティティーからのリクエストを受け入れます。認証局 (certificate authority, CA) を参照してください。
- Certificate Manager エージェント
- Certificate Manager のエージェントサービスの管理が許可されているグループに所属するユーザーです。これらのサービスには、証明書要求にアクセスして変更 (承認および拒否) し、証明書を発行する機能が含まれています。
- Certificate Request Message Format (CRMF)
- X.509 証明書の管理に関連するメッセージに使用される形式。この形式は CMMF のサブセットです。証明書管理メッセージ形式 (Certificate Management Message Formats, CMMF) も併せて参照してください。詳細は、http://www.ietf.org/rfc/rfc2511.txt を参照してください。
- Certificate System
- Certificate System コンソール
- 1 つの Certificate System インスタンスで開くことができるコンソール。Certificate System コンソールを使用すると、Certificate System 管理者は、対応する Certificate System インスタンスの設定を制御できます。
- Certificate System サブシステム
- 5 つの Certificate System マネージャー (Certificate Manager、Online Certificate Status Manager、キーリカバリー認証局、Token Key Service、または Token Processing System) の 1 つ。
- CMC
- 暗号化メッセージ構文 (CMC) を介した証明書管理メッセージ を参照してください。
- CMC 登録 (CMC Enrollment)
- 署名された登録または署名された失効要求のいずれかを、エージェントの署名証明書を使用して Certificate Manager に送信できるようにする機能。これらの要求は Certificate Manager によって自動的に処理されます。
- CMMF
- CRL
- 証明書失効リスト (certificate revocation list, CRL) を参照してください。
- CRMF
- Certificate Request Message Format (CRMF) を参照してください。
- CSP
- クライアント SSL 証明書 (client SSL certificate)
- SSL プロトコルを使用してサーバーにクライアントを識別するために使用する証明書。セキュアソケットレイヤー (Secure Sockets Layer, SSL) を参照してください。
- クライアント認証 (client authentication)
- 名前とパスワード、または証明書とデジタル署名されたデータなどを使用して、サーバーに対してクライアントを識別するプロセス。証明書ベースの認証 (certificate-based authentication)、パスワードベースの認証 (password-based authentication)、サーバー認証 (server authentication) を参照してください。
- チェーン認証局 (chained CA)
- リンクされた CA (linked CA) を参照してください。
- ペア間の証明書 (cross-pair certificate)
- ある CA から別の CA に発行され、信頼の輪を形成するために両方の CA によって保存される証明書。2 つの CA は相互に証明書を発行し、両方のクロスペア証明書を証明書ペアとして格納します。
- 信頼チェーン (chain of trust)
- 証明書チェーン (certificate chain) を参照してください。
- 暗号アルゴリズム (cryptographic algorithm)
- 暗号化 (encryption) や 復号化 (decryption) などの暗号化操作を実行するために使用される一連のルールまたは指示。
- 暗号モジュール (cryptographic module)
- PKCS #11 モジュール を参照してください。
- 暗号化 (cipher)
- 暗号アルゴリズム (cryptographic algorithm) を参照してください。
- 暗号化サービスプロバイダー (cryptographic service provider, CSP)
- PKCS #11 で定義されているような標準インターフェイスを使用してそのようなサービスを要求するソフトウェアに代わって、キー生成、キーストレージ、暗号化などの暗号化サービスを実行する暗号化モジュール。
- 暗号化メッセージ構文 (CMC) を介した証明書管理メッセージ
- Certificate Manager への証明書の要求を伝えるために使用するメッセージ形式。Internet Engineering Task Force (IETF) PKIX の作業グループから提案された標準。詳細は、https://tools.ietf.org/html/draft-ietf-pkix-cmc-02 を参照してください。
- 暗号化メッセージ構文 (Cryptographic Message Syntax, CS)
- CMMF などの任意のメッセージにデジタル署名、ダイジェスト、認証、または暗号化するために使用される構文。
- 相互認証 (cross-certification)
- 異なる証明書階層またはチェーン内の 2 つの CA による証明書交換クロス認定は、両方の階層に対応できるように信頼チェーンを拡張します。認証局 (certificate authority, CA) も併せて参照してください。
- 証明書 (certificate)
- X.509 標準に準拠してフォーマットされたデジタルデータで、個人、会社などのエンティティー名 (証明書の サブジェクト名 (subject name)) を指定し、証明書に含まれる 公開鍵 (public key) もそのエンティティーに属することを証明するもの。証明書は 認証局 (certificate authority, CA) により発行され、デジタル署名されます。証明書の有効性は、公開鍵暗号 (public-key cryptography) の手法で CA の デジタル署名 (digital signature) を確認して検証できます。公開鍵インフラストラクチャー (public-key infrastructure, PKI) で信頼されるために、証明書は、PKI に登録されているその他のエンティティーによって信頼されている CA により発行および署名される必要があります。
- 証明書のフィンガープリント (certificate fingerprint)
- 証明書に関連付けられた 一方向ハッシュ (one-way hash)。番号は証明書自体の一部ではありませんが、証明書の内容にハッシュ関数を適用することによって生成されます。証明書の内容が 1 文字でも変更されると、同じ関数で異なる番号が生成されます。したがって、証明書のフィンガープリントを使用して、証明書が改ざんされていないことを確認できます。
- 証明書チェーン (certificate chain)
- 連続した認証局によって署名された証明書の階層セット。CA 証明書は 認証局 (certificate authority, CA) を識別し、その認証局が発行した証明書の署名に使用されます。CA 証明書は、親 CA の CA 証明書により署名され、ルート CA まで署名できます。Certificate System により、エンドエンティティーが証明書チェーンのすべての証明書を取得できるようになります。
- 証明書プロファイル (certificate profile)
- 特定のタイプの登録を定義する一連の設定。証明書プロファイルは、証明書プロファイルの認証方法とともに、特定のタイプの登録のポリシーを設定します。
- 証明書ベースの認証 (certificate-based authentication)
- 証明書および公開鍵暗号に基づく認証。パスワードベースの認証 (password-based authentication) も併せて参照してください。
- 証明書失効リスト (certificate revocation list, CRL)
- X.509 標準で定義されているように、認証局 (certificate authority, CA) により生成され署名された、失効した証明書のシリアル番号ごとのリスト。
- 証明書拡張 (certificate extensions)
- X.509 v3 証明書には、証明書に任意の数の追加フィールドを追加できる拡張フィールドが含まれています。証明書拡張機能は、代替サブジェクト名や使用制限などの情報を証明書に追加する方法を提供します。PKIX ワーキンググループによって、いくつかの標準拡張機能が定義されています。
- 証明書管理メッセージ形式 (Certificate Management Message Formats, CMMF)
- エンドエンティティーから Certificate Manager に証明書要求と失効要求を伝達し、エンドエンティティーにさまざまな情報を送信するために使用されるメッセージ形式。Internet Engineering Task Force (IETF) PKIX の作業グループから提案された標準。CMMF は、別の提案された標準 (暗号化メッセージ構文 (CMC) を介した証明書管理メッセージ) に含まれています。詳細は、https://tools.ietf.org/html/draft-ietf-pkix-cmmf-02 を参照してください。
- 認証局 (certificate authority, CA)
- 証明書が特定を意図している個人またはエンティティーの身元を検証した後、証明書 (certificate) を発行する信頼されたエンティティー。CA は証明書を更新し、取り消し、CRL を生成します。証明書の発行者フィールドで指定されたエンティティーは、常に CA です。認証局は、独立したサードパーティー、または Red Hat Certificate System などの証明書発行サーバーソフトウェアを使用する個人または組織にすることができます。
D
- キーリカバリー認証局
- エンドエンティティーの RSA 暗号化キーの長期アーカイブとリカバリーを管理する任意の独立した Certificate System サブシステム。Certificate Manager は、新しい証明書を発行する前に、キーリカバリー認証局を使用してエンドエンティティーの暗号化キーをアーカイブするように設定できます。キーリカバリー認証局は、エンドエンティティーが機密性の高い電子メールなど、組織がいつかリカバリーする必要のあるデータを暗号化している場合にのみ役立ちます。デュアルキーペアをサポートするエンドエンティティーでのみ使用できます。2 つの個別のキーペアで、1 つは暗号化用、もう 1 つはデジタル署名用です。
- キーリカバリー認証局のストレージキー (Key Recovery Authority storage key)
- キーリカバリー認証局の秘密トランスポートキーで復号された後、エンドエンティティーの暗号化キーを暗号化するためにキーリカバリー認証局によって使用される特別なキー。ストレージキーがキーリカバリー認証局を離れることはありません。
- キーリカバリー認証局のトランスポート証明書 (Key Recovery Authority transport certificate)
- エンドエンティティーがキーリカバリー認証局に転送するためにエンティティーの暗号化キーを暗号化するために使用する公開キーを認証します。キーリカバリー認証局は、認証された公開鍵に対応する秘密鍵を使用して、ストレージ鍵で暗号化する前に、エンドエンティティーの鍵を復号します。
- キーリカバリー認証局エージェント (Key Recovery Authority agent)
- 要求キューの管理や HTML ベースの管理ページを使用したリカバリー操作の許可など、キーリカバリー認証局のエージェントサービスの管理を許可されたグループに属するユーザー。
- キーリカバリー認証局リカバリーエージェント (Key Recovery Authority recovery agent)
- キーリカバリー認証局 のストレージキーの一部を所有している n 人中 m 人 の 1 人。
- デジタル ID (digital ID)
- 証明書 (certificate) を参照してください。
- デジタル署名 (digital signature)
- デジタル署名を作成するため、署名ソフトウェアは最初に、新しく発行された証明書など、署名するデータから 一方向ハッシュ (one-way hash) を作成します。次に、一方向ハッシュは署名者の秘密鍵で暗号化されます。作成されるデジタル署名は、署名されるデータごとに一意になります。1 つのコンマがメッセージに追加されていても、そのメッセージのデジタル署名が変更されます。署名者の公開鍵を使用したデジタル署名の復号に成功し、同じデータの別のハッシュと比較することで、改ざんの検出 (tamper detection) が可能になります。公開鍵を含む証明書の 証明書チェーン (certificate chain) の検証により、署名側の認証が提供されます。否認防止 (nonrepudiation)、暗号化 (encryption) も併せて参照してください。
- デュアルキーペア (dual key pair)
- 2 つの個別の証明書に対応する、2 つの公開鍵と秘密鍵のペア (合計 4 つの鍵)。一方のペアの秘密鍵は署名操作に使用され、もう一方のペアの公開鍵と秘密鍵は暗号化および復号操作に使用されます。各ペアは個別の 証明書 (certificate) に対応します。暗号鍵 (encryption key)、公開鍵暗号 (public-key cryptography)、署名鍵 (signing key) も併せて参照してください。
- デルタ CRL (delta CRL)
- 最後の完全な CRL が発行されてから取り消された証明書のリストを含む CRL。
- 分散ポイント (distribution points)
- 証明書セットを定義するのに CRL に使用されます。各ディストリビューションポイントは、発行する証明書のセットにより定義されます。CRL は、特定のディストリビューションポイント用に作成できます。
- 復号化 (decryption)
- 暗号化されたデータのスクランブル解除。暗号化 (encryption) を参照してください。
- 識別名 (distinguished name, DN)
- 証明書の件名を特定する一連の AVA。属性値アサーション (attribute value assertion, AVA) を参照してください。
E
- extensions フィールド
- 証明書拡張 (certificate extensions) を参照してください。
- エンドエンティティー (end entity)
- 公開鍵インフラストラクチャー (public-key infrastructure, PKI) において、人、ルーター、サーバー、または 証明書 (certificate) を使用してそれ自体を特定するエンティティー。
- エンロールメント (enrollment)
- 公開鍵インフラストラクチャー (public-key infrastructure, PKI) で使用する X.509 証明書を要求および受信するプロセス。登録 としても知られています。
- 傍受 (eavesdropping)
- 情報が意図されていないエンティティーによってネットワークを介して送信された情報の不正な傍受。
- 暗号化 (encryption)
- その意味を偽装する方法で情報をスクランブルします。復号化 (decryption) を参照してください。
- 暗号鍵 (encryption key)
- 暗号化のみに使用される秘密鍵。暗号化鍵とその同等の公開鍵、および 署名鍵 (signing key) とその同等の公開鍵は、デュアルキーペア (dual key pair) を構成します。
- 楕円曲線暗号 (Elliptic Curve Cryptography, ECC)
- 暗号鍵の基礎となる数学的な問題に対して、楕円曲線を用いて加算対数を作成する暗号アルゴリズム。ECC 暗号は、RSA 暗号よりも効率的に使用でき、本質的に複雑であるため、RSA 暗号よりも小さいビットで強力です。詳細は、https://tools.ietf.org/html/draft-ietf-tls-ecc-12 を参照してください。
F
- Federal Bridge Certificate Authority (FBCA)
- 2 つの CA が相互にクロスペア証明書を発行し、2 つのクロスペア証明書を単一の証明書ペアとして格納することにより、信頼の輪を形成する設定。
- FIPS PUBS 140
- FIPS PUBS (Federal Information Standards Publications) 140 は、データの暗号化と復号、またはデジタル署名の作成や検証などの他の暗号化操作を実行する暗号化モジュール、ハードウェア、またはソフトウェアの実装に関する米国政府の標準です。米国政府に販売される多くの製品は、1 つ以上の FIPS 標準に準拠する必要があります。http://www.nist.gov/itl/fipscurrent.cfm を参照してください。
- ファイアウォール (firewall)
- 2 つ以上のネットワーク間の境界を強制するシステムまたはシステムの組み合わせ。
- フィンガープリント (fingerprint)
- 証明書のフィンガープリント (certificate fingerprint) を参照してください。
H
- Hypertext Transport Protocol (HTTP) および Hypertext Transport Protocol Secure (HTTPS)
- Web サーバーとの通信に使用されるプロトコル。HTTP S は、TLS (Transport Layer Security) によって暗号化された接続内の HTTP (Hypertext Transfer Protocol) を介した通信で構成されます。HTTPS の主な目的は、アクセスした Web サイトの認証と、交換されたデータのプライバシーと整合性の保護です。
I
- IP スプーフィング (IP spoofing)
- クライアント IP アドレスの禁止。
- IPv4 および IPv6 (IPv4 and IPv6)
- Certificate System は、すべてのサブシステムとツールとの通信と操作、およびクライアント、サブシステムの作成、トークンと証明書の登録のために、IPv4 と IPv6 の両方のアドレス名前空間をサポートします。
- なりすまし (impersonation)
- ネットワークを介して送信される情報の意図された受信者を装う行為。偽装には、スプーフィング (spoofing) と 詐称 (misrepresentation) の 2 種類があります。
- 中間認証局 (intermediate CA)
- ルート CA と 証明書チェーン (certificate chain) 内の発行済み証明書との間の証明書を持つ CA。
- 入力 (input)
- 証明書プロファイル機能のコンテキストでは、特定の証明書プロファイルの登録フォームを定義します。各入力が設定され、この登録用に設定されたすべての入力から登録フォームが動的に作成されます。
J
- JAR ファイル (JAR file)
- Java™ アーカイブ (JAR) 形式 (archive (JAR) format) に従って編成されたファイルの圧縮コレクションのデジタルエンベロープ。
- Java™ アーカイブ (JAR) 形式 (archive (JAR) format)
- デジタル署名、インストーラスクリプト、およびその他の情報をディレクトリー内のファイルに関連付けるための一連の規則。
- Java™ セキュリティーサービス (JSS)
- あJava™ネットワークセキュリティーサービス (NSS) によって実行されるセキュリティー操作を制御するためのインターフェイス。
- Java™ ネイティブインターフェイス (JNI) (Native Interface)
- 特定のプラットフォーム上の Java™ 仮想マシン (JVM) の異なる実装間でバイナリー互換性を提供する標準的なプログラミングインターフェイスで、単一のプラットフォーム用に C や C++ などの言語で記述された既存のコードを Java™ にバインドできるようにします。http://java.sun.com/products/jdk/1.2/docs/guide/jni/index.html を参照してください。
- Java™ 暗号アーキテクチャー (Cryptography Architecture, JCA)
- 暗号化サービス用に Sun Microsystems によって開発された API 仕様および参照。http://java.sun.com/products/jdk/1.2/docs/guide/security/CryptoSpec.Introduction を参照してください。
- Java™ 開発キット (Development Kit, JDK)
- Java™ プログラミング言語を使用してアプリケーションとアプレットを開発するために Sun Microsystems が提供するソフトウェア開発キット。
K
- KEA
- 鍵交換アルゴリズム (Key Exchange Algorithm, KEA) を参照してください。
- KEYGEN タグ (tag)
- 証明書で使用するキーペアを生成する HTML タグ。
- 鍵 (key)
- データの暗号化または復号を行うために、暗号アルゴリズム (cryptographic algorithm) が使用する大きな数値。たとえば、あるユーザーの 公開鍵 (public key) を使用すると、他のユーザーがそのユーザー宛てのメッセージを暗号化できます。その後、メッセージは対応する プライベートキー (private key) を使用して復号化する必要があります。
- 鍵交換 (key exchange)
- クライアントとサーバーが SSL セッション時に両方で使用する対称鍵を決定するために実行する手順。
- 鍵交換アルゴリズム (Key Exchange Algorithm, KEA)
- 米国政府が鍵交換に使用するアルゴリズム。
L
- Lightweight Directory Access Protocol (LDAP)
- TCP/IP および複数のプラットフォームで実行されるためのディレクトリーサービスプロトコル。LDAP は、X.500 ディレクトリーへのアクセスに使用される Directory Access Protocol (DAP) の簡易バージョンです。LDAP は IETF の変更制御下にあり、インターネット要件を満たすために進化しています。
- リンクされた CA (linked CA)
- 公開サードパーティーの CA によって署名される証明書が内部でデプロイされる 認証局 (certificate authority, CA)。内部 CA は、発行する証明書のルート CA として機能し、サードパーティー CA は、同じサードパーティールート CA にリンクされている他の CA によって発行された証明書のルート CA として機能します。"チェーン CA" としても知られており、異なるパブリック CA で使用される他の用語も使用します。
M
- MD5
- Ronald Rivest によって開発されたメッセージダイジェストアルゴリズム。一方向ハッシュ (one-way hash) も併せて参照してください。
- メッセージダイジェスト (message digest)
- 一方向ハッシュ (one-way hash) を参照してください。
- 手動認証 (manual authentication)
- 各証明書要求の人間による承認を必要とする Certificate System サブシステムを設定する方法。この形式の認証では、サーブレットは、認証モジュールの処理が成功した後、証明書要求を要求キューに転送します。次に、適切な権限を持つエージェントは、プロファイルの処理と証明書の発行を続行する前に、各要求を個別に承認する必要があります。
- 詐称 (misrepresentation)
- そうではない個人または組織としてのエンティティーの提示。たとえば、Web サイトが実際にはクレジットカードでの支払いを行いますが、商品を送信しないサイトである場合、その Web サイトは家具店のふりをする可能性があります。詐称は なりすまし (impersonation) の 1 つの形式です。スプーフィング (spoofing) も併せて参照してください。
N
- non-TMS
- トークン以外の管理システム。スマートカードを直接処理 しない サブシステム (CA、および任意で KRA と OCSP) の設定を指します。
- ネットワークセキュリティーサービス (Network Security Services, NSS)
- セキュリティー対応の通信アプリケーションのクロスプラットフォーム開発をサポートするように設計されたライブラリーのセット。NSS ライブラリーを使用して構築されたアプリケーションは、認証、改ざん検出、および暗号化のための セキュアソケットレイヤー (Secure Sockets Layer, SSL) プロトコル、および暗号化トークンインターフェイスのための PKCS #11 プロトコルをサポートします。NSS は、ソフトウェア開発キットとして個別に利用できます。
- 否認防止 (nonrepudiation)
- メッセージの送信を拒否するためのメッセージの送信者による信頼性。デジタル署名 (digital signature) は、否認防止手段の 1 つです。
O
- OCSP
- オンライン証明書ステータスプロトコル
- オブジェクトの署名 (object signing)
- ソフトウェア開発者が Java コード、JavaScript スクリプト、またはあらゆる種類のファイルに署名し、ユーザーが署名者を識別し、署名されたコードによってローカルシステムリソースへのアクセスを制御できるようにするファイル署名の方法。
- オブジェクト署名証明書 (object-signing certificate)
- 秘密鍵に関連付けられた証明書は、オブジェクトの署名 (object signing) に関連するオブジェクトの署名に使用されます。
- 一方向ハッシュ (one-way hash)
- 1.ハッシュアルゴリズムを使用して任意の長さのデータから生成された固定長の数。メッセージダイジェストとも呼ばれる数字は、ハッシュされたデータに固有のものです。1 文字を削除または変更しても、データの変更は異なります。2.ハッシュされたデータの内容をハッシュから推測することはできません。
- 出力 (output)
- 証明書プロファイル機能のコンテキストでは、特定の証明書プロファイルの証明書登録が成功した結果のフォームを定義します。各出力が設定され、この登録に設定されたすべての出力からフォームを動的に作成します。
- 操作 (operation)
- アクセス制御命令で許可または拒否されている、読み取りや書き込みなどの特定の操作。
P
- PKCS #10
- 証明書要求を制御する公開鍵暗号標準規格。
- PKCS #11
- スマートカードなどの暗号化トークンを管理する公開鍵暗号化標準。
- PKCS #11 モジュール
- PKCS #11 インターフェイスを介して、暗号化サービス (暗号化や復号など) を提供する暗号化デバイスのドライバー。暗号化モジュール または 暗号化サービスプロバイダー とも呼ばれる PKCS #11 モジュールは、ハードウェアまたはソフトウェアのいずれかで実装できます。PKCS #11 モジュールには、常に 1 つ以上のスロットがあり、スマートカードなどの物理リーダーの形式で物理ハードウェアスロットとして、またはソフトウェアの概念スロットとして実装できます。PKCS #11 モジュールの各スロットには、トークンを追加できます。このトークンは、暗号化サービスを実際に提供し、必要に応じて証明書と鍵を保存するハードウェアまたはソフトウェアのデバイスです。Red Hat は、Certificate System とともに、ビルトイン PKCS #11 モジュールを提供します。
- PKCS #12
- 鍵の移植性を管理する公開鍵暗号化標準。
- PKCS #7
- 署名と暗号化を制御する公開鍵暗号標準。
- PKIX 証明書および CRL プロファイル (PKIX Certificate and CRL Profile)
- インターネット用の公開鍵インフラストラクチャー向けに IETF により開発された標準規格です。証明書および CRL のプロファイルを指定します。
- POA (proof-of-archival)
- キーのシリアル番号、キーリカバリー認証局の名前、対応する証明書の サブジェクト名 (subject name)、およびアーカイブの日付など、アーカイブされたエンドエンティティーキーに関する情報を含む秘密鍵リカバリー認証局のトランスポートキーで署名されたデータ。署名されたアーカイブ証明データは、キーのアーカイブ操作が成功した後、キーリカバリー認証局から Certificate Manager に返される応答です。キーリカバリー認証局のトランスポート証明書 (Key Recovery Authority transport certificate) も併せて参照してください。
- パスワードベースの認証 (password-based authentication)
- 名前とパスワードによる確実な識別。認証 (authentication)、証明書ベースの認証 (certificate-based authentication) も併せて参照してください。
- プライベートキー (private key)
- 公開鍵暗号で使用されるキーペアの 1 つ。秘密鍵は秘密を保持し、対応する 公開鍵 (public key) で暗号化されたデータの復号に使用されます。
- 公開鍵 (public key)
- 公開鍵暗号で使用されるキーペアの 1 つ。公開鍵は自由に配布され、証明書 (certificate) の一部として公開されます。これは通常、公開鍵の所有者に送信されるデータを暗号化するために使用され、所有者は対応する プライベートキー (private key) でデータを復号化します。
- 公開鍵インフラストラクチャー (public-key infrastructure, PKI)
- ネットワーク環境での公開鍵暗号化と X.509 v3 証明書の使用を容易にする標準とサービス。
- 公開鍵暗号 (public-key cryptography)
- エンティティーがその ID を電子的に検証したり、電子データに署名して暗号化したりできるようにする、確立された技術と標準のセット。公開鍵と秘密鍵の 2 つの鍵が関係します。公開鍵 (public key) は、特定の ID にキーを関連付ける証明書の一部として公開されます。対応する秘密鍵はシークレットに保存されます。公開鍵で暗号化したデータは、秘密鍵でのみ復号できます。
R
- RC2, RC4
- Rivest による RSA データセキュリティー向けに開発された暗号化アルゴリズム。暗号アルゴリズム (cryptographic algorithm) も併せて参照してください。
- Red Hat Certificate System
- 証明書を作成、デプロイ、および管理するための高度に設定可能なソフトウェアコンポーネントとツールのセット。Certificate System は、さまざまな物理的な場所にあるさまざまな Certificate System インスタンスにインストールできる 5 つの主要なサブシステム (Certificate Manager、Online Certificate Status Manager、キーリカバリー認証局、Token Key Service、および Token Processing System) で構成されています。
- RSA アルゴリズム (RSA algorithm)
- Rivest-Shamir-Adleman の略で、暗号化と認証の両方の公開鍵アルゴリズムです。Ronald Rivest、Adi Shamir、および Leonard Adleman により開発され、1978 で導入されました。
- RSA キー交換 (RSA key exchange)
- RSA アルゴリズムに基づいた SSL の鍵交換アルゴリズム。
- ルート CA
- 証明書チェーンの最上位に自己署名証明書が含まれている 認証局 (certificate authority, CA)。CA 証明書 (CA certificate)、下位 CA (subordinate CA) も併せて参照してください。
- 登録 (registration)
- エンロールメント (enrollment) を参照してください。
S
- SELinux (Security Enhanced Linux)
- SELinux (Security-Enhanced Linux) は、Linux システムカーネルに強制アクセス制御を適用するセキュリティープロトコルのセットです。SELinux は、米国国家安全保障局によって開発され、寛大なアクセス制御または欠陥のあるアクセス制御を介してアプリケーションが機密ファイルまたは保護されたファイルにアクセスするのを防ぎます。
- SHA
- セキュアなハッシュアルゴリズム (米国政府が使用するハッシュ関数)。
- SSL
- セキュアソケットレイヤー (Secure Sockets Layer, SSL) を参照してください。
- サブジェクト (subject)
- 証明書 (certificate) で識別されるエンティティー。特に、証明書のサブジェクトフィールドには、認定されたエンティティーを一意に識別する サブジェクト名 (subject name) が含まれます。
- サブジェクト名 (subject name)
- サンドボックス (sandbox)
- Java™ コードが動作する必要がある、注意して定義された制限の Java™ 用語。
- サーバー SSL 証明書 (server SSL certificate)
- セキュアソケットレイヤー (Secure Sockets Layer, SSL) プロトコルを使用して、クライアントに対してサーバーを識別するために使用する証明書。
- サーバー認証 (server authentication)
- クライアントにサーバーを特定するプロセス。クライアント認証 (client authentication) も併せて参照してください。
- サーブレット (servlet)
- Certificate System サブシステムに代わってエンドエンティティーとの特定の種類の相互作用を処理する Java™ コード。たとえば、証明書の登録、失効、およびキーリカバリー要求は、それぞれ別のサーブレットで処理されます。
- シングルサインオン (single sign-on)
- 1.Certificate System において、内部データベースとトークンのパスワードを保管することにより、Red Hat Certificate System へのサインオン方法を簡素化するパスワード。ユーザーがログインするたびに、この単一のパスワードを入力する必要があります。2.ユーザーが 1 台のコンピューターに一度ログインし、ネットワーク内のさまざまなサーバーによって自動的に認証される機能。部分的なシングルサインオンソリューションは、さまざまなサーバーで使用されるパスワードを自動的に追跡するメカニズムなど、さまざまな形式をとることができます。証明書は、公開鍵インフラストラクチャー (public-key infrastructure, PKI) 内のシングルサインオンをサポートします。ユーザーは、ローカルクライアントの秘密鍵データベースに一度ログインすると、クライアントソフトウェアが動作している限り、証明書ベースの認証 (certificate-based authentication) を使用して、ユーザーがアクセスを許可されている組織内の各サーバーにアクセスできます。
- スプーフィング (spoofing)
- 他人のふりをします。たとえば、あるユーザーがメールアドレス jdoe@example.com やコンピューターから、www.redhat.com と呼ばれるサイトとして誤って特定できます。スプーフィングは、なりすまし (impersonation) の一形態です。詐称 (misrepresentation) も併せて参照してください。
- スマートカード (smart card)
- マイクロプロセッサーを搭載し、キーや証明書などの暗号化情報を格納し、暗号化操作を実行する小さなデバイス。スマートカードには、PKCS #11 インターフェイスの一部または全体が実装されています。
- スロット (slot)
- ハードウェアまたはソフトウェアのいずれかに実装された PKCS #11 モジュール の一部。これには トークン (token) が含まれています。
- セキュアなチャンネル (secure channel)
- TPS とスマートカード間のセキュリティーアソシエーション。TKS とスマートカード APDU によって生成された共有マスターキーに基づいて暗号化された通信を可能にします。
- セキュアソケットレイヤー (Secure Sockets Layer, SSL)
- クライアントとサーバーとの間の相互認証と、認証および暗号化された接続の確立を可能にするプロトコル。SSL は、TCP/IP より上で、HTTP、LDAP、IMAP、NNTP、およびその他の高レベルネットワークプロトコルより下で実行されます。
- セキュリティードメイン (security domain)
- PKI サブシステムの集中リポジトリーまたはインベントリー。その主な目的は、サブシステム間の信頼できる関係を自動的に確立することにより、新しい PKI サービスのインストールと設定を容易にすることです。
- セルフテスト (self tests)
- インスタンスの起動時とオンデマンドの両方の Certificate System インスタンスをテストする機能。
- 下位 CA (subordinate CA)
- 証明書を行う認証局は、別の下位 CA またはルート CA により署名されます。CA 証明書 (CA certificate)、ルート CA を参照してください。
- 対象暗号化 (symmetric encryption)
- 同じ暗号化キーを使用して特定のメッセージを暗号化および復号する暗号化方式。
- 簡易証明書登録プロトコル (Simple Certificate Enrollment Protocol, SCEP)
- ルーターがルーター証明書登録のために CA と通信する方法を指定するためにシスコによって設計されたプロトコル。証明書システムは、要求が CA 署名証明書で暗号化される SCEP の CA 動作モードをサポートします。
- 署名アルゴリズム (signature algorithm)
- デジタル署名の作成に使用される暗号化アルゴリズム。Certificate System は、MD5 および SHA 署名アルゴリズムをサポートしています。暗号アルゴリズム (cryptographic algorithm)、デジタル署名 (digital signature) も併せて参照してください。
- 署名付き監査ログ (signed audit log)
- 監査ログ (audit log) を参照してください。
- 署名証明書 (signing certificate)
- 公開鍵である証明書は、デジタル署名の作成に使用される秘密鍵に対応します。たとえば、Certificate Manager には、発行する証明書の署名に使用する秘密鍵に対応する公開鍵である署名証明書が必要です。
- 署名鍵 (signing key)
- 署名用途に使用する秘密鍵署名鍵とその同等の公開鍵、および 暗号鍵 (encryption key) とその同等の公開鍵は、デュアルキーペア (dual key pair) を構成します。
T
- token key service (トークンキーサービス、TKS)
- スマートカードの APDU およびトークン CUID などの他の共有情報に基づいて、スマートカードごとに特定の個別のキーを取得するトークン管理システムのサブシステム。
- ツリー階層 (tree hierarchy)
- LDAP ディレクトリーの階層構造。
- トランスポートレイヤーセキュリティー (Transport Layer Security, TLS)
- サーバー認証、クライアント認証、およびサーバーとクライアントとの間の暗号化通信を管理する一連のルール。
- トークン (token)
- PKCS #11 モジュール の スロット (slot) に関連付けられたハードウェアまたはソフトウェアのデバイス。暗号化サービスを提供し、必要に応じて証明書および鍵を保存します。
- トークン処理システム (token processing system, TPS)
- Enterprise Security Client とスマートカードを直接対話して、これらのスマートカードのキーと証明書を管理するサブシステム。
- トークン管理システム (token management system, TMS)
- 相互に関連するサブシステム (CA、TKS、TPS、および任意で KRA) は、スマートカード (トークン) の証明書を管理するために使用されます。
- 信頼 (trust)
- 個人または他のエンティティーに確定します。公開鍵インフラストラクチャー (public-key infrastructure, PKI) では、信頼とは、証明書のユーザーと、その証明書を発行した 認証局 (certificate authority, CA) との間の関係を指します。CA が信頼されている場合は、その CA が発行する有効な証明書を信頼できます。
- 改ざんの検出 (tamper detection)
- 電子形式で受信したデータが同じデータの元のバージョンと完全に対応することを保証するメカニズム。
U
- UTF-8
- 証明書の登録ページは、特定のフィールド (共通名、組織単位、要求者名、および追加のメモ) で UTF-8 文字をサポートします。UTF-8 文字列は、CA、OCSP、および KRA エンドユーザーおよびエージェントサービスページで検索可能かつ正しく表示されます。ただし、UTF-8 のサポートは、電子メールアドレスで使用されるような国際化ドメイン名には拡張されません。
V
- 仮想プライベートネットワーク (virtual private network, VPN)
- 企業の地理的に離れた部署を接続する方法。VPN を使用すると、部署間は暗号化されたチャンネルを介して通信できるため、通常はプライベートネットワークに制限される認証済みの機密トランザクションが可能になります。
X
- X.509 バージョン 1 およびバージョン 3 (X.509 version 1 and version 3 )
- 国際電気通信連合 (ITU) が推奨するデジタル証明書形式。