Известно, что алгоритмы защиты информации (прежде всего шифрования) можно реализовать как программным, так и аппаратным методом. Рассмотрим аппаратные шифраторы: почему они считаются более надежными и обеспечивающими лучшую защиту.
Что такое аппаратный шифратор
Аппаратный шифратор по виду и по сути представляет собой обычное компьютерное «железо», чаще всего это плата расширения, вставляемая в разъем ISA или PCI системной платы ПК. Бывают и другие варианты, например в виде USB-ключа с криптографическими функциями, но мы здесь рассмотрим классический вариант — шифратор для шины PCI.
Использовать целую плату только для функций шифрования — непозволительная роскошь, поэтому производители аппаратных шифраторов обычно стараются насытить их различными дополнительными возможностями, среди которых:
- Генерация случайных чисел. Это нужно прежде всего для получения криптографических ключей. Кроме того, многие алгоритмы защиты используют их и для других целей, например алгоритм электронной подписи ГОСТ Р 34.10 - 2001. При каждом вычислении подписи ему необходимо новое случайное число.
- Контроль входа на компьютер. При включении ПК устройство требует от пользователя ввести персональную информацию (например, вставить дискету с ключами). Работа будет разрешена только после того, как устройство опознает предъявленные ключи и сочтет их "своими". В противном случае придется разбирать системный блок и вынимать оттуда шифратор, чтобы загрузиться (однако, как известно, информация на ПК тоже может быть зашифрована).
- Контроль целостности файлов операционной системы. Это не позволит злоумышленнику в ваше отсутствие изменить какие-либо данные. Шифратор хранит в себе список всех важных файлов с заранее рассчитанными для каждого контрольными суммами (или хэш-значениями), и если при следующей загрузке не совпадет эталонная сумма хотя бы одного из них, компьютер будет блокирован.
Плата со всеми перечисленными возможностями называется устройством криптографической защиты данных — УКЗД.
Шифратор, выполняющий контроль входа на ПК и проверяющий целостность операционной системы, называют также «электронным замком». Ясно, что аналогия неполная — обычные замки существенно уступают этим интеллектуальным устройствам. Понятно, что последним не обойтись без программного обеспечения — необходима утилита, с помощью которой формируются ключи для пользователей и ведется их список для распознавания «свой/чужой». Кроме того, требуется приложение для выбора важных файлов и расчета их контрольных сумм. Эти программы обычно доступны только администратору по безопасности, который должен предварительно настроить все УКЗД для пользователей, а в случае возникновения проблем разбираться в их причинах.
Вообще, поставив на свой компьютер УКЗД, вы будете приятно удивлены уже при следующей загрузке: устройство проявится через несколько секунд после включения кнопки Power, как минимум сообщив о себе и попросив ключи. Шифратор всегда перехватывает управление при загрузке ПК (когда BIOS компьютера поочередно опрашивает все вставленное в него «железо»), после чего не так-то легко получить его обратно . УКЗД позволит продолжить загрузку только после всех своих проверок. Кстати, если ПК по какой-либо причине не отдаст управление шифратору, тот, немного подождав, все равно его заблокирует. И это также прибавит работы администратору по безопасности.
Структура шифраторов
Рассмотрим теперь, из чего должно состоять УКЗД, чтобы выполнять эти непростые функции (рис. 1):
Рис. 1. Структура шифратора |
- Блок управления - основной модуль шифратора, который "заведует" работой всех остальных. Обычно реализуется на базе микроконтроллера, сейчас их предлагается немало и можно выбрать подходящий. Главное - быстродействие и достаточное количество внутренних ресурсов, а также внешних портов для подключения всех необходимых модулей.
- Контроллер системной шины ПК (например, PCI). Через него осуществляется основной обмен данными между УКЗД и компьютером.
- Энергонезависимое запоминающее устройство (ЗУ) - обычно на базе микросхем флэш-памяти. Оно должно быть достаточно емким (несколько мегабайт) и допускать большое число циклов записи. Здесь размещается программное обеспечение микроконтроллера, которое выполняется при инициализации устройства (т. е. когда шифратор перехватывает управление при загрузке компьютера).
- Память журнала. Также представляет собой энергонезависимое ЗУ; это действительно еще одна флэш-микросхема: во избежание возможных коллизий память для программ и для журнала не должны объединяться.
- Шифропроцессор (или несколько) - это специализированная микросхема или микросхема программируемой логики PLD - Programmable Logic Device. Собственно, он и шифрует данные. Подробнее об этом немного позже.
- Генератор случайных чисел. Обычно представляет собой некое устройство, дающее статистически случайный и непредсказуемый сигнал - белый шум. Это может быть, например, шумовой диод. А перед использованием по специальным правилам белый шум преобразуется в цифровую форму.
- Блок ввода ключевой информации. Обеспечивает защищенный прием ключей с ключевого носителя, через него также вводится идентификационная информация о пользователе, необходимая для решения вопроса "свой/чужой".
- Блок коммутаторов. Помимо перечисленных выше основных функций, УКЗД может по велению администратора безопасности отключать возможность работы с внешними устройствами: дисководами, CD-ROM, параллельным и последовательным портами, шиной USB и т. д. Если пользователь работает с настолько важной информацией, что ее нельзя ни печатать, ни копировать, УКЗД при входе на компьютер заблокирует все внешние устройства, включая даже сетевую карту.
Шифропроцессор
Шифрование в УКЗД должно выполняться так, чтобы посторонним невозможно было узнать ключи и каким-либо образом повлиять на реализуемые в нем алгоритмы. Иногда бывает полезно засекретить и правила преобразования ключей. Поэтому шифропроцессор логически состоит из нескольких структурных единиц (рис. 2):
Рис. 2. Структура шифропроцессора |
- Вычислитель - набор регистров, сумматоров, блоков подстановки и т. п., связанных между собой шинами передачи данных. Собственно, он и выполняет криптографические действия, причем должен делать это максимально быстро. На вход вычислитель получает открытые данные, которые следует зашифровать, и ключ шифрования, который, как известно, является случайным числом. А шифрование - это сложное математическое преобразование, поэтому его результат тоже очень похож на набор случайных величин (попробуйте сжать зашифрованный файл каким-нибудь архиватором - при использовании серьезного алгоритма защиты это будет невозможно).
- Блок управления. На самом деле это аппаратно реализованная программа, управляющая вычислителем. Если по какой-либо причине программа изменится, его работа начнет давать сбои. Это чревато, например, появлением данных в открытом виде вместо зашифрованного (хотя это крайний случай; более вероятно получение такой шифровки, которую ни вы сами, ни кто-либо еще уже не расшифрует никогда L). Поэтому программа должна не только надежно храниться и устойчиво функционировать, но и регулярно проверять сама себя. Кстати, внешний блок управления (описанный выше) тоже периодически посылает ей контрольные задачи. На практике для большей уверенности ставят два шифропроцессора, которые постоянно сравнивают свои результаты (если они не совпадают, шифрование придется повторить). Все это требуется для обеспечения неизменности алгоритма шифрования.
- Буфер ввода-вывода необходим для повышения производительности устройства: пока шифруется первый блок данных, загружается следующий и т. д. То же самое происходит и на выходе. Такая конвейерная передача данных серьезно увеличивает скорость шифрования.
Быстродействие
Кстати, о скорости. Разумеется, любому пользователю ПК желательно, чтобы присутствие в его компьютере УКЗД не отражалось на удобстве работы (конечно, если человек выполняет только разрешенные действия). Но, естественно, шифрование данных отнимает некоторое время, причем раньше приходилось просто ждать, когда закончится шифрование, например, логического диска. В Windows позволялось заняться чем-то параллельно, но еще несколько лет назад шифраторы отвлекали на себя значительные ресурсы процессора, поэтому одновременно без заметного торможения можно было только раскладывать пасьянс. Современные УКЗД шифруют данные без помощи центрального процессора ПК. В шифратор лишь передается команда, а затем он сам извлекает данные из ОЗУ компьютера, шифрует их и кладет в указанное место. Процессор же при этом вполне может выполнять другие задачи. Исследования современных УКЗД показывают, что во время их работы производительность ПК практически не снижается.
Возможно применение и нескольких УКЗД на одном компьютере, например на криптографическом маршрутизаторе: один шифрует отправляемую в Интернет информацию, второй — принимаемую. Производительность такой системы не вносит задержек в работу локальной сети Fast Ethernet (100 Мбит/с).
Потоковая скорость обработки данных — это один из основных параметров, по которым оценивают аппаратные шифраторы. Она измеряется в мегабайтах в секунду и зависит прежде всего от сложности алгоритма шифрования. Проще всего оценить ее по формуле:
V = F Ё K / n,
где F — тактовая частота,
K — размер стандартного блока шифрования,
n — число тактов, требующееся на преобразование стандартного блока.
Например, отечественный алгоритм ГОСТ 28147—89 имеет быстродействие 32 такта на 8-байтовый блок, а значит, теоретически скорость шифрования должна стремиться к 25 Мбайт/с при тактовой частоте 100 МГц. Однако последние опубликованные достижения скорости аппаратной реализации этого алгоритма — 9 Мбайт/с. Ограничения являются чисто технологическими: отсутствие необходимого уровня разработок или элементной базы. Хотелось бы отметить, что программная реализация криптоГОСТа на самых современных ПК достигает 12—16 Мбайт/с при тактовой частоте процессора 1 ГГц. Хотя в этом случае аппаратная скорость шифрования теоретически могла бы быть около 250 Мбайт/с.
Шифраторы для защиты сетей
Для защиты передаваемой в Сеть информации можно использовать как обычный аппаратный шифратор, так и проходной (ПШ), который, помимо всего вышеперечисленного, является также полноценным сетевым адаптером Ethernet (т. е. шифратор и сетевой адаптер выполнены в качестве одной PCI-платы). Его достоинство в том, что он полностью контролирует весь обмен данными по сети, а обойти его (как изнутри, так и снаружи) просто невозможно.
ПШ являются достаточно сложными устройствами, так как они вместо центрального процессора компьютера вынуждены выполнять дополнительные функции по обработке информации. Обычно в ПШ ставят два шифропроцессора: один из них отвечает за шифрование отправляемых данных, а другой расшифровывает принимаемые. Такое устройство может хранить в себе несколько сотен ключей, чтобы каждый блок информации был зашифрован на своем, отличном от других. Это делает все ключи абсолютно недоступными злоумышленникам, но несколько затрудняет процесс управления ими.
Рис. 3. Проходные шифраторы |
Кстати, ПШ допускает и другое применение: он может стоять в разрыве между жестким диском компьютера и его контроллером. В этом случае все, что пишется на HDD, будет также автоматически шифроваться.
Разработчики аппаратных шифраторов и программного обеспечения для них, полагают, что уже скоро будут созданы УКЗД, осуществляющие управление не только работой дисководов, CD-ROM и портов ввода-вывода, но всеми ресурсами ПК. В ближайшем будущем компьютеру останется только передавать открытые данные между процессором и оперативной памятью и обрабатывать их, все остальное сделает само УКЗД. Ясно, что абсолютному большинству пользователей это не потребуется. Но там, где ведется работа с важными и конфиденциальными документами, информация должна быть серьезно защищена.
Загрузка ключей шифрования
Есть еще одна особенность, касающаяся безопасности: чтобы у злоумышленника не было совсем никаких шансов, необходимо ключи загружать в шифратор, минуя оперативную память компьютера, где их теоретически можно перехватить и даже подменить. Для этого УКЗД дополнительно содержит порты ввода-вывода, например COM или USB, к которым напрямую подключаются разные устройства чтения ключевых носителей. Это могут быть любые смарт-карты (пластиковые карты с микросхемой памяти или микропроцессором), специальные USB-ключи или электронные таблетки Touch Memory (их очень часто используют, например, для домофонов).
Помимо прямого ввода ключей в УКЗД, многие из таких носителей обеспечивают и их надежное хранение — даже украв USB-ключ, без специального кода доступа к его содержимому не подобраться.
Как программы используют шифратор
Установленный на компьютере шифратор может использоваться сразу несколькими программами, например программой прозрачного шифрования, «прогоняющей» данные сквозь шифратор, и программой электронной подписи, использующей для вычисления подписи получаемые от шифратора случайные числа.
Рис. 4. Программный интерфейс для шифратора |
Для того чтобы не возникало коллизий при одновременном обращении к шифратору разных программ (представим, что одна из них шифрует логический диск, а вторая на другом ключе расшифровывает файл: если не управлять очередью выполнения шифратором их требований, получится абракадабра), ставят специальное программное обеспечение управления им (рис. 4). Такое ПО выдает команды через драйвер шифратора и передает последнему данные, следя за тем, чтобы потоки информации от разных источников не пересекались, а также за тем, чтобы в шифраторе всегда находились нужные ключи. Таким образом, УКЗД выполняет два принципиально разных вида команд:
- перед загрузкой операционной системы - команды, зашитые в память шифратора. Они осуществляют все необходимые проверки и устанавливают требуемый уровень безопасности - допустим, отключают внешние устройства.
- после загрузки, например, Windows - команды, поступающие через модуль управления шифраторами: шифровать данные, перезагружать ключи, вычислять случайные числа и т. д.
Такое разделение необходимо из соображений безопасности — после выполнения команд первого блока, которые нельзя обойти, злоумышленник уже не сможет сделать что-либо запрещенное.
Еще одно назначение ПО управления шифраторами — обеспечить возможность замены одного шифратора на другой (скажем, на более «продвинутый» или быстрый), не меняя программного обеспечения. Это происходит аналогично, например, смене сетевой карты: шифратор поставляется вместе с драйвером, который позволяет программам выполнять стандартный набор функций. Те же программы шифрования и не заметят такой подмены, но будут работать в несколько раз быстрее.
Таким же образом можно заменить аппаратный шифратор на программный. Для этого программный шифратор выполняют обычно в виде драйвера, предоставляющего тот же набор функций.
Впрочем, такое ПО нужно вовсе не всем шифраторам — в частности, ПШ, стоящий по дороге к HDD, достаточно настроить один раз, после чего о нем можно просто забыть.
Следует сказать и о том, почему же такой замечательной и полезной вещью, как аппаратный шифратор, еще не обладает каждый пользователь . Увы, для домашнего ПК он дороговат. Впрочем, это вопрос времени — вспомните, какой редкостью были десяток лет назад мобильные телефоны. А сейчас, пожалуй, это неизменный атрибут большинства читателей журнала «Мир ПК».
ОБ АВТОРАХ:
Сергей Петрович Панасенко — начальник отдела разработки программного обеспечения фирмы «АНКАД»,
Владимир Владимирович Ракитин — руководитель проектов «Криптон» фирмы «АНКАД».
С авторами можно связаться по е-mail: develop@ancud.ru.
Словарь криптографа (часть 1)
Продолжим рассказ о криптографических терминах. В целях широты охвата описание каждого из них дается максимально коротко.
- ACL (Access Control List - Список контроля доступа). Содержит обычно список прав пользователей на доступ к конкретному ресурсу.
- AD (Active Directory - Активная директория). Служба Microsoft Windows 2000, позволяющая централизованно управлять всеми объектами сети, в том числе определяет права пользователей на доступ к объектам.
- AES (Advanced Encryption Standard - Новый стандарт шифрования). Название конкурса алгоритмов симметричного шифрования и алгоритма-победителя конкурса (см. "Мир ПК", № 5/02, с. 86).
- APOP (Authentication in Post Office Protocol - Аутентификация в почтовом протоколе). Команда, с помощью которой производится защищенная аутентификация (проверка подлинности) в распространенном протоколе электронной почты POP-3.
- AS (Authentication Server - Сервер аутентификации). Сервер, выполняющий аутентификацию пользователей.
- Brute-force attack (Атака методом "грубой силы"). Атака на зашифрованный текст или электронную цифровую подпись (ЭЦП), использующая прямой перебор всех возможных вариантов ключей шифрования или ЭЦП.
- CA (Certification Authority - Центр сертификатов). Служба или организация, осуществляющая выпуск криптографических ключей (сертификатов) для индивидуальных пользователей или организаций.
- CBC (Cipher Block Chaining - Сцепление блоков шифра). Режим шифрования некоторых алгоритмов, в котором при шифровании очередного блока данных участвует предыдущий уже зашифрованный блок.
- CFB (Cipher Feedback - Обратная связь по шифротексту). Режим работы ряда алгоритмов симметричного шифрования. Называется также "гаммированием с обратной связью".
- CHAP (Challenge-Handshake Authentication Protocol - Протокол аутентификации "рукопожатием"). Протокол аутентификации, использующий классическую схему хэширования случайного запроса, является одним из наиболее распространенных.
- CryptoAPI (Cryptographic Application Programming Interface - Криптографический интерфейс программирования приложений). Стандартизованный интерфейс, предоставляющий прикладным программам и модулям доступ к функциям шифрования информации, ЭЦП и генерации ключей в операционных системах Microsoft Windows (начиная с версий 98 и NT 4.0).
- CSP (Cryptographic Service Provider - Провайдер услуг шифрования). Библиотека функций, в которой реализованы непосредственно криптографические алгоритмы или через которую осуществляется доступ к аппаратному шифратору.
- DES (Data Encryption Standard - Стандарт шифрования данных). Наиболее распространенный алгоритм шифрования данных, разработан в США в 1977 г. (подробнее см. "Мир ПК", № 5/02, с. 86).
- DLP (Discrete Logarithm Problem - Проблема дискретного логарифма). Трудноразрешимая задача, лежащая в основе ряда алгоритмов ЭЦП.
- DoS (Denial of Service - Отказ в доступе). Класс сетевых атак, целью которых является отказ системы-жертвы атаки обслуживать своих легальных пользователей.
- DSA (Digital Signature Algorithm - Алгоритм цифровой подписи). Алгоритм ЭЦП, лежащий в основе стандарта DSS (см. ниже).
- DSS (Digital Signature Standard - Стандарт цифровой подписи). Стандарт США на ЭЦП, опубликованный Национальным институтом стандартов и технологий США в 1991 г.
- EAP (Extensible Authentication Protocol - Расширяемый протокол аутентификации). Протокол аутентификации, позволяющий динамически определить конкретную схему аутентификации удаленного пользователя.
- ECB (Electronic Codebook - Электронная кодовая книга). Простейший из режимов работы алгоритмов симметричного шифрования - раздельное шифрование блоков данных, называется также режимом "простой замены".
- ECC (Elliptic Curve Cryptography - Криптография на эллиптических кривых). Обобщающее название алгоритмов защиты информации, использующих для вычислений группу точек эллиптической кривой.
- ECDLP (Elliptic Curve Discrete Logarithm Problem - Проблема дискретного логарифма эллиптической кривой). Трудноразрешимая задача, лежащая в основе алгоритмов на эллиптических кривых.
- ECES (Elliptic Curve Encryption Scheme - Порядок шифрования на эллиптических кривых). Алгоритм асимметричного шифрования.
- ECKEP (Elliptic Curve Key Establishment Protocol - Протокол определения ключа на эллиптических кривых). Один из протоколов вычисления ключа парной связи на основании собственного секретного и чужого открытого ключей.
- EFS (Encrypted File System - Шифрующая файловая система). Файловая система (поддерживается в Microsoft Windows 2000 и XP), позволяющая прозрачно шифровать содержимое файлов и каталогов.
- FEK (File Encryption Key - Ключ шифрования файла). Случайный ключ для шифрования файлов, аналог дискового ключа (см. "Мир ПК", № 4/02, с. 92).
- Flood (Наводнение). DoS-атака, выполняемая отправкой жертве большого числа TCP-, UDP- или ICMP-пакетов.
- Fortezza (от Forte - сила). Набор стандартов безопасности, разработанный Агентством национальной безопасности (АНБ) США. Также название аппаратных шифраторов, реализующих данные стандарты.
- IDEA (International Data Encryption Algorithm - Международный алгоритм шифрования данных). Алгоритм симметричного шифрования, разработан в 1992 г. Несмотря на название, имеет существенно меньшее распространение, чем DES.
- IV (Initialization Vector - Вектор инициализации). Дополнительный несекретный параметр некоторых алгоритмов шифрования, называется также "синхропосылкой".
- KDC (Key Distribution Center - Центр распределения ключей). Основная служба протокола Kerberos (протокол аутентификации в системах "клиент-сервер", подробнее см. "Мир ПК", № 5/02, с. 86).
- Land (Земля). DoS-атака, выполняемая зацикливанием IP-пакета с совпадающими адресами отправителя и получателя, использует некорректную реализацию сетевых сервисов некоторых операционных систем.
- LDAP (Lightweight Directory Access Protocol - Упрощенный протокол доступа к каталогам). Универсальный протокол для удаленного доступа к сетевым каталогам, один из основных протоколов инфраструктуры открытых ключей и AD.
- MAC (Message Authentication Code - Код аутентификации сообщения). Уникальный код сообщения, аналогичный хэш-значению, но вычисляемый с использованием криптографического ключа.
- Mars (Марс). Алгоритм симметричного шифрования, один из финалистов конкурса AES, разработан фирмой IBM.
- NESSIE (New European Schemes for Signatures, Integrity and Encryption - Новые европейские схемы для электронной подписи, обеспечения целостности информации и шифрования). Конкурс, где выбираются основные общеевропейские стандарты защиты информации.
- NTFS (New Technology File System - Файловая система новой технологии). Файловая система (поддерживается в Microsoft Windows NT 3.51 и выше), позволяющая разделять доступ пользователей к файлам и каталогам компьютера.
- OFB (Output Feedback - Обратная связь по выходу). Один из режимов работы алгоритмов симметричного шифрования, называется также "гаммированием".
- OPSEC (Open Platform for Security - Открытая платформа безопасности). Открытая платформа фирмы Check Point Software Technologies для разработки интегрированных систем сетевой безопасности.
- PAP (Password Authentication Protocol - Протокол аутентификации по паролю). Простейший протокол аутентификации, предполагающий передачу пароля по сети в открытом виде.
- PC/SC (Personal Computer / Smart Card - Персональный компьютер / смарт-карта). Стандарт, определяющий аппаратные требования и программный интерфейс к устройствам работы со смарт-картами. Так же называется и рабочая группа по разработке данного стандарта.
- PIN (Personal Identification Number - Персональный идентификационный номер). Аналог пароля в различных механизмах аутентификации.
- Ping of Death (Свист смерти). DoS-атака, осуществляемая с помощью некорректно фрагментированных ICMP-пакетов.
- PKI (Public Key Infrastructure - Инфраструктура открытых ключей). Набор средств и правил управления криптографическими ключами - электронными сертификатами (подробнее см. "Мир ПК", № 5/02, с. 86).
- PPTP (Point-to-point Tunneling Protocol - Протокол туннелирования "точка-точка"). Используется для построения многопротокольных VPN (см. ниже).
- ROR/ROL (Rotate Right/Left - Сдвиг вправо/влево). Операция циклического битового сдвига вправо или влево, используется в качестве криптографического примитива (см. "Мир ПК", № 5/02, с. 86) во многих алгоритмах шифрования.
- SAM (Security Account Manager - Менеджер безопасности учетных записей). Диспетчер, управляющий назначением прав пользователей в Microsoft Windows NT 4.0/2000.
- SASL (Simple Authentication and Security Layer - Простой уровень аутентификации и безопасности). Метод аутентификации, применяемый в протоколах электронной почты.
- S-box (Substitution box - Блок подстановки). Один из наиболее часто используемых в алгоритмах шифрования криптографических примитивов.
- SCR (Smart Card Reader - Считыватель смарт-карт). Традиционное название устройств чтения/записи смарт-карт.
- Serpent (Змея). Алгоритм симметричного шифрования - один из финалистов конкурса AES.
- SET (Secure Electronic Transaction - Защищенная электронная транзакция). Распространенный протокол защиты электронных платежей (подробнее см. "Мир ПК", № 5/02, с. 86).
- S-HTTP (Secure HTTP - Защищенный HTTP). Протокол защиты HTTP-трафика на уровне приложений сетевой модели.
- SKIP (Secure Key Internet Protocol - Интернет-протокол с защищенным ключом). Протокол шифрования и инкапсуляции IP-пакетов, используется для создания VPN (см. ниже).
- SSET (Simplified Secure Electronic Transaction - Упрощенная защищенная электронная транзакция). Протокол защиты электронных платежей, упрощенный по сравнению с SET для ускорения вычислений и возможности использования при ограниченных ресурсах.
- SSH (Secure Shell - Защищенная оболочка). Протокол и программа, позволяющие выполнять telnet-сеансы с передачей информации в зашифрованном виде.
- SSO (Single Sign-on - Единая подпись). Технология, позволяющая применять единый пароль для получения доступа к различным ресурсам.
- TEA (Tiny Encryption Algorithm - Крошечный алгоритм шифрования). Алгоритм симметричного шифрования, разработан в Кембриджском университете.
- Teardrop (Слеза). DoS-атака, провоцирующая компьютер на сборку пакета отрицательной длины.
- TGS (Ticket-Granting Service - Служба предоставления билета). Одна из служб KDC, предоставляющая клиенту билет, разрешающий доступ к определенному серверу.
- TGT (Ticket-Granting ticket - Билет предоставления билета). Билет, разрешающий доступ к TGS.
- Tiny fragment (Крошечный фрагмент). Атака, позволяющая проникнуть внутрь защищаемой сети с помощью специальным образом фрагментированных TCP-пакетов.
- TM (Touch Memory - Прикосновение памяти). Электронная таблетка, содержащая микросхему энергонезависимой памяти, используется для хранения криптографических ключей.
- Twofish (Две рыбы). Алгоритм симметричного шифрования, один из финалистов конкурса AES, разработан фирмой Counterpane Security Systems.
- UA (User Account - Учетная запись пользователя). Совокупность информации о пользователе какой-либо системы, в том числе требуемой для его аутентификации.
- UBE (Unsolicited Bulk E-mail - Нежелательный объем е-mail). Массовая рассылка нежелательных сообщений электронной почты ("спам").
- VPN (Virtual Private Network - Виртуальные частные сети). Технология защищенного сетевого обмена на базе сети общего пользования, в частности Интернет (подробнее см. "Мир ПК", № 4/02, с. 92).
- XOR (Exclusive-OR - Исключающее "или"). Логическая операция, - один из основных криптографических примитивов, используемых в алгоритмах шифрования.
С. П. Панасенко