Fin de tâche anormale (abandon)
Problème logiciel ou matériel qui met fin à une tâche de traitement de l'ordinateur.
Advanced Encryption Standard (AES) (Standard de chiffrement avancé)
Standard de chiffrement NIST approuvé par FIPS et utilisé pour protéger les données électroniques.
Divers types d'agents de chiffrement peuvent être créés pour interagir avec l'OKM pour la création et l'obtention de composants de clé. Les lecteurs de bande StorageTek T10000 modèles A et B, T9840D et HP LTO Gen 4 et Gen 5 sont des types d'agents de chiffrement lorsqu'ils sont activés pour le chiffrement.
La bibliothèque d'agents permet à un agent de récupérer des composants de clé depuis un OKM.
API fourni par la bibliothèque d'agents. Les agents appellent cette API.
Le cluster OKM conserve un journal de tous les événements auditables qui se produisent dans l'ensemble du système. Les agents peuvent contribuer aux entrées de ce journal pour les événements auditables.
Rôle utilisateur qui peut consulter les traces d'audit (événements de la liste des audits et paramètres de sécurité KMA).
Lorsque le verrouillage autonome est activé, un quorum de responsables de la sécurité est requis pour déverrouiller un KMA verrouillé. Lorsqu'il est désactivé, le KMA peut être déverrouillé par n'importe quel responsable de la sécurité.
Fichier créé au cours du processus de sauvegarde qui contient toutes les informations nécessaires pour restaurer un KMA. Chiffré à l'aide d'une clé générée spécifiquement pour la sauvegarde. La clé se trouve dans le fichier de clé de sauvegarde correspondant.
Fichier généré au cours du processus de sauvegarde qui contient la clé utilisée pour chiffrer le fichier de sauvegarde. Ce fichier est chiffré à l'aide de la clé principale du système. La clé principale est extraite du fichier de sauvegarde de sécurité principale à l'aide d'un quorum des références de scission de clés.
Rôle utilisateur responsable de la sécurité et du stockage des données et des clés.
Un certificat est un document signé numériquement qui permet de valider l'autorisation et le nom du détenteur. Le document se compose d'un bloc de données spécialement formaté qui contient le nom du détenteur du certificat (DN de sujet), le numéro de série, les dates de validité, la clé publique du détenteur, le DN de l'émetteur et la signature numérique de l'émetteur pour l'authentification. L'émetteur atteste que le nom du détenteur est celui associé à la clé publique dans le document.
Autorité de certification (CA)
Une autorité de certification enregistre les utilisateurs finaux, émet leurs certificats et peut également créer des CA inférieurs. Les KMA eux-mêmes agissent comme autorité de certification pour émettre des certificats pour les utilisateurs, les agents et les autres KMA.
Un cluster est un ensemble de Key Management Appliances (appareils de gestion de clés) qui sont regroupés en un système unique afin d'améliorer la tolérance aux pannes, la disponibilité et l'évolutivité.
Ajoute une couche supplémentaire de chiffrement et d'authentification lors de la transmission via une connexion LAN du jeton au lecteur.
Rôle utilisateur qui gère le flux de données à travers votre organisation et peut définir et déployer des contextes de données (Groupes de clés) et des règles qui déterminent la manière dont les données sont protégées et finalement détruites (Stratégies de clés).
Paramètre de sécurité critique
Informations liées à la sécurité (par exemple, clés de chiffrement secrètes et privées, et données d'authentification comme des mots de passe et des codes PIN) dont la divulgation et la modification peuvent compromettre la sécurité d'un module de chiffrement.
Crypto-Accelerator (Accélérateur de chiffrement)
Un Crypto-Accelerator est un périphérique matériel (une carte) qui permet d'augmenter le taux de chiffrement/déchiffrement de données et ainsi d'améliorer les performances du système dans des conditions de forte demande.
Lecteur de bande apte au chiffrement pour lequel la fonction de chiffrement est activée sur le lecteur.
Lecteur de bande qui dispose de la capacité pour activer le chiffrement de périphérique et devenir apte au chiffrement.
Art de protéger des informations en les transformant (chiffrage) en un format illisible, appelé texte chiffré. Seuls ceux qui possèdent une clé spéciale peuvent déchiffrer le message dans son format d'origine.
Durée pendant laquelle une clé peut être utilisée pour le chiffrement. Elle commence lorsque la clé est affectée pour la première fois au lecteur. Cette valeur correspond à la "Période d'utilisation du créateur" dans NIST 800-57.
Les unités de données sont des entités abstraites au sein de l'OKM qui représentent les objets de stockage associés aux clés de chiffrement et aux stratégies de l'OKM. La définition concrète d'une unité de données est définie par l'agent de chiffrement qui la crée. Pour les lecteurs de bande, une unité de données est une cartouche de bande.
Clé de 64 caractères unique utilisée pour activer le lecteur de bande. Voir également Clé d'ordinateur.
Conversion de données en un code secret. Le chiffrement est l'une des manières les plus efficaces de sécuriser les données. Pour lire un fichier chiffré, vous devez avoir accès à une clé ou un mot de passe spécial qui vous permette de le déchiffrer.
Federal Information Processing Standards. Le National Institute of Standards and Technology (NIST) est une agence fédérale non régulatrice au sein des laboratoires et de l'administration technologique du département du Commerce des Etats-Unis, qui développe et promeut les normes et la technologie, notamment :
Computer Security Division and Resource Center (CSRC)
Federal Information Processing Standards (FIPS)
Pour plus d'informations, rendez-vous sur le site :
http://www.nist.gov/
Code d'authentification de message de hachage (HMAC)
En cryptographie, un code d'authentification de message de hachage à clé, ou HMAC (Hash Message Authentication Code), est un type de code d'authentification de message (MAC) calculé à l'aide d'une fonction de hachage cryptographique combinée à une clé secrète.
Protocole utilisé pour router les données de leur source à leur destination dans un environnement Internet.
Adresse IP (Internet Protocol)
Valeur de quatre octets qui identifie un périphérique et le rend disponible via un réseau. Le format d'une adresse IP est une adresse numérique de 32 bits écrite sous la forme de quatre nombres séparés par des points. Chaque nombre peut être compris entre 0 et 255. Par exemple, 10.172.145.23 peut être une adresse IP.
Egalement appelé adresse TCP/IP.
Dans ce contexte, une clé est une clé de chiffrement de données symétrique. Les agents peuvent demander de nouveaux composants de clé pour le chiffrement des données correspondant à une ou plusieurs unités de données. Une clé appartient à un groupe de clés unique de sorte que seuls les agents associés au groupe de clés puissent accéder à la clé. Les clés disposent de durées de validité de chiffrement et de déchiffrement qui sont dictées par la stratégie de clés associée au groupe de clés de la clé spécifique. Le type de clé (à savoir, sa longueur et son algorithme) est spécifié par l'agent de chiffrement.
Chaîne aléatoire de bits générée par Oracle Key Manager, saisie depuis le clavier ou achetée. Les types de clés incluent :
Les clés de périphérique activent la fonction de chiffrement de lecteur de bande.
Les clés de support chiffrent et déchiffrent les données du client sur une cartouche de bande.
Les clés d'ordinateur active le lecteur de bande pour le chiffrement.
La clé de communication ajoute une couche supplémentaire de chiffrement (authentification) à la clé de support lors de la transmission via une connexion LAN du jeton au lecteur.
Les clés de partage sont uniques sur chaque lecteur et fonctionnent avec la clé d'encapsulation pour la protection.
Les clés d'encapsulation chiffrent la clé de support sur le réseau LAN et le jeton.
Les groupes de clés permettent d'organiser les clés et de les associer à une stratégie de clés. Les groupes de clés permettent également de donner aux agents de chiffrement l'accès aux composants de clé.
Key Management Appliance (KMA)
Serveur Netra SPARC T4-1, Sun Fire X2100 M2, X2200 M2 ou X4170 M2 sur lequel le logiciel OKM est préchargé. L'appareil fournit la gestion des clés basée sur une stratégie et des services d'allocation de clés.
Une stratégie de clés fournit les paramètres pour les durées de validité à appliquer aux clés. Chaque groupe de clés dispose d'une stratégie de clés et une stratégie de clés peut s'appliquer à aucun, un ou plusieurs groupes de clés. Les durées de validité de chiffrement et de déchiffrement spécifiées sur la stratégie limitent l'utilisation des clés et déclenchent les événements de cycle de vie des clés, comme la désactivation ou la destruction des clés.
Les stratégies de clés contrôlent également où les clés gouvernées par la stratégie de clés peuvent être exportées vers d'autres partenaires de transfert de clés ou importées à partir d'autres partenaires de transfert de clés.
Fichier contenant des clés et les unités de données associées (si définies) permettant de déplacer des composants de clés d'un cluster OKM à un autre. Les deux parties impliquées dans le transfert doivent configurer un partenaire de transfert de clé de l'autre partie pour l'échange. Le fichier de transfert de clés est signé et chiffré pour garantir la confidentialité des informations transférées ainsi que leur intégrité.
Partenaire de transfert de clé
Le partenaire de transfert de clés est le destinataire des clés exportées d'un OKM à un autre.
Ensemble de noeuds et de branches qui connecte entre eux des périphériques de traitement de données via des liens logiciels et matériels afin de simplifier l'échange d'informations.
Ensemble d'un ou plusieurs KMA interconnectés. Tous les KMA dans un cluster OKM doivent avoir des informations identiques. Cela n'est pas le cas uniquement si un OKM est hors service ou lorsqu'une nouvelle information n'a pas encore été propagée à travers tous les KMA du cluster OKM. Une action exécutée sur un KMA du cluster OKM se propage éventuellement sur tous les KMA du cluster OKM.
Système offrant la gestion des clés. Le système Oracle dispose d'un composant OKM qui fournit la gestion des clés pour le compte des agents de chiffrement.
Algorithme sélectionné par le NIST (U.S. National Institute of Standards and Technology) pour la norme AES (Advanced Encryption Standard). Prononcé "rain-dahl", l'algorithme a été conçu par deux cryptologues belges, Vincent Rijmen et Joan Daemen, dont les noms de famille apparaissent dans le nom du chiffrement.
En cryptographie, RSA est un algorithme pour la cryptographie de clés publiques, créé par Ron Rivest, Adi Shamir et Leonard Adleman au MIT. Les lettres RSA sont les initiales de leurs noms de famille.
Algorithmes de hachage sécurisé (SHA)
Les algorithmes de hachage sécurisé sont des fonctions de hachage cryptographique conçues par la National Security Agency (NSA) et publiées par le NIST en tant que norme FIPS (Federal Information Processing Standard) américaine.
Rôle utilisateur qui gère les paramètres de sécurité, les utilisateurs, les sites et les partenaires de transfert.
Déclaration rigoureuse de la sensibilité des données organisationnelles, de divers sujets pouvant potentiellement accéder aux données et des règles qui gèrent et contrôlent cet accès.
Shamir's Secret Sharing (Partage secret de Shamir)
Algorithme de cryptographie dans lequel un secret est divisé en parts. Chaque participant reçoit sa propre part unique et certaines parts ou toutes les parts sont requises pour reconstruire le secret. Il peut s'avérer incommode de devoir compter sur tous les participants pour combiner le secret, auquel cas un schéma de quorum ou de seuil est utilisé.
Un site est un attribut de chaque OKM et agent de chiffrement qui indique la proximité réseau, ou localité. Les agents de chiffrement doivent d'abord tenter de contacter un KMA sur le même site, puis un KMA sur un site différent si aucun KMA sur le site local ne répond.
Opération invoquée par l'utilisateur qui provoque la collecte de toutes les données appropriées dans un fichier unique et le téléchargement de ce fichier sur la machine à partir de laquelle l'utilisateur a invoqué cette opération. Une fois le téléchargement terminé, le fichier est supprimé du KMA.
Le lecteur de bande T10000 est un lecteur de bande compact, modulaire et de hautes performances conçu pour le stockage de données haute capacité. Le T10000A stocke jusqu'à 500 giga-octets (Go) de données non compressées, le T10000B stocke 1 téraoctet, le T10000C stocke 5 téracoctets et le T10000D stocke 8 téraoctets.
Terme KMS version 1.x.
Les jetons sont des périphériques portables et intelligents qui se connectent à une baie de jetons à l'aide d'une connexion Ethernet. Les deux rôles des jetons sont :
Activation du jeton de clé
Jeton de clé opérationnelle
Terme KMS version 1.x.
Châssis qui héberge les jetons physiques et fournit alimentation et connectivité pour un ou deux jetons par le biais du connecteur arrière en aveugle. La baie de jetons est compatible avec un rack de 19 pouces standard, avec facteur de forme 1U. La baie de jetons existe en deux styles : bureau et monté en rack.
Cryptage transparent des données (TDE)
Fonction des systèmes de gestion de base de données Oracle qui fournit les services de chiffrement et déchiffrement des informations sensibles de la base de données.
Transport Layer Security (TLS)
Protocole de chiffrement qui fournit des communications sécurisées sur Internet pour la navigation Web, les e-mails, les fax Internet, les messageries instantanées et d'autres transferts de données.
Chaîne qui sert d'identifiant unique pour une entité OKM, par exemple un agent de chiffrement ou un utilisateur.
Ultra Tape Drive Encryption Agent
Les lecteurs de bande de chiffrement ultra-conformes utilisent le logiciel Ultra Tape Drive Encryption Agent pour la gestion des clés. Ces lecteurs obtiennent les composants de clés depuis l'OKM à utiliser avec les volumes de bande. Chacun écrit à partir des résultats BOT dans l'utilisation de nouveaux composants de clés utilisés pour le chiffrement de données sur le volume. En conséquence, la définition d'une unité de données mappe vers un volume de bande dans lequel l'ID externe de l'unité de données est le numéro de série du volume.
Etiquette alphanumérique à six caractères utilisée pour identifier un volume de bande.