Słownik bezpieczeństwa i szyfrowania
Przystępne wyjaśnienia koncepcji bezpieczeństwa leżących u podstaw Vaulted.
AES-256-GCM
AES-256-GCM to symetryczny algorytm szyfrowania łączący Advanced Encryption Standard z 256-bitowym kluczem i trybem Galois/Counter Mode, zapewniający w jednej operacji zarówno poufność danych, jak i wbudowaną weryfikację integralności.
Architektura zero-knowledge
Architektura zero-knowledge to projekt systemu, w którym dostawca usługi nie ma możliwości uzyskania dostępu do danych, ich odczytania ani odszyfrowania przechowywanych w imieniu użytkowników, ponieważ wszystkie operacje szyfrowania i deszyfrowania odbywają się po stronie klienta.
Atak brute-force
Atak brute-force to metoda kryptoanalizy próbująca ustalić hasło, klucz szyfrujący lub inny sekret przez systematyczne testowanie wszystkich możliwych kombinacji, aż do znalezienia poprawnej wartości.
Atak man-in-the-middle
Atak man-in-the-middle (MITM) to cyberatak, w którym atakujący potajemnie przechwytuje — i potencjalnie modyfikuje — komunikację między dwiema stronami przekonanymi, że komunikują się bezpośrednio ze sobą.
bcrypt
bcrypt to funkcja haszowania haseł oparta na blokowym szyfrze Blowfish, która zawiera wbudowaną sól i konfigurowalny współczynnik kosztu. Jest zaprojektowana jako kosztowna obliczeniowo w sposób szczególnie odporny na akcelerację przez układy GPU i dedykowany sprzęt.
Dziennik audytu
Dziennik audytu to chronologiczny, odporny na manipulacje zapis zdarzeń i aktywności systemowych — w tym działań użytkowników, prób dostępu, zmian konfiguracji i zdarzeń bezpieczeństwa — prowadzony w celach rozliczalności, zgodności regulacyjnej i analizy kryminalistycznej.
Efemeryczne sekrety
Efemeryczne sekrety to wrażliwe elementy danych — takie jak hasła, tokeny lub klucze — celowo zaprojektowane tak, by istniały przez ograniczony czas lub liczbę dostępów przed trwałym i nieodwracalnym zniszczeniem.
Eksfiltracja danych
Eksfiltracja danych to nieautoryzowany transfer danych z systemów organizacji do zewnętrznej lokalizacji kontrolowanej przez atakującego — przez techniki sieciowe, nośniki fizyczne lub skompromitowane konta.
Eskalacja uprawnień
Eskalacja uprawnień to technika ataku, w której atakujący wykorzystuje podatność, błędną konfigurację lub skradzione poświadczenia, aby uzyskać wyższe uprawnienia niż pierwotnie autoryzowane — zazwyczaj od zwykłego użytkownika do konta administratora lub roota.
Fragment URL
Fragment URL to część adresu URL pojawiająca się po znaku krzyżyka (#). Zgodnie z RFC 3986 przeglądarki przetwarzają fragmenty wyłącznie po stronie klienta i nigdy nie dołączają ich do żądań HTTP wysyłanych do serwera.
Haszowanie haseł
Haszowanie haseł to praktyka stosowania kosztownej obliczeniowo, jednokierunkowej funkcji kryptograficznej do hasła — w połączeniu z unikalną solą — w celu uzyskania skrótu o stałej długości, który może weryfikować hasło bez przechowywania go w odwracalnej postaci.
HIPAA
HIPAA (Health Insurance Portability and Accountability Act) to federalna ustawa USA ustanawiająca krajowe standardy ochrony prywatności i bezpieczeństwa indywidualnie identyfikowalnych informacji zdrowotnych, znanych jako Protected Health Information (PHI).
HMAC
HMAC (Hash-Based Message Authentication Code) to mechanizm kryptograficzny łączący kryptograficzną funkcję haszującą z tajnym kluczem w celu generowania kodu uwierzytelniania o stałym rozmiarze, pozwalającego odbiorcy zweryfikować zarówno integralność, jak i autentyczność wiadomości.
Infrastruktura klucza publicznego
Infrastruktura klucza publicznego (PKI) to kompleksowa platforma ról, zasad, sprzętu, oprogramowania i procedur służąca do tworzenia, zarządzania, dystrybucji, przechowywania i unieważniania certyfikatów cyfrowych oraz powiązanych par kluczy publiczno-prywatnych.
Inżynieria społeczna
Inżynieria społeczna to klasa technik ataku manipulujących ludzką psychologią — zaufaniem, strachem, pilnością lub chęcią pomocy — aby nakłonić ludzi do ujawnienia poufnych informacji, przyznania nieautoryzowanego dostępu lub wykonania działań kompromitujących bezpieczeństwo.
JSON Web Token
JSON Web Token (JWT) to kompaktowy, bezpieczny dla URL format tokenów zdefiniowany w RFC 7519, reprezentujący claims między dwiema stronami jako cyfrowo podpisany obiekt JSON, umożliwiający bezstanowe uwierzytelnianie i wymianę informacji.
Key Wrapping
Key wrapping to operacja kryptograficzna, która szyfruje klucz (klucz ładunku) za pomocą innego klucza (klucza opakowującego lub klucza szyfrowania kluczy), zapewniając poufność i integralność materiału klucza podczas przechowywania lub transportu.
Kontrola dostępu
Kontrola dostępu to zestaw mechanizmów bezpieczeństwa i zasad regulujących, którym użytkownikom, systemom lub procesom zezwala się na dostęp do określonych zasobów oraz jakie działania mogą wykonywać na tych zasobach.
Kontrola dostępu oparta na rolach
Kontrola dostępu oparta na rolach (RBAC) to model kontroli dostępu, w którym uprawnienia są przypisywane do ról — takich jak administrator, redaktor czy czytelnik — a użytkownicy uzyskują uprawnienia przez przypisanie do tych ról, zamiast zarządzać nimi bezpośrednio na poszczególnych kontach.
Naruszenie danych
Naruszenie danych to incydent bezpieczeństwa, w którym wrażliwe, chronione lub poufne dane są uzyskiwane, ujawniane lub kradzione przez nieuprawnioną stronę — poprzez włamanie, zagrożenie wewnętrzne, błędną konfigurację lub przypadkowe ujawnienie.
Nonce
Nonce (number used once) to unikalna, zazwyczaj losowa lub sekwencyjna wartość używana dokładnie raz w operacji kryptograficznej, zapewniająca, że identyczne wejścia dają różne wyjścia, zapobiegając atakom odtwarzania i analizie wzorców.
OAuth
OAuth 2.0 to otwarta platforma autoryzacji umożliwiająca aplikacji trzeciej strony uzyskanie ograniczonego dostępu do zasobów użytkownika w innej usłudze — takich jak jego profil lub dane — bez konieczności udostępniania hasła użytkownika tej stronie trzeciej.
PBKDF2
PBKDF2 (Password-Based Key Derivation Function 2) to algorytm wyprowadzania kluczy zdefiniowany w RFC 8018, który iteracyjnie stosuje funkcję pseudolosową — zazwyczaj HMAC-SHA-256 — na haśle i salt, by wyprodukować wyprowadzony klucz obliczeniowo kosztowny do złamania brute-force.
PCI-DSS
PCI-DSS (Payment Card Industry Data Security Standard) to zestaw wymagań bezpieczeństwa ustanowiony przez PCI Security Standards Council w celu ochrony danych posiadaczy kart i zapewnienia, że wszystkie organizacje przetwarzające, przechowujące lub przesyłające informacje o kartach kredytowych utrzymują bezpieczne środowisko.
Phishing
Phishing to atak socjotechniczny, w którym atakujący wysyła fałszywą komunikację — zazwyczaj e-maile, SMS-y lub wiadomości błyskawiczne — podszywającą się pod zaufany podmiot, aby nakłonić odbiorców do ujawnienia wrażliwych informacji, kliknięcia w złośliwe linki lub zainstalowania złośliwego oprogramowania.
Podpis cyfrowy
Podpis cyfrowy to schemat kryptograficzny używający klucza prywatnego do generowania podpisu na wiadomości lub dokumencie, który każdy posiadający odpowiedni klucz publiczny może zweryfikować, potwierdzając autentyczność i integralność danych.
Ransomware
Ransomware to złośliwe oprogramowanie szyfrujące pliki ofiary lub blokujące jej dostęp do systemów, a następnie żądające zapłaty — zazwyczaj w kryptowalucie — w zamian za klucz deszyfrujący lub przywrócenie dostępu.
RODO/GDPR
RODO (Rozporządzenie o Ochronie Danych Osobowych, ang. GDPR) to kompleksowe prawo o ochronie danych Unii Europejskiej regulujące sposób, w jaki organizacje zbierają, przetwarzają, przechowują i udostępniają dane osobowe osób przebywających na terenie UE i Europejskiego Obszaru Gospodarczego.
Rotacja kluczy
Rotacja kluczy to praktyka bezpieczeństwa polegająca na okresowej wymianie aktywnych kluczy kryptograficznych lub poświadczeń na nowo wygenerowane i wycofywaniu starych kluczy, aby ograniczyć okno ekspozycji w przypadku ich kompromitacji.
RSA
RSA (Rivest-Shamir-Adleman) to asymetryczny algorytm kryptograficzny, którego bezpieczeństwo wynika z obliczeniowej trudności faktoryzacji iloczynu dwóch dużych liczb pierwszych, używany do szyfrowania, podpisów cyfrowych i bezpiecznej wymiany kluczy.
Salt (kryptografia)
Kryptograficzny salt to losowa wartość łączona z hasłem lub innym wejściem przed jego przetworzeniem przez funkcję haszującą lub funkcję wyprowadzania kluczy, zapewniająca, że identyczne wejścia dają różne wyjścia i uniemożliwiająca wstępnie obliczone tabele ataku.
Samozniszczające się wiadomości
Samozniszczające się wiadomości to wiadomości lub udostępniane dane zaprojektowane tak, by były automatycznie i trwale usuwane po określonej liczbie dostępów lub po upływie zdefiniowanego okresu.
SHA-256
SHA-256 (Secure Hash Algorithm 256-bit) to kryptograficzna funkcja haszująca z rodziny SHA-2, przyjmująca wejście o dowolnej długości i generująca stały 256-bitowy (32-bajtowy) skrót, zaprojektowana jako funkcja jednokierunkowa, której wyjście nie ujawnia nic o wejściu.
Single Sign-On
Single Sign-On (SSO) to schemat uwierzytelniania pozwalający użytkownikowi jednokrotnie uwierzytelnić się u centralnego dostawcy tożsamości, a następnie uzyskiwać dostęp do wielu niezależnych aplikacji i usług bez ponownego monitowania o poświadczenia.
SOC 2
SOC 2 (System and Organization Controls 2) to platforma audytowa opracowana przez AICPA oceniająca kontrole organizacji usługowej w zakresie bezpieczeństwa, dostępności, integralności przetwarzania, poufności i prywatności — tzw. kryteriów Trust Services.
Szyfrogram
Szyfrogram to zaszyfrowane wyjście algorytmu kryptograficznego — przemieszana reprezentacja oryginalnych danych niemożliwa do odczytania bez odpowiedniego klucza deszyfrowania.
Szyfrowanie asymetryczne
Szyfrowanie asymetryczne to system kryptograficzny używający pary matematycznie powiązanych kluczy — klucza publicznego, którego każdy może używać do szyfrowania danych, i klucza prywatnego posiadanego tylko przez właściciela do deszyfrowania — eliminując potrzebę wcześniejszego dzielenia tajnego klucza.
Szyfrowanie end-to-end
Szyfrowanie end-to-end (E2EE) to metoda komunikacji, w której dane są szyfrowane na urządzeniu nadawcy i mogą być odszyfrowane wyłącznie na urządzeniu odbiorcy, co gwarantuje, że żaden pośrednik — w tym dostawca usługi — nie może uzyskać dostępu do treści w postaci tekstu jawnego.
Szyfrowanie po stronie klienta
Szyfrowanie po stronie klienta to praktyka szyfrowania danych na urządzeniu użytkownika — zazwyczaj w przeglądarce lub natywnej aplikacji — przed ich przesłaniem na serwer, dzięki czemu serwer zawsze odbiera i przechowuje wyłącznie zaszyfrowane dane.
Szyfrowanie symetryczne
Szyfrowanie symetryczne to metoda kryptograficzna, w której ten sam tajny klucz jest używany zarówno do szyfrowania, jak i deszyfrowania. Zarówno nadawca, jak i odbiorca muszą posiadać identyczny klucz do szyfrowania i deszyfrowania danych.
Szyfrowanie w spoczynku
Szyfrowanie w spoczynku to praktyka przechowywania danych w zaszyfrowanej postaci na trwałych nośnikach — takich jak dyski, bazy danych lub nośniki kopii zapasowych — dzięki czemu dane pozostają chronione nawet gdy nośnik zostanie skompromitowany.
Szyfrowanie w tranzycie
Szyfrowanie w tranzycie to praktyka szyfrowania danych w trakcie ich podróży między dwoma systemami przez sieć, zazwyczaj implementowana za pomocą TLS (Transport Layer Security) lub jego poprzednika SSL, zapobiegająca podsłuchiwaniu i manipulacji.
Tekst jawny
Tekst jawny to dane w ich oryginalnej, niezaszyfrowanej, czytelnej dla człowieka postaci. W kryptografii oznacza wejście do algorytmu szyfrowania lub wyjście algorytmu deszyfrowania.
TLS/SSL
TLS (Transport Layer Security) to protokół kryptograficzny zapewniający prywatność, integralność danych i uwierzytelnianie dla komunikacji między dwiema stronami przez sieć. SSL (Secure Sockets Layer) to jego przestarzały poprzednik; współczesne odwołania do „SSL" niemal zawsze oznaczają TLS.
Udostępnianie sekretów
Udostępnianie sekretów, w kontekście zarządzania danymi uwierzytelniającymi, to praktyka przekazywania wrażliwych informacji — takich jak hasła, klucze API czy klucze prywatne — między stronami przez kanał zaprojektowany w celu minimalizacji ekspozycji, ograniczenia trwałości i zapobiegania nieautoryzowanemu dostępowi.
Urząd certyfikacji
Urząd certyfikacji (CA) to zaufana organizacja trzecia, która wystawia, podpisuje i zarządza certyfikatami cyfrowymi służącymi do weryfikacji tożsamości podmiotów — takich jak witryny, organizacje lub urządzenia — w ramach infrastruktury klucza publicznego.
Uwierzytelnianie wieloskładnikowe
Uwierzytelnianie wieloskładnikowe (MFA) to metoda uwierzytelniania wymagająca od użytkownika przedstawienia dwóch lub więcej niezależnych poświadczeń z różnych kategorii — coś, co wiesz; coś, co masz; lub coś, czym jesteś — przed udzieleniem dostępu.
Web Crypto API
Web Crypto API to standard W3C udostępniający interfejs JavaScript do zestawu prymitywów kryptograficznych — obejmujących szyfrowanie, deszyfrowanie, generowanie kluczy, haszowanie i podpisywanie — zaimplementowanych natywnie w przeglądarce.
Wektor inicjalizacji
Wektor inicjalizacji (IV) to losowa lub pseudolosowa wartość używana jako dodatkowe wejście do algorytmu szyfrowania obok klucza, zapewniająca, że identyczny tekst jawny zaszyfrowany tym samym kluczem daje różne szyfrogramy w kolejnych operacjach.
Wyprowadzanie kluczy
Wyprowadzanie kluczy to proces przekształcania wartości źródłowej — zazwyczaj hasła, passphrase lub wspólnego sekretu — w jeden lub więcej kluczy kryptograficznych o wysokiej entropii za pomocą deterministycznego algorytmu zaprojektowanego do produkcji mocnego materiału klucza.
Zapobieganie utracie danych
Zapobieganie utracie danych (DLP) to zestaw strategii, narzędzi i procesów zaprojektowanych w celu wykrywania i zapobiegania nieautoryzowanemu transferowi, utracie lub eksfiltracji wrażliwych danych z organizacji — zarówno celowej, jak i przypadkowej.
Zarządzanie danymi uwierzytelniającymi
Zarządzanie danymi uwierzytelniającymi to zbiór zasad, procesów i narzędzi służących do bezpiecznego obsługiwania pełnego cyklu życia danych dostępowych — obejmujący tworzenie, bezpieczne przechowywanie, kontrolowane udostępnianie, regularną rotację i terminowe unieważnianie.
Zarządzanie sekretami
Zarządzanie sekretami to dyscyplina bezpiecznego przechowywania, dystrybucji, rotacji i audytowania wrażliwych danych uwierzytelniających — takich jak klucze API, hasła, tokeny, certyfikaty i klucze szyfrowania — w aplikacjach, infrastrukturze i zespołach.
Zasada najmniejszych uprawnień
Zasada najmniejszych uprawnień to koncepcja bezpieczeństwa stwierdzająca, że każdemu użytkownikowi, procesowi lub systemowi należy przyznać wyłącznie minimalny poziom dostępu — i na minimalny czas — niezbędny do wykonywania autoryzowanych funkcji.
Zero Trust
Zero Trust to architektura bezpieczeństwa eliminująca domyślne zaufanie oparte na lokalizacji sieciowej i zamiast tego wymagająca ciągłej weryfikacji tożsamości, stanu urządzenia i autoryzacji dla każdego żądania dostępu do każdego zasobu.