Segurança da Informação Flashcards
No que consiste a proteção de informações e de sistemas de informações contra acesso, uso, divulgação, interrupção, modificação ou destruição não autorizados?
Na Segurança da Informação
A literatura acadêmica afirma que existe uma trindade sagrada da segurança da informação. São três princípios (também chamados de propriedades ou atributos). Quais são esses atributos?
Confidencialidade, Integridade e Disponibilidade – conhecidos pela sigla CID.
Se um ou mais desses princípios forem desrespeitados em algum momento, significa que houve um incidente de segurança da informação
O que é a Confidencialidade, princípio da Segurança da Informação?
É o princípio de que a informação não esteja disponível ou seja revelada a indivíduos, entidades ou processos não autorizados
O que é a Integridade, princípio da Segurança da Informação?
É o princípio de salvaguarda da exatidão e completeza de ativos de informação
O que é a Disponibilidade, princípio da Segurança da Informação?
É o princípio da capacidade de estar acessível e utilizável quando demandada por uma entidade autorizada.
Controles de segurança de informações adequados podem ajudar uma organização a reduzir seus riscos a níveis aceitáveis.
Em geral, eles são divididos em dois tipos, quais são eles?
Controles Físicos; e
Controles Lógicos.
O que são os Controles Físicos da segurança da informação?
São barreiras que impedem ou limitam o acesso físico direto às informações ou à infraestrutura que contém as informações. Ex: portas, trancas, paredes, blindagem, vigilantes, geradores, sistemas de câmeras, alarmes, catracas, cadeados, salas-cofre, alarmes de incêndio, crachás de identificação, entre outros.
O que são os Controles Lógicos da segurança da informação?
Também chamados de controles técnicos, são barreiras que impedem ou limitam o acesso à informação por meio do monitoramento e controle de acesso a informações e a sistemas de computação. Ex: senhas, firewalls, listas de controle de acesso, criptografia, biometria, IDS, IPS, entre outros.
Os mecanismos utilizados para a segurança da informação consistem em controles físicos e controles lógicos. Os controles físicos constituem barreiras de hardware, enquanto os lógicos são implementados por meio de softwares. CERTO ou ERRADO?
ERRADO! O controle de acesso físico não se limita ao hardware e o controle de acesso lógico não se limite ao software (Errado)
Na segurança da informação, controles físicos são soluções implementadas nos sistemas operacionais em uso nos computadores para garantir, além da disponibilidade das informações, a integridade e a confidencialidade destas. CERTO ou ERRADO?
ERRADO! Controles físicos são barreiras que limitam o contato ou acesso direto à informação ou à infraestrutura que suporta essa informação
Em Segurança da Informação, como é chamado qualquer coisa que tenha valor para instituição, tais como: informações, pessoas, serviços, software, hardware, documentos físicos, entre outros?
Ativo
Em Segurança da Informação, como é chamado o ativo que, como qualquer outro ativo importante para os negócios, tem valor para a organização e, por isso, deve ser adequadamente protegido?
Informação
Em Segurança da Informação, como é chamado a fonte produtora de um evento que pode ter um efeito adverso sobre um ativo de informação, como um funcionário, meio ambiente, hacker, etc?
Agente
Em Segurança da Informação, como é chamada as fragilidades presentes ou associadas a ativos que, quando exploradas por ameaças, levam à ocorrência de incidentes de segurança?
Vulnerabilidades
Em Segurança da Informação, como é chamado um agente externo que, se aproveitando das vulnerabilidades, poderá quebrar a confidencialidade, integridade ou disponibilidade da informação, causando um desastre ou perda significativa em um ambiente, sistema ou ativo de informação?
Ameaça
Em Segurança da Informação, como é chamado o evento decorrente da exploração de uma vulnerabilidade por uma ameaça com o intuito de obter, alterar, destruir, remover, implantar ou revelar informações sem autorização de acesso?
Ataque
Em Segurança da Informação, como é chamado a ocorrência identificada de um sistema, serviço ou rede, que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a Segurança da Informação?
Evento
Em Segurança da Informação, como é chamado o fato decorrente de um ataque bem-sucedido, com consequências negativas, uma ocorrência indicando uma violação, uma falha ou situação desconhecida, algo que possa ser relevante para a segurança da informação?
Incidente
Em Segurança da Informação, como é chamada a abrangência dos danos causados por um incidente de segurança sobre um ou mais processos de negócio?
Impacto
Em Segurança da Informação, como é chamada a probabilidade potencial da concretização de um evento que possa causar danos a um ou mais ativos da organização?
Risco
Em Segurança da Informação, qual a diferença entre ameaça e risco?
A ameaça trata de um dano potencial, isto é, caso ocorra um incidente, poderá haver dano ou não.
Já o risco trata de um dano real, isto é, caso ocorra um incidente, necessariamente haverá perdas ou danos.
As ameaças são fatores externos que podem gerar incidente de segurança da informação por intermédio da exploração das vulnerabilidades dos ativos de informação. CERTO ou ERRADO?
CERTO! A ameaça é um agente externo que, se aproveitando das vulnerabilidades, poderá quebrar a confidencialidade, integridade ou disponibilidade da informação, causando um desastre ou perda significativa em um ambiente, sistema ou ativo de informação
Qual princípio da Segurança da Informação é a capacidade de um sistema de não permitir que informações estejam disponíveis ou sejam reveladas a entidades não autorizadas - incluindo usuários, máquinas, sistemas ou processos?
A Confidencialidade
Qual princípio da Segurança da Informação é a capacidade de garantir que a informação manipulada está correta, fidedigna e que não foi corrompida?
A Integridade
Qual princípio geralmente trata da salvaguarda da exatidão e completeza da informação, com o intuito de aferir que a informação não tenha sido alterada sem autorização durante seu percurso, de sua origem ao seu destino, mantendo todas as características originais estabelecidas pelo proprietário da informação?
Princípio da Integridade
O Princípio da Integridade sinaliza a conformidade dos dados armazenados com relação às inserções, alterações e processamentos autorizados efetuados. CERTO ou ERRADO?
CERTO!
Confidencialidade e integridade são princípios independentes, isto é, a quebra de um princípio não implica a quebra do outro. CERTO ou ERRADO?
CERTO!
Qual é a propriedade de uma informação estar acessível e utilizável sob demanda por uma entidade autorizada?
A Disponibilidade
A Disponibilidade garante que usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário. CERTO ou ERRADO?
CERTO!
A confidencialidade garante que a informação somente esteja acessível para usuários autorizados. Já a disponibilidade garante que a informação esteja disponível aos usuários autorizados sempre que necessário. CERTO ou ERRADO?
CERTO!
Um ataque à infraestrutura de conectividade de um banco à Internet, interrompendo o acesso a seus serviços de home banking, afeta qual princípio da segurança da informação?
A Disponibilidade
Alguns autores consideram como princípios fundamentais da Segurança da Informação apenas Confidencialidade, Integridade e Disponibilidade. Outros incluem mais princípios, quais são eles?
Autenticidade e Irretratabilidade
Que princípio da Segurança da Informação trata da garantia de que o emissor de uma mensagem é de fato quem alega ser?
A Autenticidade
Autenticar é confirmar a identidade de uma entidade visando, por exemplo, garantir que a entidade é quem ela diz ser.
As técnicas para autenticação podem basear-se na verificação de informações como, por exemplo, senhas. CERTO ou ERRADO?
CERTO! Autenticar é realmente confirmar a identidade de uma entidade, isto é, garantir que ela é legítima – uma senha é realmente uma forma de verificação de autenticidade, visto que – em tese – apenas o proprietário conhece a senha
Que princípio da Segurança da Informação trata da capacidade de garantir que o emissor da mensagem ou participante de um processo não negue posteriormente a sua autoria?
A Irretratabilidade (Irrefutabilidade ou Não-repúdio)
Quando garantimos a autenticidade e a integridade (mensagem sem modificações), nós garantimos automaticamente a irretratabilidade. CERTO ou ERRADO?
CERTO! Porque o autor não pode repudiar sua autoria, isto é, não pode se esquivar de ter enviado aquela mensagem.
O princípio de não repúdio impede que o autor de um documento negue a criação e a assinatura desse documento. CERTO ou ERRADO?
CERTO!
O que é Criptologia?
Basicamente a Criptologia se ocupa da ocultação de informações e da quebra dos segredos de ocultação. A primeira pode ser alcançada por Esteganografia ou Criptografia, e a segunda pode ser alcançada por Criptoanálise.
Como pode-se ocultar informações, por meio da Criptologia?
Por Esteganografia ou Criptografia
Como pode-se quebrar segredos de ocultação, por meio da Criptologia?
Por Criptoanálise.
A criptografia possui dois grandes grupos: códigos e cifras.
O que são os códigos?
Os códigos são palavras, frases, letras, símbolos usados para substituir elementos do texto claro.
A criptografia possui dois grandes grupos: códigos e cifras.
O que são as cifras?
As cifras são algoritmos de criptografia e descriptografia de mensagens.
As cifras, em um processo de criptografia, se caracterizam por dois tipos básicos de transformação. Quais são eles?
Transposição; e
Substituição
O que é a esteganografia?
Uma técnica para ocultar uma mensagem dentro de outra, de forma que não sejam percebidas por terceiros
Como é conhecida a técnica de esconder informações dentro de arquivos como imagens, sons, vídeos ou textos?
Esteganografia.
No que consiste a técnica de tornar uma mensagem ininteligível?
Na Criptografia
Atualmente quais são as técnicas de criptografias?
Simétricas;
Assimétricas; e
Híbridas
Atualmente são empregadas técnicas de criptografias simétricas, assimétricas e híbridas. Essas técnicas empregam dois fundamentos principais:
Substituição e Transposição.
O que é a substituição?
Por essa técnica, cada elemento no texto claro é mapeado para outro elemento (trocado por outro).
Atualmente são empregadas técnicas de criptografias simétricas, assimétricas e híbridas. Essas técnicas empregam dois fundamentos principais:
Substituição e Transposição.
O que é a transposição?
Por essa técnica, os elementos no texto claro original são reorganizados. (trocados de lugar)
Que tipo de criptografia implica o uso de uma chave secreta utilizada tanto para codificar quanto para decodificar informações?
A Criptografia Simétrica
O que é chave de encriptação?
É uma informação que controla a operação de um algoritmo de criptografia (EX: cada letra representa letras a frente)
Na criptografia simétrica, a chave de encriptação é utilizada tanto para codificar quanto para decodificar a mensagem. CERTO ou ERRADO?
CERTO!
Em um sistema de criptografia simétrica é primordial que a chave seja protegida. Como se trata da mesma chave, ela deve ser trocada antes da comunicação iniciar. CERTO ou ERRADO?
CERTO!
Na criptografia simétrica, o risco de a chave ser comprometida fica maior com o aumento do número de partes envolvidas na troca de mensagens com a mesma chave. CERTO ou ERRADO?
CERTO!
A criptografia simétrica garante apenas o princípio da confidencialidade, integridade e autenticidade. CERTO ou ERRADO?
ERRADO! Garante apenas o princípio da CONFIDENCIALIDADE.
Ou seja, ela garante que a mensagem – caso interceptada – seja ininteligível para o interceptador.
A criptografia simétrica não é capaz de garantir o princípio da integridade, ou seja, que a mensagem não foi alterada no meio do caminho. CERTO ou ERRADO?
CERTO!
De que forma a criptografia simétrica pode garantir o princípio da autenticidade?
Caso APENAS DUAS entidades tenham conhecimento da chave secreta.
Os algoritmos: DES, 3DES, AES, IDEA, RC4, Blowfish, Cifragem de Júlio César são feitos com base em que tipo de criptografia?
Criptografia Simétrica
Que tipo de criptografia uma só chave para encriptar e decodificar a mesma mensagem?
A Criptografia Simétrica
Como também é chamada a Criptografia Assimétrica?
Criptografia de Chave Pública
A Criptografia Simétrica tinha uma falha: havia a necessidade de compartilhar a chave de cifragem/decifragem. A Criptografia Assimétrica acabou com essa vulnerabilidade, de que forma?
Criou duas chaves distintas e assimétricas – sendo uma pública e uma privada.
Na Criptografia Assimétrica a chave pública é disponibilizada para qualquer um e a chave privada é de uso personalíssimo e restrito a um usuário, instituição ou equipamento. CERTO ou ERRADO?
CERTO!
Em relação à Criptografia Assimétrica, ao se utilizar a chave pública para codificar a mensagem, somente a chave privada correspondente pode decodificar a mensagem, funcionando portanto com um par. CERTO ou ERRADO?
CERTO! São duas chaves diferentes em um “chaveiro” único (analogia criada por mim hehe)
Em relação à Criptografia Assimétrica, o par de chaves formam um par exclusivo, de modo que um texto criptografado pela chave pública só pode ser descriptografado pela sua chave privada e um texto criptografado pela chave privada só pode ser descriptografado pela sua chave pública. CERTO ou ERRADO?
CERTO!
Em relação à Criptografia Assimétrica, quando eu quiser enviar uma informação sigilosa, eu devo usar a minha chave pública ou minha chave privada?
Devo utilizar a chave pública do destinatário para criptografar essa informação sigilosa.
E o destinatário vai conseguir descriptografar com a sua chave privada
Caso eu utilize a chave pública do destinatário para codificar uma mensagem, o princípio da Confidencialidade é garantido. CERTO ou ERRADO?
CERTO! Pois só o destinatário conseguirá decodificar a mensagem com sua chave privada.
Caso eu utilize a chave pública do destinatário para codificar uma mensagem, o princípio da Confidencialidade é garantido. CERTO ou ERRADO?
CERTO! Uma vez que somente o destinatário que possui a chave privada específica dessa chave pública conseguirá desfazer a operação de criptografia
O que acontece se eu utilizar minha chave privada para criptografar uma informação?
Nesse caso, qualquer um que possua sua chave pública conseguirá descriptografá-la e visualizá-la. E como sua chave pública é literalmente pública, você não garantirá o princípio da confidencialidade
Se eu utilizar minha chave privada para criptografar uma informação eu não vou garantir o princípio da confidencialidade. Por qual motivo?
Pois qualquer pessoa com a chave pública poderá decodificar a mensagem.
Se eu utilizar minha chave privada para criptografar uma informação eu não vou garantir o princípio da confidencialidade, mas garanto que outro princípio?
O da Autenticidade. Por que se alguém utilizar a minha chave pública para descriptografar uma informação e conseguir, ela terá certeza de que fui eu que realmente criptografei aquela informação.
Os algoritmos RSA, DSA, ECDSA, Diffie-Hellman são são feitos com base em que tipo de criptografia?
Criptografia Assimétrica
Quais chaves são menores, as assimétricas ou as simétricas?
As chaves Simétricas. (As Assimétricas são maiores - mais pesadas)
Em geral, as chaves simétricas são bem menores que as chaves assimétricas. Dessa forma, a Criptografia Assimétrica chega a ser até cem vezes mais lenta que a Criptografia Simétrica. CERTO ou ERRADO?
CERTO!
Por qual motivo é comum a utilização de uma Criptografia Híbrida, ou seja, uma combinação da Criptografia Simétrica e Criptografia Assimétrica?
Pois a Criptografia Assimétrica, por si só, pode ser muito lenta, devido ao tamanho da chave
Que tipo de Criptografia utiliza um algoritmo de Criptografia Assimétrica apenas para trocar chaves simétricas – chamadas de chaves de sessão – de forma segura. Logo, após a troca, toda comunicação é realizada utilizando um algoritmo de Criptografia Simétrica?
A Criptografia Híbrida
Na Criptografia Simétrica, a grande fragilidade está no envio da chave ao remetente para que esse possa decodificar a mensagem. Qual a solução para que esse tipo de criptografia tenha utilidade?
Utilizar a Criptografia Assimétrica somente para mandar a chave e a Simétrica para a mensagem.
Ou seja, eu mando a chave simétrica por meio da criptografia assimétrica (criptografada por meio da chave pública do destinatário). Desta forma eu garanto que somente uma pessoa terá a chave assimétrica, a dona da chave privada respectiva.
Na Criptografia Híbrida utiliza-se um algoritmo de Criptografia Assimétrica apenas para trocar chaves simétricas. Como são chamadas essas chaves?
Chaves de sessão.
Protocolos como Secure Sockets Layer (SSL) utilizam chaves de sessão para criptografar e descriptografar informações. CERTO ou ERRADO?
CERTO! É a criptografia híbrida
Para manter a segurança das comunicações via Internet, o protocolo SSL (Secure Sockets Layer) utiliza sistemas criptográficos simétricos de chaves de sessão. CERTO ou ERRADO?
CERTO! Essas chaves de sessão por sua vez são enviada com criptografia assimétrica (de chaves públicas)
O que afirma o Princípio de Kerckhoff?
Que a segurança de um sistema criptográfico deve depender da chave utilizada e, não, do algoritmo.
O surgimento de um novo algoritmo criptográfico cuja implementação não seja conhecida aumenta a sua confiabilidade. CERTO ou ERRADO?
ERRADO! Não existe nenhum problema em se conhecer os detalhes de implementação e funcionamento de um algoritmo - ele inclusive pode ser público.
Na verdade, o melhor algoritmo é aquele que é público e que vem sendo testado por todos, permanecendo seguro.
Um possível atacante não pode conhecer os detalhes de implementação e funcionamento de um algoritmo, caso contrário a segurança do sistema estará comprometida. CERTO ou ERRADO?
ERRADO! Segundo o princípio de Kerckhoff: A segurança de um sistema criptográfico deve depender da chave utilizada e, não, do algoritmo.
Quais os três fatores que influenciam a segurança de um sistema criptográfico?
- A força de seu algoritmo – no sentido de que um algoritmo muito simples seria fraco;
- O sigilo da chave – a chave secreta ou privada não deve ser exposta;
- O comprimento da chave – chaves pequenas demais podem ser frágeis.
Os detalhes de implementação do algoritmo são irrelevantes, podendo ser públicos. CERTO ou ERRADO?
CERTO!
A segurança de um sistema criptográfico simétrico deve estar na chave e no tamanho dessa chave, e não nos detalhes do algoritmo. CERTO ou ERRADO?
CERTO! Princípio de Kerckoff
A segurança de um sistema criptográfico simétrico tem como características básicas a força do algoritmo e o comprimento da chave. CERTO ou ERRADO?
CERTO!
Como é possível garantir a Autenticidade utilizando Criptografia Assimétrica?
Utilizando sua chave privada para criptografar a mensagem. (Pois desse modo, quem utilizar a chave pública para decodificar sabe quem foi o remetente)
Como se classificam os métodos de Autenticação?
- O que você sabe (senhas, dados pessoais)
- O que você tem (token, celular, smartcard)
- O que você é (digitais, reconhecimento facial e de retina)
Biometria é sinônimo de impressão digital. CERTO ou ERRADO?
ERRADO! A Biometria (Bio = vida) utiliza características físicas únicas para verificar sua identidade. A biometria mais famosa é a impressão digital, entretanto podemos ter acessos biométricos através do reconhecimento de voz, varredura de retina e imagine, até mesmo DNA
O que é um Smart Card?
Um cartão de plástico contendo um microprocessador – um chip – que armazena informações eletrônicas sobre o usuário (Ex: Chaves), servindo como uma mídia criptográfica.
O e-CPF, por exemplo, é um CPF digital em um cartão inteligente que garante a autenticidade e a integridade na comunicação.
Os tokens são objetos de autenticação! Podem servir para armazenar senhas aleatórias (One Time Password) ou podem conter um conector USB servindo como mídia criptográfica, armazenando informações sobre o usuário (Certificado Digital), assim como um Smart Card. CERTO ou ERRADO?
CERTO!
O que é a Autenticação Forte?
É um tipo de autenticação que ocorre quando se utiliza pelo menos dois métodos de autenticação (“o que você sabe”, “o que você tem”, ou “o que você é”
A Autenticação em Dois Fatores é um exemplo de Autenticação Forte?
SIM! Utiliza o que você sabe (senha) e o que você tem (celular)
Quando você saca dinheiro em um caixa eletrônico, você utiliza Autenticação Forte. CERTO ou ERRADO?
CERTO! Primeiro, você insere seu cartão (algo que você tem). Após escolher o valor que você deseja sacar, você insere ou uma senha (algo que você sabe) ou sua impressão digital (algo que você é).
Um sistema de Autenticação utilizando impressão digital e padrão de voz, é um sistema de Autenticação Forte?
NÃO! Pois os dois modos de autenticação pertencem à mesma foram de autenticação (O que você é)
Um sistema de Autenticação utilizando senha e PIN, é um sistema de Autenticação Forte?
NÃO! Pois os dois modos de autenticação pertencem à mesma foram de autenticação (O que você sabe)
Um sistema de Autenticação utilizando token e cartão de identificação, é um sistema de Autenticação Forte?
NÃO! Pois os dois modos de autenticação pertencem à mesma foram de autenticação (O que você tem)
A Assinatura Digital garantirá a Autenticidade, a Integridade e a Irretratabilidade. CERTO ou ERRADO?
CERTO!
Assinatura Digital: A I I !
Basicamente o que é o Algoritmo de Hash?
Um algoritmo criptográfico que transformar dados de entrada de qualquer tamanho – de poucos bits a muitos terabytes – em dados de saída de tamanho fixo
EX:
Oi = 0f3abd55f538f9f343524200a452ffbc (32 caracteres) Oi! = 7349da19c2ad6654280ecf64ce42b837 (32 caracteres)
No Algoritmo de Hash um único bit diferente pode gerar um resultado completamente diferente. CERTO ou ERRADO?
CERTO!
EX:
Oi = 0f3abd55f538f9f343524200a452ffbc (32 caracteres) Oi! = 7349da19c2ad6654280ecf64ce42b837 (32 caracteres)
Atualmente, Algoritmos Criptográficos de Hash exigem pelo menos quantos bits de saída?
128 bits de saída – isso é 2^128 possibilidades, isso é mais que todos os grãos de areia do Planeta Terra
A sistemática do Algoritmo de Hash é parecida com os dígitos verificadores do CPF e de Boletos Bancários. CERTO ou ERRADO?
CERTO! É o mesmo pensamento.
O Algoritmo de Hash tem um problema: diferentes entradas podem gerar a mesma saída - nós chamamos isso de colisão.
Por exemplo: o resto da divisão de 10 por 3 é 1, mas o resto da divisão de 13 por 3 também é 1, isto é, para entradas diferentes, tivemos a mesma saída.
O que é feito para evitar essas colisões?
Atualmente, Algoritmos Criptográficos de Hash exigem pelo menos 128 bits de saída – isso é 2^128 possibilidades
Dessa forma, é muito difícil haver uma colisão
O Algoritmo de Hash é uma função unidirecional que, dada uma entrada de dados de tamanho qualquer, sempre gera uma saída de dados de tamanho fixo, sendo que a mesma entrada sempre gerará a mesma saída e recomenda-se uma saída com um tamanho grande para evitar colisões. CERTO ou ERRADO?
CERTO!
Quando você faz um cadastro em um site e cria uma senha, o site não armazena a sua senha, o que ele armazena?
O Hash da sua senha, toda vez que você acessar o site com sua senha, ele gerará outro hash e comparará com o hash que ele tem salvo do cadastro. Se forem iguais, significa que você é realmente você
Para garantir a integridade de uma informação, bastas utilizar o Algoritmo de Hash. CERTO ou ERRADO?
CERTO!
Já que se eu mudar um “a” muda todo o Algoritmo de Hash
Como funciona a Assinatura Digital baseada em Hash?
Maria possui uma mensagem em claro (sem criptografia).
Ela gera um hash dessa mensagem, depois criptografa esse hash utilizando sua chave privada. Em seguida, ela envia para João tanto a mensagem original quanto o seu hash.
João gera um hash da mensagem original e obtém um resultado.
Depois descriptografa o hash da mensagem utilizando a chave pública de Maria e obtém outro resultado.
Dessa forma, ele tem dois hashes para comparar: o que ele gerou a partir da mensagem em claro e o que ele descriptografou a partir da mensagem criptografada.
Se forem iguais, significa que Maria realmente enviou a mensagem e que ela não pode negar que enviou o documento e, por fim, significa que o documento está íntegro.
A Assinatura Digital baseada em Hash não se preocupa com a confidencialidade, qualquer um pode visualizar a mensagem. CERTO ou ERRADO?
CERTO! Ela se preocupa com a integridade e a autenticidade, verificada por meio do hash criptografado da mensagem que é enviado junto com a mensagem
A garantia da autenticidade e da integridade garante automaticamente a irretratabilidade ou não-repúdio. CERTO ou ERRADO?
CERTO! Se sabe-se quem enviou e que a mensagem não foi modificada, não se pode retratar-se
Os algoritmos SHA-1 (Hash de 160 bits), MD5 (Hash de 128 bits) se referem a que tipo de ferramenta da Segurança da Informação?
Assinatura Digital
Uma assinatura digital é um recurso de segurança cujo objetivo é garantir a confidencialidade da mensagem. CERTO ou ERRADO?
ERRADO! A Assinatura Digital não se preocupa com a confidencialidade, mas com a AUTENTICIDADE e INTEGRALIDADE
É importante diferenciar três conceitos: Identificação, Autenticação e Autorização.
Em qual delas uma entidade apresenta uma informação capaz de identificá-la unicamente na base de dados de um sistema, por exemplo, um número de conta ou nome de usuário?
Identificação
Caso a informação recebida pela entidade seja encontrada na base de dados, pode-se afirmar que ocorreu um processo de identificação.
É importante diferenciar três conceitos: Identificação, Autenticação e Autorização.
Qual delas trata dos privilégios concedidos a uma entidade ao utilizar um sistema e busca verificar se essa determinada entidade tem permissão para acessar funcionalidades ou dados específicos de um sistema ou aplicação?
Autorização
Qual a entidade responsável por emitir certificados digitais?
A autoridade certificadora
A Autoridade Certificadora é responsável por emitir, distribuir, renovar, revogar e gerenciar certificados digitais. CERTO ou ERRADO?
CERTO!
A _____ é um arquivo eletrônico publicado periodicamente pela Autoridade Certificadora, contendo o número de série dos certificados que não são mais válidos e a data de revogação.
Lista de Certificados Revogados (LCR)
Trata-se um método matemático utilizado para
verificar a autenticidade e integridade de uma entidade (mensagem, software, servidor, documento, etc).
Assinatura Digital ou Certificado Digital?
Assinatura Digital
Garante a autenticidade do emissor, a integridade do documento e o não-repúdio, mas não garante a confidencialidade.
Assinatura Digital ou Certificado Digital?
Assinatura Digital
Garante a confidencialidade ou a autenticidade do proprietário. Em combinação com outros recursos, pode garantir integridade e não repúdio.
Assinatura Digital ou Certificado Digital?
Certificado Digital
Trata-se de um documento eletrônico assinado digitalmente por uma terceira parte confiável para vincular uma chave pública a uma entidade.
Assinatura Digital ou Certificado Digital?
Certificado Digital
As chaves privadas podem ficar armazenadas em um computador, token ou smartcard protegidas por alguma senha. CERTO ou ERRADO?
CERTO!
O Certificado Digital armazena a chave pública de criptografia do dono do certificado. CERTO ou ERRADO?
CERTO!
O Certificado Digital armazena a chave privada de criptografia do dono do certificado. CERTO ou ERRADO?
ERRADO! A chave privada deve ficar com o dono do certificado, em um token, computaodr ou smartcard protegidas por senha
O Certificado digital permite a identificação segura do autor de uma mensagem ou documento em uma rede de computadores. CERTO ou ERRADO?
CERTO!
Uma Autoridade Certificadora é responsável por emitir certificados digitais. No entanto, ela também possui um certificado digital contendo sua chave pública.
Quem emite o certificado digital para essa Autoridade Certificadora?
As Infraestruturas de Chave Pública (ICP)
O que é a Infraestrutura de Chave Pública (ICP)?
Uma entidade pública ou privada que tem como objetivo manter uma estrutura de emissão de chaves públicas.
A Infraestrutura de Chave Pública mantém uma estrutura de emissão de chaves públicas, baseada quem qual princípio?
No princípio da terceira parte confiável
A Infraestrutura de Chave Pública mantém uma estrutura de emissão de chaves públicas, baseando se no princípio da terceira parte confiável e oferecendo uma mediação de credibilidade e confiança em transações entre partes que utilizem certificados digitais. CERTO ou ERRADO?
CERTO!
O Certificado Digital funciona como uma identidade virtual que permite a identificação segura e inequívoca do autor de uma mensagem ou transação. CERTO ou ERRADO?
CERTO!
A ICP (Infraestrutura de Chaves Públicas) também pode ser definida como um conjunto de técnicas, práticas, arquitetura, organização e procedimentos implementados pelas organizações públicas e privadas que suportam, em conjunto, a implementação e a operação de um sistema de certificação. CERTO ou ERRADO?
CERTO!
Como é denominada a ICP (Infraestrutura de Chaves Públicas) brasileira?
ICP Brasil
Na Infraestrutura de Chave Pública do Brasil há duas entidades, quais são elas?
Autoridades Certificadoras; e
Autoridades de Registro.
Na Infraestrutura de Chave Pública do Brasil (ICP Brasil), há duas entidades: Autoridades Certificadoras e Autoridades de Registro.
Quais as funções delas, respectivamente?
Emitir e vender certificados digitais, respectivamente.
A função das Autoridades Certificadoras é vender certificados. CERTO ou ERRADO?
ERRADO! Sua função é EMITIR CERTIFICADOS, quem vende são as Autoridades de Registro.
A função das Autoridades de Registro é emitir certificados. CERTO ou ERRADO?
ERRADO! Sua função é VENDER CERTIFICADOS, quem emite são as Autoridades Certificadoras.
Quem está no topo da cadeia de certificação digital no Brasil?
A Presidência da República (Casa Civil)
A Presidência da República (Casa Civil) está no topo da cadeia de certificação digital no Brasil, quem vem depois?
O Comitê Gestor do ICP-Brasil
A Presidência da República (Casa Civil) está no topo da cadeia de certificação digital no Brasil, seguido do Comitê Gestor do ICP-Brasil.
Quem vem logo depois?
A Autoridade Certificadora Raiz
O ITI - Instituto de Tecnologia da Informação
No Brasil quem é a Autoridade Certificadora Raiz?
O ITI - Instituto de Tecnologia da Informação
A Presidência da República (Casa Civil) está no topo da cadeia de certificação digital no Brasil, seguido do Comitê Gestor do ICP-Brasil e do ITI (Autoridade Certificadora Raiz)
Qual a sequencia seguinte?
Autoridade Certificadora (AC) - Nível 1; Autoridade Certificadora (AC) - Nível 2; e Autoridades de Registro (AR)
Qual a primeira autoridade da cadeia de certificação?
A Autoridade Certificadora Raiz
O ITI - Instituto de Tecnologia da Informação
Quem é responsável por executar as políticas de certificados e as normas técnicas e operacionais aprovadas pelo Comitê Gestor da ICPBrasil?
A Autoridade Certificadora Raiz
O ITI - Instituto de Tecnologia da Informação
Compete à _____ emitir, expedir, distribuir, revogar e gerenciar os certificados das autoridades certificadoras de nível imediatamente subsequente ao seu.
A Autoridade Certificadora Raiz
O ITI - Instituto de Tecnologia da Informação
Quem é encarregada de emitir a Lista de Certificados Revogados (LCR) ?
A Autoridade Certificadora Raiz
(O ITI - Instituto de Tecnologia da Informação); E
As Autoridades Certificadoras
Quem deve fiscalizar e auditar as Autoridades Certificadoras – ACs, Autoridades de Registro – ARs e demais prestadores de serviço habilitados na ICP-Brasil?
A Autoridade Certificadora Raiz
O ITI - Instituto de Tecnologia da Informação
Quem é responsável por verificar se as ACs estão atuando em conformidade com as diretrizes e normas técnicas estabelecidas pelo Comitê Gestor da ICP-Brasil?
A Autoridade Certificadora Raiz
O ITI - Instituto de Tecnologia da Informação
Quem é a entidade, pública ou privada, subordinada à hierarquia da ICP-Brasil, responsável por emitir, distribuir, renovar, revogar e gerenciar certificados digitais?
A Autoridade Certificadora
A Autoridade Certificadora cria e assina digitalmente o certificado do assinante, onde o certificado emitido pela AC representa a declaração da identidade do titular, que possui um par único de chaves. CERTO ou ERRADO?
CERTO!
Cabe também à Autoridade Certificadora emitir Listas de Certificados Revogados (LCR). CERTO ou ERRADO?
CERTO! E cabe também à AC Raiz (ITI)
Cabe à Autoridade Certificadora emitir Listas de Certificados Revogados (LCR) e manter registros de suas operações sempre obedecendo às práticas definidas na ______.
Declaração de Práticas de Certificação – DPC
Qual entidade é responsável pela interface entre o usuário e a Autoridade Certificadora?
A Autoridade de Registro
Quem tem por objetivo o recebimento, a validação, o encaminhamento de solicitações de emissão ou revogação de certificados digitais e identificação, de forma presencial, de seus solicitantes?
As Autoridades de Registro
A Autoridade Certificadora tem por objetivo o recebimento, a validação, o encaminhamento de solicitações de emissão ou revogação de certificados digitais e identificação, de forma presencial, de seus solicitantes. CERTO ou ERRADO?
ERRADO, quem faz isso é a Autoridade de Registro
A Autoridade de Registro pode estar fisicamente localizada em uma AC ou ser uma entidade de registro remota. CERTO ou ERRADO?
CERTO!
As Autoridades de Registro emitem certificados digitais. CERTO ou ERRADO?
ERRADO! Elas o recebem, validam ou encaminham e guardam um registro dessas operações.
Quem emite certificado digital para pessoas físicas?
Apenas a Autoridade Certificadora!
A Autoridade Certificadora Raiz emite certificados digitais para as Autoridades Certificadoras hierarquicamente abaixo dela, que emitem certificados para equipamentos, pessoas físicas ou jurídicas. CERTO ou ERRADO?
CERTO!
Existe um padrão para Infraestrutura de Chaves Públicas! Qual é esse padrão?
O Padrão X.509 (Versão 3)
Especifica, entre outras coisas, o formato dos
certificados digitais, de tal maneira que se possa amarrar firmemente um nome a uma chave pública – esse é o padrão utilizado pela ICP-Brasil!
Quando uma autoridade certificadora vai emitir um certificado digital, ela gera um hash de todas as informações do certificado e o assina com a sua chave privada. Dessa forma, todos que receberem o certificado digital poderão verificar sua autenticidade. CERTO ou ERRADO?
CERTO!
Quem é que assina o certificado da autoridade certificadora raiz?
Ela mesma! Nesse caso, dizemos que se trata de um certificado autoassinado.
A infraestrutura de chave pública é uma abordagem interessante, mas ela é bastante hierárquica e centralizada.
É possível ocorrer uma falha, vazamento ou corrupção na autoridade certificadora raiz, por exemplo. Logo, essa infraestrutura pode ser bastante vulnerável – um problema grave pode colocar em risco toda a infraestrutura.
Dito isso, surgiu uma abordagem chamada Cadeia/Teia de Confiança (Web of Trust – WoT).
No que consiste essa abordagem?
Trata-se de um modelo de confiança transitiva e descentralizada que busca disponibilizar criptografia para o público geral sem custos em contrapartida à abordagem de infraestrutura de chave pública.
A confiança vai sendo estabelecida através de uma rede de transitividade em que, se Tony confia em Mike e Mike confia em John, então Tony confia em John.
Essa rede é construída por meio de uma relação pessoal indivíduos através da assinatura de chave pública de um usuário pelo outro e assim sucessivamente.
Essas etapas acabam por gerar um laço de confiança que se converte, então, em uma rede, teia ou cadeia de confiança
Em uma infraestrutura de chave pública, todo certificado deve necessariamente ser assinado por uma autoridade certificadora. CERTO ou ERRADO?
CERTO!
Em uma cadeia/teia de certificados, qualquer entidade pode assinar e atestar a validade de outros certificados. Ela é – portanto – descentralizada e não hierárquica. CERTO ou ERRADO?
CERTO!
Um certificado digital consiste na cifração do resumo criptográfico de uma chave pública com a chave privada de uma autoridade certificadora. CERTO ou ERRADO?
CERTO! O que garante a autenticidade
A Autoridade Certificadora Raiz é quem emite os certificados para o usuário final. CERTO ou ERRADO?
ERRADO! Autoridade Certificadora Raiz emite certificados para Autoridades Certificadores hierarquicamente abaixo.
A Autoridade Certificadora é a primeira autoridade da cadeia de certificação da ICPBrasil. CERTO ou ERRADO?
ERRADO! Essa é a Autoridade Certificadora Raiz
O Instituto Nacional de Tecnologia da Informação é a Autoridade Certificadora Raiz da Infra-Estrutura de Chaves Públicas Brasileira. CERTO ou ERRADO?
CERTO!
Para que costumam ser utilizados os certificados digitais da Categoria A?
Para fins de identificação e autenticação.
Você pode usá-los para assinar documentos ou validar transações eletrônicas.
Para que costumam ser utilizados os certificados digitais da Categoria S?
É direcionada a atividades sigilosas, como a proteção de arquivos confidenciais.
Quais são os tipos de Certificados Digitais?
Certificado de Assinatura Digital (A);
Certificado de Sigilo (S).
O que é o Certificado de Assinatura Digital (A)?
Reúne os certificados de assinatura digital, utilizados na confirmação de identidade na web, em e-mails, em Redes Privadas Virtuais (VPNs) e em documentos eletrônicos com verificação da integridade das informações.
O que é o Certificado de Sigilo (S)?
Reúne os certificados de sigilo, que são utilizados na codificação de documentos, de bases de dados relacionais, de mensagens e de outras informações eletrônicas sigilosas.
No Certificado A1/S1 a geração do par de chaves é feita por Software ou Hardware?
Software
Hardware é o A3/S3 e o A4/S4
No Certificado A2/S2 a geração do par de chaves é feita por Software ou Hardware?
Software
Hardware é o A3/S3 e o A4/S4
No Certificado A3/S3 a geração do par de chaves é feita por Software ou Hardware?
Hardware
Software é o A1/S1 e o A2/S2
Quais certificados tem chave de tamanho (em bits) Rsa 1024 ou 2048?
Certificado A1/S1; A2/S2; e A3/S3
Quais certificados tem chave de tamanho (em bits) Rsa 2048 ou 4096?
Certificado A4/S4;
Quais certificados usam Disco Rígido (HD) e Pendrive?
Certificado A1/S1
Quais certificados usam SmartCard (com chip) ou Token USB?
Certificado A2/S2; A3/S3; e A4/S4;
Qual tipo de certificado tem validade de 1 ano?
Certificado A1/S1
Qual tipo de certificado tem validade de 2 anos?
Certificado A2/S2
Qual tipo de certificado tem validade de 5 anos?
Certificado A3/S3
Qual tipo de certificado tem validade de 6 anos?
Certificado A4/S4
Considerando a aquisição por meio de um órgão autorizado pelo ICP-Brasil e que a chave deve ter o comprimento de 4096 bits, o tipo de Certificado a adquirir é:
Certificado A4/S4
“Só tem 4096 ou A4/S4”
A função hash é usada em assinaturas digitais, para garantir a autenticidade. CERTO ou ERRADO?
ERRADO! Ele não garante autenticidade e, sim, integridade
Qual a função do Hash?
Garantir a integridade de um documento
MD5 é um tipo de ?
Algoritmo de Hash
Qual a primeira etapa do processo de Assinatura Digital de documentos?
Geração do resumo (hash) do documento original.
Em seguida, aplica-se a criptografia de chave assimétrica sobre o hash por meio da chave privada do emissor; em seguida, envia-se para o receptor; ele utiliza pública do emissor para descriptografar o hash; depois gera um hash da mensagem original; por fim, compara ambos os resumos.
A criptografia garante a _____ e a função hash permite verificar a _____ da mensagem.
Confidencialidade / integridade
Que chave privada é armazenada no disco rígido do computador, que também é utilizado para realizar a assinatura digital?
A1
A chave privada A3 é armazenada em dispositivo portátil inviolável do tipo smart card ou token, que possui um chip com capacidade de realizar a assinatura digital. CERTO ou ERRADO?
CERTO!
Somente A1 não é armazenada em smart card ou token
Como fazer para garantir simultaneamente a confidencialidade e a autenticidade em um procedimento de criptografia?
Deve-se criptografar a mensagem com a chave privada/secreta do emissor ou remetente (garantindo a autenticidade), em seguida criptografar o resultado com a chave pública do receptor ou destinatário (garantindo a confidencialidade).
Dessa forma, o remetente pode utilizar sua chave privada para descriptografar, garantindo a confidencialidade e depois a chave pública do emissor para descriptografar novamente, garantindo a autenticidade.
O algoritmo RSA permite realizar criptografa de chave pública ou criptografia assimétrica. CERTO ou ERRADO?
CERTO!
Ao receber uma mensagem eletrônica, deve-se fazer a verificação da assinatura digital. Para isso bata:
Ter acesso ao certificado digital do remetente. CERTO ou ERRADO?
CERTO!
A autenticação é um procedimento destinado a verificar a validade de determinada mensagem. CERTO ou ERRADO?
CERTO!
Autenticação é um procedimento que visa garantir que quem envia a informação é quem diz ser. Ou seja, que verifica que uma mensagem é válida (verdadeira) ou não.
Dentre as principais informações encontradas em um Certificado Digital, referentes ao usuário, citam-se:
a) códigos de acesso ao sistema.
b) informações biométricas para leitura ótica.
c) dados de localização: endereço e Cep.
d) dados de identificação pessoal: RG, CPF ou CNPJ.
e) número de série e período de validade do certificado.
(d) Correto, essa informação está presente em um certificado
digital;
(e) Correto, essa informação também está presente em um certificado digital.
Logo, a questão possui duas respostas corretas, mas a banca considerou apenas a última opção.
