Segurança da Informação Flashcards
Segurança da informação é a proteção de informações e de sistemas de informações contra:
acesso, uso, divulgação, interrupção, modificação ou destruição não autorizados.
CERTO OU ERRADO:
A Segurança da Informação assegura sua disponibilidade, confidencialidade e integridade.
CERTO!
CERTO OU ERRADO:
Conjunto de estratégias para gerenciar processos, ferramentas e políticas necessárias para prevenir, detectar, documentar e combater ameaças às informações organizacionais.
CERTO!
A segurança da informação abrange:
I –
II –
III –
IV –
A segurança da informação abrange:
I – a segurança cibernética;
II – a defesa cibernética;
III – a segurança física e a proteção de dados
organizacionais; e
IV – as ações destinadas a assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação”.
A Segurança da Informação possui três princípios (também
chamados de propriedades ou atributos):
- Confidencialidade
- Integridade
- Disponibilidade
conhecidos pela sigla CID
CERTO OU ERRADO:
Quando os três princípios forem desrespeitados concomitantemente em algum momento, significa que houve um incidente de segurança da
informação.
ERRADO! Basta que apenas UM princípio seja violado para que haja um incidente de segurança.
CERTO OU ERRADO:
Não existe hierarquia entre os princípios de Segurança da Informação.
CERTO!
No que uma implementação de controles de segurança adequados inicialmente pode ajudar uma organização?
Ajuda a reduzir seus riscos a níveis aceitáveis.
Os controles de segurança podem variar de acordo com a natureza. Quais os dois tipos de natureza que existem?
Físico e lógico (técnico).
O que são os controles de natureza física?
São barreiras que impedem ou limitam o acesso físico direto às informações ou à infraestrutura que contém as informações.
Ex: portas, trancas, paredes, blindagem, vigilantes, geradores, sistemas de câmeras, alarmes, catracas, cadeados, salas-cofre,
alarmes de incêndio, crachás de identificação, entre outros
Os controles de segurança de natureza lógica (técnica) são barreiras que impedem ou limitam o acesso à informação por meio do:
monitoramento e controle de acesso a informações e a sistemas de computação.
ex: senhas, firewalls, listas de controle de acesso, criptografia, biometria, IDS, IPS, entre outros.
CERTO OU ERRADO:
O tipo de controle se dá em razão do método de autenticação e do recurso.
ERRADO! Ao contrário, se dá em razão do recurso e não do método de autenticação.
Se o recurso a ser acessado for físico, como uma casa, trata-se de um controle:
físico.
Se o recurso a ser acessado for um sistema, trata-se de um controle:
lógico (técnico).
CERTO OU ERRADO:
Os mecanismos utilizados para a segurança da informação consistem em controles físicos e controles lógicos. Os controles físicos constituem barreiras de hardware, enquanto os lógicos são implementados por meio de softwares.
ERRADO! O controle de acesso físico não se limita ao hardware (? - verificar)e o controle de acesso lógico não se limite ao software.
Ativo é qualquer coisa que tenha:
valor para instituição.
informações, pessoas, serviços,
software, hardware, documentos físicos, entre outros.
CERTO OU ERRADO:
Informação é um ativo.
CERTO!
CERTO OU ERRADO:
Informação é um ativo que, como qualquer outro ativo importante para os negócios, tem valor para a organização
e, por isso, deve ser adequadamente protegido.
CERTO!
Agente é a:
fonte produtora de um evento que pode ter um efeito adverso sobre um ativo de informação.
como um funcionário, meio ambiente, hacker, etc.
Vulnerabilidades são fragilidades presentes ou associadas a ativos que, quando exploradas por ameaças, levam à ocorrência de:
incidentes de segurança.
CERTO OU ERRADO:
A ameaça é um agente interno que, se aproveitando das vulnerabilidades, poderá quebrar a confidencialidade, integridade ou disponibilidade da informação, causando um desastre ou perda significativa em um ambiente, sistema ou ativo de informação.
ERRADO! Não é um agente interno, é um agente EXTERNO. Fora isso, o conceito de ameaça está correto.
CERTO OU ERRADO:
Ataque é um evento decorrente da exploração do risco ou da ameaça por uma com o intuito de obter, alterar, destruir, remover, implantar ou revelar informações sem autorização de acesso.
ERRADO! Não é uma exploração do risco nem de ameaça. É uma exploração da VULNERABILIDADE por uma AMEAÇA.
Ataque é um evento decorrente da (1) por uma (2) com o intuito de obter, alterar, destruir, remover, implantar ou revelar informações sem (3).
Ataque é um evento decorrente da exploração da vulnerabilidade por uma ameaça com o intuito de obter, alterar, destruir, remover, implantar ou revelar informações sem autorização de acesso.
Evento é uma ocorrência identificada de um sistema, serviço ou rede, que indica uma possível violação da (1) da informação ou (2), ou uma situação (3), que possa ser relevante para a Segurança da Informação.
Evento é uma ocorrência identificada de um sistema, serviço ou rede, que indica uma possível violação da política de segurança da informação ou falha nos controles, ou uma situação previamente desconhecida, que possa ser relevante para a Segurança da Informação.
Incidência é fato decorrente de um (1), com consequências (2), uma ocorrência indicando uma (3), uma (4) ou (5), algo que possa ser relevante para a segurança da informação.
Incidência é fato decorrente de um ataque bem-sucedido, com consequências negativas, uma ocorrência indicando uma violação, uma falha ou situação desconhecida, algo que possa ser relevante para a segurança da informação.
Impacto é a:
abrangência dos danos causados por um incidente de segurança sobre processos de negócio.
Risco é a probabilidade potencial da concretização de um evento que possa causar:
danos a ativos da organização.
Qual a diferença entre as terminologias ameaça e risco?
Ameaça trata-se de dano potencial (se ocorrer o incidente, PODE ocorrer dano).
Risco trata-se de dano real (se ocorrer o incidente VAI ocorrer dano).
CERTO OU ERRADO:
Em geral, o risco trata da concretização de ameaças.
CERTO!
CERTO OU ERRADO:
Tiago passou no concurso para Auditor Fiscal do Município de Jaboatão dos Guararapes.
Ao ser nomeado, Tiago compra um carro.
Nos dias de trabalho, ele costuma estacionar em local perigoso, onde há chances de o carro ser furtado. Certo dia, quando se aproxima do carro para voltar para casa, um meliante anuncia um assalto. Ele, então, rouba a sua chave e carteira, entra no veículo e sai cantando pneu. O agressor some com o carro, leva para um desmanche e você fica sem o carro para todo sempre.
Do ponto de vista da segurança da informação, em quais terminologias poderia se enquadrar os seguintes casos:
a) chances do carro ser furtado.
b) anúncio do assalto
c) o roubo do carro, da carteira e da chave
d) o desmanche e consequência perda do carro pra sempre.
a) ameaça
b) risco (o carro ainda não foi roubado)
c) ataque
d) impacto
O princípio da disponibilidade é a propriedade de uma informação estar _________ e __________ sob _______ por uma entidade autorizada.
O princípio da disponibilidade é a propriedade de uma informação estar acessível e utilizável sob demanda por uma entidade autorizada.
O princípio da disponibilidade possui três características:
robustez, oportunidade e continuidade.
ROC
Há um investimento massivo em recursos que reduzem as chances de o sistema e suas
informações ficarem indisponíveis.
Quais são eles?
firewalls, backups, redundâncias, equipamentos de energia, entre outros…
CERTO OU ERRADO:
O princípio da confidencialidade garante que a informação esteja disponível aos usuários autorizados sempre que necessário.
ERRADO! Esse é o princípio da DISPONIBILIDADE. A confidencialidade garante que a informação somente esteja acessível para usuários
autorizados.
A o princípio da confidencialidade garante que a informação somente esteja acessível para:
usuários autorizados.
Alguns autores consideram como princípios fundamentais apenas Confidencialidade,
Integridade e Disponibilidade. Já outros consideram também outros dois princípios, quais sejam:
Autenticidade e da Irretratabilidade.
A autenticidade é a propriedade que trata da garantia de que o emissor de uma mensagem é:
de fato quem alega ser.
CERTO OU ERRADO:
O verificado do Twitter é uma forma de autenticidade.
CERTO!
O princípio da irretratabilidade, também chamada de Irrefutabilidade ou Não-repúdio, trata da capacidade de garantir que o:
emissor da mensagem ou participante de um processo não negue posteriormente a sua autoria.
CERTO OU ERRADO:
O conceito de irretratabilidade, (ou não-repúdio, ou irrefutabilidade) é um conceito legal que transcende o domínio da tecnologia.
CERTO!
PARA FIXAR
AUTENTICIDADE + INTEGRIDADE = IRRETRATABILIDADE
A Criptologia se ocupa da:
- ocultação de informações
- a quebra dos segredos dessa ocultação
A ocultação de informações pode ser alcançada por:
Esteganografia ou Criptografia.
A quebra dos segredos de ocultação de informação pode ser alcançada por:
Criptoanálise.
A criptografia possui dois grandes grupos:
códigos e cifras.
Como podem ser apresentados os códigos de criptografia?
palavras, frases, letras,
símbolos usados para substituir elementos do texto claro.
As cifras de criptografia são:
algoritmos de criptografia e descriptografia de mensagens.
PARA FIXAR
As cifras se caracterizam por dois tipos básicos de transformação:
transposição e substituição.
Estenografia trata-se de uma técnica utilizada para:
esconder informações.
O objetivo da estenografia é que as informações sejam transmitidas de forma _________, sem que possam ser _________ ou ___________.
O objetivo da estenografia é que as informações sejam transmitidas de forma invisível, sem que possam ser capturadas ou monitoradas.
CERTO OU ERRADO:
A estenografia trata-se de uma técnica para ocultar uma mensagem dentro de outra, de forma que não sejam percebidas por terceiros
CERTO!
Em geral, escondem-se mensagens dentro de:
imagens, sons, vídeos, textos, entre outros.
EXEMPLO DE ESTENOGRAFIA:
Não dá pra perceber nenhuma diferença, mas a imagem da direita está esteganografada, isto é, há uma mensagem escondida dentro dela.
Se a pessoa que vai receber a mensagem sabe disso e sabe como decifrá-la, ela conseguirá ver a mensagem escondida na imagem. Caso contrário, uma pessoa desavisada só vai achar que é uma foto de um panda. E isso pode ser feito com vários tipos de arquivos.
A Criptografia é a técnica de tornar uma mensagem:
ininteligível!
Atualmente são empregadas três técnicas de criptografias:
simétricas, assimétricas e híbridas.
As técnicas de criptografia (simétricas, assimétricas e híbridas) empregam dois fundamentos principais:
- substituição: cada elemento no texto claro é mapeado para outro elemento;
- transposição: os elementos no texto claro original são reorganizados.
O requisito essencial dos fundamentos de substituição e transposição é que nenhuma informação seja:
perdida.
A Criptografia Simétrica implica o uso de uma (1), utilizada tanto para (2) quanto para (3) informações.
A Criptografia Simétrica implica o uso de uma chave secreta, utilizada tanto para codificar quanto para decodificar informações.
exemplo de criptografia simétrica: uma pessoa envia um documento criptografado a outra, que não sabe a senha. então ou a pessoa informa a senha ou a outra decodifica
O que seria chave de encriptação?
informação que controla a
operação de um algoritmo de criptografia.
Para que é utilizada a chave de encriptação na criptografia simétrica?
Para codificar e decodificar.
CERTO OU ERRADO:
O risco de a chave ser comprometida fica maior com o
aumento do número de partes envolvidas na troca de mensagens com a mesma chave.
CERTO!
CERTO OU ERRADO:
A criptografia simétrica garante que os princípio da
confidencialidade e da integridade sejam cumpridos.
ERRADO! Ele garante apenas a confidencialidade. Ele não é capaz de garantir que a mensagem foi desviada no caminho (integridade).
CERTO OU ERRADO:
A criptografia simétrica só é capaz de garantir o princípio da
autenticidade caso apenas duas entidades tenham conhecimento da chave secreta.
CERTO!
Principais algoritmos da criptografia simétrica:
DES, 3DES, AES, IDEA, RC4, Blowfish, Cifragem de Júlio César, etc.
A Criptografia Assimétrica (também chamada de Criptografia de Chave Pública) cria duas chaves distintas e assimétricas – sendo uma ________ e uma _______.
A Criptografia Assimétrica (também chamada de Criptografia de Chave Pública) cria duas chaves distintas e assimétricas – sendo uma pública e outra privada.
CERTO OU ERRADO:
Na criptografia assimétrica, a chave pública é disponibilizada para qualquer um e a chave
privada é de uso personalíssimo e restrito a um usuário, instituição ou equipamento.
CERTO!
Na criptografia assimétrica somente a chave (1) é capaz de descriptografar as informações e vice-versa.
Na criptografia assimétrica somente a chave privada correspondente do par é capaz de descriptografar as informações e vice-versa.
EXEMPLO DE CRIPTOGRAFIA ASSIMÉTRICA
João recebe o cadeado vermelho aberto e decide comprar um cadeado azul com uma única chave.
Além disso, ele compra uma caixa. Então, ele insere seu cadeado azul aberto junto com o documento sensível que Maria precisa, coloca tudo dentro dessa caixa, permanece com a sua chave azul, mas tranca a caixa com o cadeado vermelho que foi enviado aberto por Maria e envia a
caixa para ela por meio dos correios.
Maria recebe a caixa trancada com seu cadeado vermelho e – como somente ela possui a chave vermelha para o cadeado vermelho – destranca a caixa e encontra o cadeado azul aberto de João junto do documento sensível. Pronto! Agora toda vez que eles precisarem enviar documentos sensíveis um para o outro, eles podem inseri-los na caixa junto de seu cadeado aberto e trancá-la com o cadeado do outro.
CERTO OU ERRADO:
Na criptografia assimétrica, caso um terceiro ou qualquer outro interceptador conseguir interceptar o envio da documento, ele não conseguirá abri-la.
CERTO! Pois só quem enviou e quem vai receber possuem a chave.
CERTO OU ERRADO:
Na Criptografia Assimétrica, há duas chaves diferentes – uma chave pública e uma
chave privada – e, por essa razão, é chamada de criptografia assimétrica.
Esse par de chaves formam
um par exclusivo, de modo que um texto criptografado pela chave pública só pode ser
descriptografado pela chave privada e um texto criptografado pela chave privada só pode ser
descriptografado pela chave pública.
CERTO!
O emissor que deseja enviar uma informação sigilosa deverá utilizar a chave _______ do destinatário para criptografar essa informação sigilosa.
O emissor que deseja enviar uma informação sigilosa deverá utilizar a chave pública do destinatário para criptografar essa informação sigilosa.
uma vez que somente o
destinatário que possui a chave privada específica dessa chave pública conseguirá desfazer a
operação de criptografia
Principais algoritmos da criptografia assimétrica:
RSA, DSA, ECDSA, Diffie-Hellman (para troca de chaves), etc.
CERTO OU ERRADO:
A Criptografia Assimétrica chega a ser até cem vezes mais lenta que a Criptografia Simétrica.
CERTO! Pois ela é maior do que a simétrica.
Criptografia Híbrida é uma combinação de:
Criptografia Simétrica e Criptografia Assimétrica
Na criptografia híbrida, utiliza-se um algoritmo de Criptografia Assimétrica apenas para (1) – chamadas de chaves de (2) – de forma segura.
Na criptografia híbrida, utiliza-se um algoritmo de Criptografia Assimétrica apenas para trocar chaves simétricas – chamadas de chaves de sessão – de forma segura.
O princípio de Kerckhoff afirma que a segurança de um sistema criptográfico deve depender da:
chave utilizada.
e, não, do algoritmo.
Existem três fatores que influenciam a segurança de um sistema criptográfico:
(1) a força de seu algoritmo – no sentido de que um algoritmo muito simples seria fraco;
(2) o sigilo da chave – a chave secreta ou privada não deve ser exposta;
(3) e o comprimento da chave – chaves pequenas demais podem ser frágeis.
Quais são os principais algoritmos de criptografia?
- DES
- 3DES
- AES
- IDEA
- RC4
- RSA
- DIFFIE-HELLMANN
- Blowfish
- MD5
- Sha
Dos principais algoritmo de criptografia, quais os que são considerados com segurança fraca?
- DES
- MD5
Dos principais algoritmo de criptografia, quais os que são considerados com segurança moderada?
- 3DES
- IDEA
- RC4
- SHA
Dos principais algoritmo de criptografia, quais os que são considerados com segurança forte?
- AES
- RSA
- DIFFIE-HELLMANN
- Blowfish
Dos principais algoritmo de criptografia, quais os que são considerados com velocidade lenta?
- 3DES
- RSA
Dos principais algoritmo de criptografia, quais os que são considerados com velocidade moderada?
- DIFFIE HELLMAN
- SHA
Dos principais algoritmo de criptografia, quais os que são considerados com velocidade rápida?
- DES
- AES
- IDEA
- RC4
- Blowfish
- MD5
Dos principais algoritmo de criptografia, quais os que são considerados com utilização atual?
- AES
- RSA
- SHA
Defina os algoritmos de acordo com o tipo simétrico, assimétrico ou híbrido.
CERTO OU ERRADO:
É possível garantir a
Autenticidade utilizando Criptografia Assimétrica.
CERTO! Autenticidade e confidencialidade.
O Método de Autenticação “O que você sabe?” trata-se da autenticação baseada no conhecimento de algo que:
somente você sabe
ex: senhas, frases secretas, dados pessoais aleatórios, entre outros.
Hoje em dia, a combinação mais utilizada para autenticação em sistemas de informação é:
Usuário e Senha.
PARA FIXAR
ESTRATÉGIAS DE SENHAS
- Utilize pelo menos oito caracteres (algumas normas recomendam seis caracteres);
- Mescle letras minúsculas e maiúsculas, números, espaços, pontuação e outros símbolos;
- Evite utilizar um caractere mais de duas vezes; não a anote, memorize-a;
- Evite utilizar informações pessoais, como nome do filho, aniversário da mãe, etc;
- Alterar as senhas com frequência e não utilizar a mesma senha em contas diferentes;
- Substituir alguns caracteres por números parecidos como: D13G0 C4RV4LH0;
- Não utilizar sequências de teclado como: QWERTY, ASDFGH ou ZXCVBN;
- Certificar de encerrar uma sessão ao acessar sites que requeiram uso de senhas;
- Não escolher palavras que façam parte do dicionário.
O que é um ataque de força bruta?
Um ataque de força bruta consiste em uma tentativa de violar uma senha ou um nome de usuário usando uma abordagem de tentativa e erro.
O método de autenticação “O que você é?” trata-se da autenticação baseada no conhecimento de algo que:
você é.
dados biométricos, impressão digital, padrão de retina, reconhecimento de voz,
reconhecimento facial, assinatura manuscrita
CERTO OU ERRADO:
A biometria é a que usa exclusivamente a impressão digital para autenticação.
ERRADO! A biometria abrange reconhecimento de voz, reconhecimento facial, leitura de retina, dna…
O Método de Autenticação “O que você tem?” trata-se da autenticação baseada em algo que somente o verdadeiro usuário possui, como:
celulares, crachás, Smart Cards, chaves físicas, tokens, etc.
CERTO OU ERRADO:
O método de autenticação “O que você tem?” resolve o problema da adivinhação por força bruta.
CERTO! Porque o suposto atacante precisa estar próximo do local.
A Autenticação Forte, que é um tipo de autenticação que ocorre quando se utiliza pelo menos:
dois desses três métodos de
autenticação (o que você é, o que você tem, o que você sabe)
Um exemplo de autenticação forte é a Autenticação em:
Dois Fatores (ou Verificação em Duas Etapas)!
Na criptografia assimétrica, se eu criptografo uma mensagem com a chave pública do destinatário, eu garanto o Princípio da (1); se eu criptografo uma mensagem com a minha chave privada, eu garanto o Princípio da (2).
Na criptografia assimétrica, se eu criptografo uma mensagem com a chave pública do destinatário, eu garanto o Princípio da Confidencialidade; se eu criptografo uma mensagem com a minha chave privada, eu garanto o Princípio da Autenticidade.
O Algoritmo de Hash é basicamente um algoritmo criptográfico que transforma:
uma entrada de dados de qualquer tamanho em uma saída de dados de tamanho fixo.
O algoritmo de hash tem quantas direções?
Uma única (one-way).
O Algoritmo de Hash
tem um problema: diferentes entradas podem gerar a mesma saída – isso é chamado de:
colisão.
CERTO OU ERRADO:
A Função de Resto ou Módulo não é um bom Algoritmo de Hash para criptografia de senhas, porque ele é bastante suscetível a colisões.
CERTO!
Uma forma de reduzir a chance de colisões é:
aumentando o tamanho fixo de saída.
Atualmente, Algoritmos Criptográficos de Hash exigem pelo menos (1) bits de saída.
Atualmente, Algoritmos Criptográficos de Hash exigem pelo menos 128 bits de saída.
As funções de Hash bastante famosas é o:
MD5 e SHA.
CERTO OU ERRADO:
Para garantir a integridade, basta utilizar um Algoritmo de
Hash.
CERTO!
PARA FIXAR
Na figura, Maria possui uma mensagem em claro (sem criptografia). Ela gera um hash dessa mensagem, depois criptografa esse hash utilizando sua chave privada. Em seguida, ela envia para
João tanto a mensagem original quanto o seu hash. João gera um hash da mensagem original e obtém um resultado. Depois descriptografa o hash da mensagem utilizando a chave pública de Maria e obtém outro resultado. Dessa forma, ele tem dois hashes para comparar: o que ele gerou a partir da mensagem em claro e
o que ele descriptografou a partir da mensagem criptografada. Se forem iguais, significa que Maria
realmente enviou a mensagem e que ela não pode negar que enviou o documento e, por fim,
significa que o documento está íntegro. E essa é a Assinatura Digital baseada em Hash.
A garantia da autenticidade e da integridade garante automaticamente a:
irretratabilidade ou não-repúdio.
É importante diferenciar três conceitos: Identificação, Autenticação e Autorização (alguns autores incluem também a auditoria).
Na identificação, uma entidade apresenta uma informação
capaz de identificá-la __________ na base de dados de um sistema, por exemplo, um número de conta ou nome de usuário.
É importante diferenciar três conceitos: Identificação, Autenticação e Autorização (alguns autores incluem também a auditoria).
Na identificação, uma entidade apresenta uma informação
capaz de identificá-la unicamente na base de dados de um sistema, por exemplo, um número de conta ou nome de usuário.
Caso a informação recebida pela entidade seja encontrada na base de dados, pode-se afirmar que ocorreu um processo de identificação.
CERTO OU ERRADO:
O uso de método de identificação garante que a informação seja autêntica.
ERRADO! Ela garante que a informação será identificada unicamente mas não garante que os dados informados são verdadeiros.
CERTO OU ERRADO:
Caso a informação de identificação de uma entidade seja autêntica, podemos deduzir que se trata de um usuário válido solicitando acesso.
CERTO!
CERTO OU ERRADO:
O processo de autorização trata dos privilégios concedidos a uma entidade ao utilizar um sistema e busca verificar se essa determinada entidade tem permissão para acessar funcionalidades ou dados específicos de um sistema ou aplicação.
CERTO!
PARA FIXAR
A Assinatura Digital tem um problema grave!
Se Maria quisesse enviar uma mensagem para João – ela deveria criptografá-la com a sua chave privada.
Entende-se, portanto, que a chave pública de Maria esteja divulgada em algum lugar para que possa ser encontrada por qualquer pessoa ou que Maria tenha enviado de alguma forma a sua chave pública para o João.
No entanto, Suzana poderia interceptar a mensagem de Maria para João. Ela poderia jogar mensagem original fora, criar uma nova mensagem com um recado diferente, criptografá-la com a sua chave privada e enviá-la junto com a sua chave pública para João. Quando João recebesse a
mensagem, ele utilizaria a chave pública recebida (de Suzana) para descriptografar a
mensagem e acharia que se tratava realmente de uma mensagem de Maria.
CERTO OU ERRADO:
A Assinatura Digital possui uma autenticação relativamente frágil.
CERTO!
Para resolver o problema com a fragilidade da Assinatura Digital, é necessária uma terceira parte confiável chamada:
Autoridade Certificadora (AC).
A Autoridade Certificadora é uma entidade responsável por:
emitir certificados digitais – ela é uma espécie de Cartório Digital.
A Autoridade Certificadora faz algo similar: ela mantém documentos chamados Certificados Digitais. Esse documento contém:
o nome, registro civil e chave pública do dono do certificado, a
data de validade, versão e número de série do certificado, o nome e a assinatura digital da
autoridade certificadora, algoritmo de criptografia utilizado, etc.
CERTO OU ERRADO:
A Autoridade Certificadora é responsável por emitir, distribuir, renovar, revogar e gerenciar certificados digitais.
CERTO!
O cadeado que constam nos sites, são exemplos de Autoridade Certificadora. Isso significa que essa página web fornece um serviço possivelmente _______ em que trafegam informações _________, portanto ela oferece um canal de comunicação ______________ e ______.
O cadeado que constam nos sites, são exemplos de Autoridade Certificadora. Isso significa que essa página web fornece um serviço possivelmente crítico em que trafegam informações sigilosas, portanto ela oferece um canal de comunicação criptografado e seguro.
PARA FIXAR
O cadeado que constam nos sites, são exemplos de Autoridade Certificadora. Isso significa que essa página web fornece um serviço possivelmente crítico em que trafegam informações sigilosas, portanto ela oferece um canal de comunicação criptografado e seguro.
No caso, trata-se da utilização do protocolo HTTPS, que é uma implementação do protocolo HTTP sobre uma camada adicional de segurança que utiliza o protocolo SSL/TLS (Secure Sockets Layer / Transport Layer Security).
Sempre que a Autoridade Certificadora descobre ou é informada de que um certificado não é mais confiável no seu navegador, ela o inclui em uma “Lista Negra”, chamada de:
Lista de Certificados Revogados (LCR).
A Lista de Certificados Revogados é um arquivo
eletrônico publicado periodicamente pela Autoridade Certificadora, contendo o:
número de série dos certificados que não são mais válidos e a data de revogação.
geralmente essa imagem
Qual a diferença entre Assinatura Digital e Certificado Digital?
- Assinatura digital: Trata-se um método matemático utilizado para verificar a autenticidade e integridade de uma entidade (mensagem, software, servidor, documento, etc).
-
Certificado digital: Trata-se de um documento eletrônico assinado digitalmente por uma terceira parte confiável para
vincular uma chave pública a uma entidade.
CERTO OU ERRADO:
A chave privada de uma criptografia não pode constar no certificado digital.
CERTO! O certificado digital é público, logo a chave privada não pode estar inserida nele. As chaves privadas podem ficar armazenadas em um computador, token ou smartcard protegidas por alguma senha.
A Infraestruturas de Chave Pública (ICP) trata-se de uma entidade pública ou privada que tem como objetivo:
manter uma estrutura de emissão de chaves públicas.
A Infraestruturas de Chave Pública (ICP) no princípio da:
terceira parte confiável.
CERTO OU ERRADO:
A ICP também pode ser definida como um conjunto de técnicas, práticas, arquitetura, organização e procedimentos implementados pelas organizações públicas e privadas que suportam, em
conjunto, a implementação e a operação de um sistema de certificação
CERTO!
A ICP brasileira é denominada:
ICP-Brasil.
A ICP busca estabelecer
fundamentos técnicos e metodológicos baseado em criptografia de chave pública, para garantir a:
autenticidade, a integridade e a validade jurídica.
Na infraestrutura das ICP há duas entidades:
Autoridades Certificadoras e Autoridades de Registro.
que emitem e vendem certificados digitais respectivamente
PARA FIXAR
CADEIA DE CERTIFICAÇÃO
PARA FIXAR
Sabe quando vamos tirar a carteira de identidade? Pois é, a maioria das pessoas procura a Secretaria de Segurança Pública (SSP), que é responsável por expedir um documento oficial de identificação atestando quem você realmente é – seria análogo a uma Autoridade Certificadora de Nível 1. Ela está subordinada ao Ministério da Justiça, análogo a Autoridade Certificadora Raiz. Já o Instituto
de Identificação da SSP seria a Autoridade de Registro.
Compete à ela emitir, expedir, distribuir, revogar e gerenciar os certificados das autoridades certificadoras de nível imediatamente subsequente ao seu e é a primeira autoridade na cadeia de certificação.
Essa definição corresponde a:
Autoridade Certificadora Raiz (AC-Raiz).
CERTO OU ERRADO
A Autoridade Certificadora Raiz está encarregada de emitir a Lista de Certificados Revogados (LCR) e de fiscalizar e auditar as Autoridades Certificadoras – ACs, Autoridades de Registro – ARs e demais prestadores de serviço habilitados na ICP-Brasil.
CERTO!
Trata-se de uma entidade, pública ou privada, subordinada à hierarquia da ICP-Brasil, responsável por emitir, distribuir, renovar, revogar e gerenciar certificados digitais. Busca verificar se o titular do certificado possui a chave privada que corresponde à chave pública do certificado. Ela cria e assina digitalmente o certificado do assinante, onde o certificado emitido pela AC representa a declaração da identidade do titular, que possui um par único de chaves.
Essa definição corresponde a:
Autoridade Certificadora.
CERTO OU ERRADO
Assim como a Autoridade Certificadora Raiz, a Autoridade Certificadora pode emitir Listas de Certificados Revogados (LCR).
CERTO!
A Autoridade de Registro trata-se de uma entidade responsável pela:
interface entre o usuário e a Autoridade Certificadora.
imagem com exemplo de AR
A Autoridade de Registro é sempre vinculada a uma (1) e pode estar fisicamente localizada em uma (2) ou ser uma entidade de (3).
A Autoridade de Registro é sempre vinculada a uma Autoridade Certificadora e pode estar fisicamente localizada em uma Autoridade Certificadora ou ser uma entidade de registro remoto.
CERTO OU ERRADO:
As Autoridades de Registro tem por objetivo o recebimento, a validação, o encaminhamento de solicitações de emissão ou revogação de certificados digitais e identificação, de forma digital, de seus
solicitantes.
ERRADO! Não é de forma digital. É de forma PRESENCIAL. Substituindo isso, está tudo correto.
CERTO OU ERRADO:
As Autoridades de Registro não emitem certificados digitais.
CERTO! Elas o recebem,
validam ou encaminham e guardam um registro dessas operações.
CERTO OU ERRADO
A Autoridade Certificadora Raiz emite certificados digitais para as Autoridades Certificadoras hierarquicamente abaixo dela, que emitem certificados para equipamentos, pessoas
físicas ou jurídicas.
CERTO!
O padrão para infraestrutura de chave pública utilizado pela ICP-Brasil é o:
X-509.
lembrar do 509-E e do seu integrante, Afro-X
O certificado digital é um:
documento/arquivo.
Quem é que assina o certificado da autoridade certificadora raiz?
Ela mesma!
É possível ocorrer uma falha, vazamento ou corrupção na autoridade certificadora raiz, por exemplo. Logo, essa infraestrutura pode ser bastante vulnerável – um problema grave pode colocar em risco toda a infraestrutura. Dito isso, surgiu uma abordagem chamada Cadeia/Teia de Confiança (Web of Trust – WoT).
Trata-se de um modelo de confiança __________ e _______________ que busca disponibilizar criptografia para o público geral sem ______ em contrapartida à abordagem de infraestrutura de chave
pública.
É possível ocorrer uma falha, vazamento ou corrupção na autoridade certificadora raiz, por exemplo. Logo, essa infraestrutura pode ser bastante vulnerável – um problema grave pode colocar em risco toda a infraestrutura. Dito isso, surgiu uma abordagem chamada Cadeia/Teia de Confiança (Web of Trust – WoT).
Trata-se de um modelo de confiança transitiva e descentralizada que busca disponibilizar criptografia para o público geral sem custos em contrapartida à abordagem de infraestrutura de chave
pública.
PARA FIXAR
Como funciona a Cadeia/Teia de Confiança:
A confiança vai sendo estabelecida através de uma rede de transitividade em
que, se Tony confia em Mike e Mike confia em John, então
Tony confia em John.
CERTO OU ERRADO
Em uma infraestrutura de chave pública, todo certificado deve necessariamente ser assinado por uma autoridade certificadora.
CERTO!
Em uma cadeia/teia de certificados, quem poderá assinar e atestar a validade de outros certificados é:
qualquer entidade.
descentralizada e não hierárquica
Os certificados digitais da Categoria A costumam ser usados para fins de:
identificação e autenticação. Você pode usá-los para assinar documentos ou validar transações eletrônicas
A Categoria S de certificados digitais é direcionada a:
atividades sigilosas
proteção de arquivos confidenciais, por ex
Certificado de Assinatura Digital (A) reúne os certificados de assinatura digital, utilizados em:
- confirmação de identidade na web
- e-mails
- Redes Privadas Virtuais (VPNs)
- documentos eletrônicos com verificação da integridade das informações.
Certificado de Sigilo reúne os certificados de sigilo, que são utilizados na codificação de
__________, de bases de dados ___________, de _________ e de outras informações eletrônicas
_________.
Certificado de Sigilo reúne os certificados de sigilo, que são utilizados na codificação de
documentos, de bases de dados relacionais, de mensagens e de outras informações eletrônicas
sigilosas.
Relacione os certificados do campo esquerdo com as respectivas respostas corretas.
Relacione os certificados do campo esquerdo com as respectivas respostas corretas.
Relacione os certificados do campo esquerdo com as respectivas respostas corretas.
Relacione os certificados do campo esquerdo com as respectivas respostas corretas.
