SEGURANÇA DA INFORMAÇÃO Flashcards
Cada certificado no padrão X.509 versão 3 inclui uma chave pública, a assinatura digital, informações sobre a identidade associada ao certificado e a autoridade certificadora que o emite.
CERTO
Os certificados X 509 possuem três componentes principais:1. Par de chaves;2. Assinatura digital;3. Informações sobre a identidade do emissor e do proprietário.
Entre as atividades corretivas definidas para a hardening, técnica utilizada para tornar o sistema completamente seguro, destaca-se a de manter atualizados tanto os softwares do sistema operacional quanto os das aplicações.
ERRADO
Não existe completamente seguro.
Hardening é um processo de mapeamento das ameaças, mitigação dos riscos e execução das atividades corretivas, com foco na infraestrutura e objetivo principal de torná-la preparada para enfrentar tentativas de ataque.
De acordo com a ISO 27002 o………………. é o responsável por classificar a informação de sua alçada.
proprietário do ativo
Na classificação comum, os documentos que necessitam de sigilo especial são classificados como …………………… A classificação crítica se refere a informações que, se divulgadas, podem trazer um risco muito elevado para a organização, como informações financeiras, estratégicas ou de propriedade intelectual.
Sensíveis
A classificação dos ativos de informação em graus de sigilo constitui precondição para se definir os requisitos de tratamento e de proteção a eles aplicáveis.
CERTO
Os ataques ……………………… são aqueles que não alteram ou interferem no fluxo de dados. Ou seja, escutas ou interceptações apenas para coleta e leitura das informações, sem sua alteração, caracteriza esse tipo de ataque.
passivos
● Eavesdropping: Interceptação de dados em redes sem fio ou com fio.
● Análise de tráfego: Monitoramento de pacotes de rede para identificar informações confidenciais.
● Ataques de sniffing: Captura de dados em redes utilizando ferramentas específicas
O mecanismo de detecção por aproximação em crachás está baseado na tecnologia de …………………
radiofrequência
comumente conhecida como RFID (Radio-Frequency Identification). Os crachás de identificação são equipados com uma pequena antena e um chip que emite sinais de radiofrequência quando aproximados de um leitor compatível.
As boas práticas da gestão dos controles de acesso lógico de uma organização incluem atribuir direitos de
acesso aos usuários, conforme necessidades reais de seu trabalho ou cargo, disponibilizar contas de
usuários apenas a pessoas autorizadas, armazenar senhas criptografadas e usar técnicas visíveis de
identificação.
ERRADO
nem todos os itens elencados são boas práticas. O item que fica fora dessa lista é a técnica de armazenamento de senhas criptografadas
. A ideia do HARDENING é “endurecer” um servidor de tal modo a deixá-lo mais robusto e seguro.
CERTO
Quais são as boas práticas de utilização de usuário ROOT em um servidor?
Não se deve possibilitar a utilização do usuário ROOT de forma direta, ou seja, logando-se como ROOT. Para tanto, deve-se utilizar apenas o método de escalação de privilégios, ou seja, deve-se logar como determinado usuário para posterior mudança de privilégio e consequente execução de comandos ou aplicações. Isto possibilita a geração de lastros e trilhas de auditorias, além de ser mais uma camada de segurança.
Explique a diferença entre as técnicas de controle de acesso MAC, DAC, RBAC e ABAC.
- Mandatory Access Control (MAC) - base em políticas de segurança pré-definidas - como listas de controle de acesso (ACLs) e labels de segurança.
- Discretionary Access Control (DAC) - o usuário tem o controle de garantir privilégios de acesso a recursos aos que estão sob seu domínio
- Role-Based Access Control (RBAC) - privilégios de acordo com a função do usuário.
- Attribute-Based Access Control (ABAC) - base em atributos do sujeito, objeto e contexto.
Para o estabelecimento dos controles de acesso a um sistema de informação desenvolvido numa organização, o administrador de segurança sugeriu que, para cada objeto ou recurso do sistema, fossem atribuídas autorizações de acesso bem definidas a indivíduos, funções ou grupos. A técnica de controle de acesso lógico indicada pelo administrador denomina-se
lista de controle de acesso (ACL)
Somente aqueles na lista são permitidos nas portas. Isso permite que os administradores garantam que, a menos que as credenciais adequadas sejam apresentadas pelo dispositivo, ele não possa obter acesso.
No controle de acesso, somente os usuários que tenham sido especificamente autorizados podem usar e
receber acesso às redes e aos seus serviços.
CERTO
Exatamente. É importante sempre lembrar essa diferença básica da autenticação e autorização.
Códigos de verificação de um sistema de autenticação de dois fatores podem ser enviados por email ou
gerados por um aplicativo autenticador instalado no dispositivo móvel do usuário.
CERTO
como o Google
Authenticator, por exemplo, ou algum serviço semelhante, onde são geradas senhas para cada usuário.
Agora é importante destacar que aqui nós temos o modelo de algo que você sabe, com algo que você possui.
Uma das condições para a autenticação é que o sinal biométrico apresenta correspondência exata entre o
sinal biométrico recebido pelo sistema e o gabarito armazenado.
ERRADO
Existem os modelos comportamentais, que também são sinais biométricos e trabalham com referências variáveis, mas dentro de um padrão aceitável, com taxa de similaridade e equivalência alto. Dizer que tem que ser exato, não é uma verdade para sua generalização.
Um …………………… geralmente é uma sequência de comandos, dados ou uma parte de um software elaborados por hackers que conseguem tirar proveito de um defeito ou vulnerabilidade. O objetivo, neste caso, é causar um comportamento acidental ou imprevisto na execução de um software ou hardware, tanto em computadores quanto em outros aparelhos eletrônicos.
exploit
pode dar a um cracker o controle de um sistema de computador, permitindo a execução de determinados processos por meio de acesso não autorizado a sistemas, ou ainda realizar um ataque de negação de serviço.
não precisa que o usuário clique em um determinado link ou faça o download para a execução de algum arquivo. Por isso, os exploits são armas perigosas nas mãos de hackers mal intencionados.
O SDL (Security Development Lifecycle) engloba a adição de uma série de atividades e produtos concentrados na segurança em cada fase do processo de desenvolvimento de software. Essas atividades e esses produtos incluem o desenvolvimento de modelos de ameaças durante o design do software, o uso de ferramentas de verificação de código de análise estática durante a implementação e a realização de revisões de código e testes de segurança durante um “esforço de segurança” direcionado.
CERTO
O SDL (Security Development Lifecycle) engloba a adição de uma série de atividades e produtos concentrados na segurança em cada fase do processo de desenvolvimento de software. Essas atividades e esses produtos incluem o desenvolvimento de modelos de ameaças durante o …………………… do software, o uso de ferramentas de verificação de código de análise estática durante a implementação e a realização de revisões de código e testes de segurança durante um “esforço de segurança” direcionado.
DESIGN
- FASE DE REQUISITOS
- FASE DE DESIGN
- FASE DE IMPLEMENTAÇÃO
- FASE DE VERIFICAÇÃO
- FASE DE SUPORTE E MANUTENÇÃO
Quais são as fases do ciclo de vida SDL (Security Development Lifecycle)?
- FASE DE REQUISITOS
- FASE DE DESIGN
- FASE DE IMPLEMENTAÇÃO
- FASE DE VERIFICAÇÃO
- FASE DE SUPORTE E MANUTENÇÃO
Os mecanismos de autenticação são procedimentos, rotinas, ferramentas ou soluções que implementam, de fato, o princípio de autenticação com o devido controle de acesso. Estes podem ser subdivididos em três grandes grupos, quais sejam:
Algo que você sabe: senha.
Algo que você tem: token, crachá, smart card.
Algo que você é: biometria (digital, iris, voz, face, etc.)
O conjunto dessas três características conceitua o termo …………………………..
AAA (authentication, authorization e accounting).
O principal protocolo que roda por trás do recurso …………. é o LDAP, no âmbito corporativo. Uma implementação mais simples é por intermédio dos cookies dos browsers dos dispositivos.
SSO
O ………….. elimina a necessidade de os usuários fazerem login em vários aplicativos repetidamente. O ………….. possibilita o …………. ao facilitar a troca de informações entre três partes: o usuário, o provedor de identidade e o provedor de serviços.
O SSO elimina a necessidade de os usuários fazerem login em vários aplicativos repetidamente. O SAML possibilita o SSO ao facilitar a troca de informações entre três partes: o usuário, o provedor de identidade e o provedor de serviços.
O SSO elimina a necessidade de os usuários fazerem login em vários aplicativos repetidamente. O ………….. possibilita o SSO ao facilitar a troca de informações entre três partes: o usuário, o provedor de identidade e o provedor de serviços.
SAML
O SAML é um padrão aberto que permite com que provedores de serviços e recursos de identidade passe credenciais de autorização para provedores de serviços através de refresh tokens.
ERRADO
SAML usa XML para autenticação via federação de identidade.
O SAML está na versão 2.0, e, em suas especificações, define basicamente 3 papéis:
1.
2.
3.
- O principal (tipicamente um humano);
- O Provedor de Identidades (Identity Provider - IDP)
- O Provedor de Serviços (Service Provider - SP)
……….. usa tokens da web com JSON (JWTs) para verificar a identidade de um usuário final, permite que os usuários façam login em vários sites usando um conjunto de credenciais de login.
OAuth
Biometria é um conceito amplo que envolve identificar de maneira única um indivíduo por meio de suas características físicas ou comportamentais. Cite 4 características fisiológicas e 3 comportamentais.
Fisiológicas
-Face
-Impressão digital
-Mão
-Olho (iris, retina)
Comportamentais
-Assinatura (estática e dinâmica)
-Voz
-Ritmo de escrita
Basicamente, quando falamos de ……………………, referenciamos os equipamentos finais que ficam nas mãos dos usuários finais (computadores, laptops, smartphones, entre outros). A segurança desses equipamentos busca evitar ataques cibernéticos, detectar atividades maliciosas e fornecer recursos de correção instantânea, entre outros.
ENDPOINTS
Dentre alguns recursos e contextos de aplicação das soluções voltadas para segurança em EndPoints, podemos citar Antivírus, Antimalwares, firewalls, HIDS e HIPS, Atualizações diversas de drivers, softwares e S.O., entre outros. Vamos reforçar alguns recursos e conceitos para cada um desses aspectos.
Você já se perguntou como os desenvolvedores de software garantem que seus aplicativos, drivers, executáveis e softwares sejam autênticos, íntegros e seguros? A resposta é a ………………………………, como também é conhecido, um processo que usa certificados digitais e criptografia para verificar a identidade do editor e a integridade do código.
assinatura de código ou Code Signing
Code Signing é baseada em uma tecnologia chamada infraestrutura de chave pública (PKI), que usa pares de chaves públicas e privadas para criar assinaturas digitais.
Ataques como …………………., onde não são conhecidos em nenhuma assinatura, somente poderão ser detectados preventivamente por meio de técnicas de análise de comportamento por meio de inteligência artificial e aprendizado de máquina que traçam linhas de base com base em heurísticas, redes neurais e muitas outras técnicas, para tentar prever determinados malwares e outras ações.
ZERO-DAY
Ataques como ZERO-DAY, onde não são conhecidos em nenhuma assinatura, somente poderão ser detectados preventivamente por meio de técnicas de análise de comportamento por meio de inteligência artificial e aprendizado de máquina que traçam linhas de base com base em heurísticas, redes neurais e muitas outras técnicas, para tentar prever determinados malwares e outras ações.
CERTO
Ataques …………………… basicamente são aqueles que ainda não foram descobertos pelas comunidades e provedores de soluções de segurança, ou ainda, pelo donos das soluções e produtos, para que possam implementar as medidas de segurança ou correções necessárias para eliminar a vulnerabilidade.
ZERO-DAY
……………………: probabilidade de uma fonte de ameaça explorar uma vulnerabilidade, resultando em um impacto para a organização;
RISCO
RISCO: probabilidade de uma fonte de ameaça explorar uma vulnerabilidade, resultando em um impacto para a organização
CERTO
AMEAÇA: probabilidade de uma fonte de risco explorar uma vulnerabilidade, resultando em um impacto para a organização
errado
RISCO: probabilidade de uma fonte de ameaça explorar uma vulnerabilidade, resultando em um impacto para a organização
Explique sucintamente:
1) RISCO
2) AMEAÇA
3) VULNERABILIDADE
4) IMPACTO
5) INCIDENTE
1) RISCO: probabilidade de uma fonte de ameaça explorar uma vulnerabilidade, resultando em um impacto para a organização
2) AMEAÇA: Causa potencial de um incidente indesejado.
3) VULNERABILIDADE: Fragilidade de um ativo que pode ser explorada por uma ou mais ameaças
4) IMPACTO: Resultado gerado por uma ameaça ao explorar uma vulnerabilidade
5) INCIDENTE: um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação
………………. é indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação
INCIDENTE
Quais as 4 formas básicas de como a organização deve reagir aos riscos?
1) Evitar
2) Transferir
3) Miotigar
4) Aceitar ou Reter
DIRETRIZES PARA O DESENVOLVIMENTO DE SOFTWARE SEGURO
Os softwares devem ser capazes de aplicar regras de …………………. gerar registros e logs que possibilitem verificar as trilhas de auditoria e, obviamente, serem robustos com vistas a manter a disponibilidade dos recursos.
Os softwares devem ser capazes de aplicar regras de controle de acesso, gerar registros e logs que possibilitem verificar as trilhas de auditoria e, obviamente, serem robustos com vistas a manter a disponibilidade dos recursos.
DIRETRIZES PARA O DESENVOLVIMENTO DE SOFTWARE SEGURO
Os softwares devem ser capazes de aplicar regras de controle de acesso, ,,,,,,,,,,,,,,,,,,,,,,,,, que possibilitem verificar as trilhas de auditoria e, obviamente, serem robustos com vistas a manter a disponibilidade dos recursos.
Os softwares devem ser capazes de aplicar regras de controle de acesso, gerar registros e logs que possibilitem verificar as trilhas de auditoria e, obviamente, serem robustos com vistas a manter a disponibilidade dos recursos.
…………………. é uma técnica utilizada para testar erros em aplicações. É amplamente utilizado no processo de desenvolvimento de softwares seguros devido sua capacidade de detectar defeitos que usuários não descobrem com facilidade
Fuzzing
Assim, caso este seja descoberto em ambiente de produção, pode gerar grandes danos aos usuários de determinada aplicação. A referida técnica consiste, basicamente, em enviar entradas randômicas para a aplicação.
O que é a técnica Fuzzing?
é uma técnica utilizada para testar erros em aplicações. É amplamente utilizado no processo de desenvolvimento de softwares seguros devido sua capacidade de detectar defeitos que usuários não descobrem com facilidade. Assim, caso este seja descoberto em ambiente de produção, pode gerar grandes danos aos usuários de determinada aplicação. A referida técnica consiste, basicamente, em enviar entradas randômicas para a aplicação
É uma metodologia criada pela Microsoft para o desenvolvimento de softwares que precisam suportar ataques de usuários mal-intencionados. O processo engloba a adição de uma série de atividades e produtos concentrados na segurança em cada fase do processo de desenvolvimento de software da Microsoft.
SDL (Security Development Lifecycle)
Essas atividades e esses produtos incluem o desenvolvimento de modelos de ameaças durante o design do software, o uso de ferramentas de verificação de código de análise estática durante a implementação e a realização de revisões de código e testes de segurança durante um “esforço de segurança” direcionado.
Quais as etapas do ciclo de vida SDL (Security Development Lifecycle)?
- FASE DE REQUISITOS
- FASE DE DESIGN (*** modelagem de ameaças)
- FASE DE IMPLEMENTAÇÃO
- FASE DE VERIFICAÇÃO
- FASE DE SUPORTE E MANUTENÇÃO
CLASP (Comprehensive, Lightweight Application Security Process) é uma metodologia de desenvolvimento seguro de software orientada a atividades e papéis, que descreve melhores práticas para projetos novos ou em andamento. A estrutura do processo é dividida em cinco perspectivas, denominadas Visões CLASP, que são referenciadas como Conjuntos de Taxonomias de vulnerabilidades a serem consideradas no desenvolvimento do software.
CERTO
CLASP (Comprehensive, Lightweight Application Security Process) é uma metodologia de desenvolvimento seguro de software orientada a ………………………….., que descreve melhores práticas para projetos novos ou em andamento. A estrutura do processo é dividida em cinco perspectivas, denominadas Visões CLASP, que são referenciadas como Conjuntos de Taxonomias de vulnerabilidades a serem consideradas no desenvolvimento do software.
atividades e papéis
CLASP (Comprehensive, Lightweight Application Security Process) é uma metodologia de desenvolvimento seguro de software orientada a atividades e papéis, que descreve melhores práticas para projetos novos ou em andamento. A estrutura do processo é dividida em cinco perspectivas, denominadas ………………………, que são referenciadas como Conjuntos de Taxonomias de vulnerabilidades a serem consideradas no desenvolvimento do software.
Visões CLASP
CLASP (Comprehensive, Lightweight Application Security Process) é uma metodologia de desenvolvimento seguro de software orientada a atividades e papéis, que descreve melhores práticas para projetos novos ou em andamento. A estrutura do processo é dividida em cinco perspectivas, denominadas Visões CLASP, que são referenciadas como Conjuntos de Taxonomias de ………………………… a serem consideradas no desenvolvimento do software.
Taxonomias de vulnerabilidades
OWASP Secure Coding Practices é uma comunidade aberta dedicada a permitir que as organizações concebam, desenvolvam, adquiram, operem e mantenham aplicativos confiáveis. Cite 5 riscos de segurança mais críticos de aplicações Web do top 10.
1)Broken Access Control:
2)Cryptographic Failures
3)Injection (agora inclui Cross Site Scripting):
4) Insecure Design
5)Security Misconfiguration
6)Vulnerable and Outdated Components
7)Identification and Authentication Failures: ocasionado por práticas inadequadas de autenticação, senhas inseguras.
8)Software and Data Integrity Failures
9)Security Logging and Monitoring Failures: práticas de registro e monitoramento inadequadas.
10)Server-Side Request Forgery: Indução de solicitações pelo servidor em nome do atacante - Falhas na validação de URLs, permitindo solicitações não autorizadas.
A biometria das digitais tem como principal vantagem o fato de que as impressões digitais são imutáveis.
ERRADO
esse é justamente um dos riscos da biometria, falha na identificação por conta de variações nas características biométricas ao longo do tempo
Uma das práticas definidas pelo modelo SDL da Microsoft é a modelagem de ameaças.
CERTO
a modelagem de ameaças é um prática do modelo SDL presente na etapa de Design.
O conserto de vulnerabilidades descobertas por meio de análise dinâmica de segurança (DAST) costuma custar mais caro do que aquelas descobertas no início do ciclo de desenvolvimento.
CERTO
O conserto de vulnerabilidades descobertas por meio de análise dinâmica de segurança (DAST) costuma custar mais caro do que aquelas descobertas no início do ciclo de desenvolvimento.
Qual a diferença entre SAST, DAST e IAST?
SAST (Static application security testing): análise estátisca do código
DAST (Dynamic application security testing): análise dinâmica, em execução, de fora pra dentro, teste de comportamento, testes de penetração.
IAST (Interacive application security testing): se integra diretamente ao código do aplicativo e monitora sua execução em busca de vulnerabilidades em tempo real.
Ao contrário das ferramentas estáticas que analisam o código-fonte ou das ferramentas dinâmicas que simulam ataques, as ferramentas IAST examinam a aplicação em tempo de execução. Isso permite a detecção de vulnerabilidades reais à medida que a aplicação interage com dados, APIs e usuários reais.
CERTO
Ao contrário das ferramentas estáticas que analisam o código-fonte ou das ferramentas dinâmicas que simulam ataques, as ferramentas ………… examinam a aplicação em tempo de execução. Isso permite a detecção de vulnerabilidades reais à medida que a aplicação interage com dados, APIs e usuários reais.
IAST (Interacive application security testing): se integra diretamente ao código do aplicativo e monitora sua execução em busca de vulnerabilidades em tempo real.
A lógica difusa é uma das técnicas utilizadas em testes dinâmicos (DAST) para tentar detectar falhas de segurança em binários.
CERTO
A lógica difusa, ou fuzzy logic, é uma forma de lógica que lida com valores de verdade que variam entre 0 e 1. Ao contrário da lógica binária clássica que trabalha com valores absolutos de verdade (0 ou 1), a lógica difusa permite que variáveis tenham valores intermediários, representando graus de verdade.
A criptologia incorpora estudos e conhecimentos das áreas de criptografia e criptoanálise.
CERTO
Qual a diferença entre Criptoanálise, Criptologia e Cifra?
Criptoanálise = Ciência de quebrar códigos e decifrar mensagens.
Criptologia = Ciência que agrega a criptografia e a criptoanálise.
Cifra = Método de codificação de mensagens com vista à sua ocultação.
Ao codificarmos uma mensagem, podemos utilizar, basicamente, três métodos de cifragem, quais sejam: ……………………., ……………………..e ……………………….. A combinação desses métodos com fórmulas e funções matemáticas geram os tão conhecidos algoritmos de criptografia.
substituição, transposição e esteganografia
Em um ataque por …………………….., exploram-se a natureza e as características do algoritmo na tentativa de deduzir as chaves utilizadas ou de deduzir um texto claro específico.
Criptoanálise
Ciência de quebrar códigos e decifrar mensagens.
Um esquema de criptografia será considerado computacionalmente seguro se o tempo para se quebrar sua cifra for superior ao tempo de vida útil da informação por ele protegida.
CERTO
Se a informação não faz mais sentido, ou seja, se ela não tem mais valor, não há problemas em ela ser violada. Nesse sentido, precisamos garantir que o sistema não seja quebrado enquanto a informação produz algum valor, ou seja, dentro do seu período de vida útil.
Empregada na criptografia, a transposição consiste na mudança na posição de letras ou palavras; essa técnica demanda que ambas as partes conheçam a fórmula de transposição utilizada.
CERTO
obviamente, é necessário que as duas partes saibam e tenham domínio completo do procedimento ou regra estabelecida.
Esteganografia é uma técnica que consiste em ocultar uma mensagem dentro da outra, enquanto a criptografia é uma técnica que codifica o conteúdo da mensagem.
CERTO
Cifragem de Bloco = ………. block
Cipher
Quais são as técnicas/métodos de cifras de bloco? são 5
1) Eletronic Code Book – ECB
2) Cipher Block Chaining – CBC
3) Cipher FeedBack - CFB
4) OFB (Output Feedback)
5) CTR (Counter)
Qual método de cifra de bloco é o mais utilizado? Ele utiliza que tipo de operação?
Cipher Block Chaining – CBC
Utiliza a operação XOR. A cifragem de cada bloco depende da cifragem de todos os blocos anteriores.
Nos sistemas criptográficos simétricos, …………………….. é o mecanismo que impede a criptoanálise por análise estatística caracterizado por dissipar a estrutura estatística do texto plano em estatísticas de longo alcance .
DIFUSÃO
O modo de operação de cifra de bloco da criptografia simétrica, no qual o bloco de texto claro atual é usado diretamente na entrada do algoritmo e criptografado com a mesma chave, de tal forma que, como consequência disso, sempre produz blocos de texto cifrado iguais para blocos de texto claro iguais, é o …………
Electronic Codebook (ECB)
É o método mais simples que utiliza como conceito a independência dos blocos sendo aplicada a mesma chave.
A criptoanálise, baseada nas propriedades do algoritmo de criptografia, e a força bruta, que compreende a tentativa de quebra de todas as chaves possíveis, constituem tipos de ataque a um algoritmo de criptografia.
CERTO
A entropia é um recurso tangível. O termo descreve a informação aleatória recolhida por um sistema operativo para gerar chaves criptográficas utilizadas para encriptar informação. À medida que a entropia aumenta, tanto em qualidade como em quantidade, as chaves tornam-se mais difíceis de decifrar, e a encriptação melhora.
CERTO
Quando se comprime uma informação, aumenta a entropia. Sendo assim, gera maior aleatoriedade aos olhos do atacante/criptoanalista.
A compressão de dados antes da encriptação geralmente aumenta a segurança do sistema, por reduzir a redundância na mensagem, dificultando a criptoanálise.
CERTO
Quando se comprime uma informação, aumenta a entropia. Sendo assim, gera maior aleatoriedade aos olhos do atacante/criptoanalista.
Criptoanálise ………………….. observa a evolução de um único bloco de texto.
LINEAR
Criptoanálise diferencial observa o comportamento de pares de blocos de texto em evolução a cada rodada da cifra.
Criptoanálise ………………….. observa o comportamento de pares de blocos de texto em evolução a cada rodada da cifra.
DIFERENCIAL
Criptoanálise linear observa a evolução de um único bloco de texto.
Uma técnica às vezes utilizada para tornar o DES mais forte é chamada de …………………….Como essa técnica acrescenta efetivamente mais bits ao tamanho da chave, ela torna uma pesquisa exaustiva do espaço de chaves muito mais demorada
clareamento / whitening
No caso de utilização do DES (data encryption standard), pode-se utilizar a técnica conhecida como ……………….., com o objetivo de reduzir as vulnerabilidades de um dos sistemas criptográficos empregados na rede, havendo um acréscimo de bits à chave criptográfica original, reduzindo as chances de sucesso de uma eventual criptoanálise desse sistema.
clareamento / whitening
Tanto a criptografia simétrica quanto a encriptação de chave pública são vulneráveis a um ataque de força bruta.
CERTO
Criptografia simétrica possui algumas características específicas em relação ao modo de operação. Ao se aplicar a cada bloco de texto simples uma função XOR junto com o bloco cifrado anterior antes de o texto ser criptografado, o modo de operação é do tipo ……………
Cipher Block Chaining – CBC: É o método mais utilizado.
TLS/SSL usa criptografia simétrica ou assimétrica?
Os dois. A criptografia assimétrica é usada para negociar a chave secreta da criptografia simétrica. Essa chave secreta é a que será usada no decorrer da conexão.
Existem 5 tipos de ataques de criptoanálise ordenados pelo pode de conhecimento do atacante.
1) Apenas Texto Cifrado – CypherText-Only
2)
3)
4)
5)
1) Apenas Texto Cifrado – CypherText-Only: há conhecimento apenas do algoritmo de criptografia utilizado e do próprio texto cifrado;
2) Texto Claro Conhecido – Known-plaintext: Além dos itens acima, o atacante tem a informação dos pares de texto claro de entrada e seu respectivo texto cifrado de saída;
3) Texto Claro Escolhido – Choosen-Plaintext: Agora o atacante não se restringe apenas a saber o par de entrada e saída, mas ele é capaz de manipular a entrada e avaliar a sua respectiva saída;
4) Texto Cifrado Escolhido – Choosen-CypherText: Agora o atacante é capaz de fazer o caminho reverso, onde a partir de um texto cifrado escolhido, ele é capaz de verificar qual o texto em claro correspondendo;
5) Texto Escolhido – Choosen-Text – Há plena capacidade de manipulação dos textos de entrada e saída, e vice-versa;
Qual tipo de ataque de criptoanálise? (known-plaintext,etc.)?
há conhecimento apenas do algoritmo de criptografia utilizado e do próprio texto cifrado
Apenas Texto Cifrado – CypherText-Only
Qual tipo de ataque de criptoanálise? (known-plaintext,etc.)?
há conhecimento do algoritmo e dos pares de texto claro de entrada e seu respectivo texto cifrado de saída
Texto Claro Conhecido – Known-plaintext
Qual tipo de ataque de criptoanálise? (known-plaintext,etc.)?
há conhecimento do algoritmo e o atacante é capaz de manipular a entrada e avaliar a sua respectiva saída
Texto Claro Escolhido – Choosen-Plaintext
Qual tipo de ataque de criptoanálise? (known-plaintext,etc.)?
o atacante é capaz de fazer o caminho reverso, onde a partir de um texto cifrado escolhido, ele é capaz de verificar qual o texto em claro correspondendo
Texto Cifrado Escolhido – Choosen-CypherText
Qual tipo de ataque de criptoanálise? (known-plaintext,etc.)?
há plena capacidade de manipulação dos textos de entrada e saída, e vice-versa
Texto Escolhido – Choosen-Text
Modos de operação de cifra de bloco permitem cifrar mensagens de tamanhos arbitrários com a utilização de algoritmos de cifragem de blocos, que trabalham com blocos de tamanho fixo. Os modos de operação existentes asseguram a confidencialidade e a integridade da mensagem cifrada, embora nem todos possam ser utilizados para autenticação.
ERRADO
a técnica de cifragem por bloco não pode ser generalizada no sentido de garantir os princípios de segurança.
A criptografia incorpora estudos e conhecimentos das áreas de criptologia e criptoanálise.
ERRADO
A criptologia incorpora estudos e conhecimentos das áreas de criptografia e criptoanálise.
Quais são as etapas do processo de Assinatura Digital?
1.
2.
3.
4.
5.
6.
- Gera-se o HASH da Mensagem.
- Cifra-se com a Chave Privada do Emissor.
- Envia o HASH cifrado em conjunto com a mensagem em texto claro.
- O receptor decifra o HASH CIFRADO utilizando a chave pública do emissor.
- O receptor gera um novo HASH a partir da mensagem em claro recebida.
- Compara-se os HASH obtidos nas etapas 4 e 5.
A criptografia simétrica visa garantir apenas o princípio da ………………………..
CONFIDENCIALIDADE
Os demais não podem ser garantidos, pois não há mecanismo que garanta que a mensagem não será alterada no caminho, podendo gerar um resultado de decriptação diferente da mensagem original. Não há como garantir de que a pessoa que aplicou a chave simétrica no processo de encriptação é quem ela diz ser.
A robustez de segurança dos algoritmos de chave simétrica se encontra ………………………………, enquanto nos algoritmos de chave assimétrica, …………………………….. Entretanto, não quer dizer que isso basta, pois ambos são importantes para os dois modelos.
A robustez de segurança dos algoritmos de chave simétrica se encontra no segredo da chave, enquanto nos algoritmos de chave assimétrica, está no algoritmo. Entretanto, não quer dizer que isso basta, pois ambos são importantes para os dois modelos.
O DES (data encryption standard) é um sistema de codificação simétrico por blocos de 64 bits, dos quais ……….. servem de teste de paridade.
8 bits (1 byte)
As substituições no algoritmo simétrico de bloco DES são conhecidas como ……………… e são especificadas em 8 tabelas onde entram blocos de 6 e saem blocos de 4 bits.
S-boxes (caixas S ou caixas de substituição usadas na estrutura de Feistel)
As substituições no algoritmo simétrico de bloco DES são conhecidas como S-boxes (caixas S ou caixas
de substituição usadas na estrutura de Feistel) e são especificadas em 8 tabelas onde entram blocos de …….
e saem blocos de …… bits.
entram blocos de 6
e saem blocos de 4 bits.
Na área de estudos da criptografia da informação, o princípio de Kerckhoff estabelece que ……………………….. algoritmos devem ser públicos e as chaves ……………………
todos os algoritmos devem ser públicos e apenas as chaves devem ser secretas.
–> Algoritmos = Devem ser Públicos e de amplo conhecimento para gerar resiliência e robustez frente à comunidade.
–> Chaves = Secreta, partindo do pressuposto que deve ser de conhecimento privativo.
Um dos princípios criptográfico é que todas mensagem devem conter alguma redundância.
CERTO
toda mensagem criptografa deve ter algum tipo de informação redundante ou informação que não seriam muito necessários para compreensão da mensagem.
Segundo o princípio de Kerckhoffs, a capacidade de proteger mensagens se torna mais forte quando se utilizam chaves públicas no processo.
ERRADO
Kerckhoffs diz que todos os algoritmos devem ser públicos e apenas as chaves devem ser secretas.
A segurança de um sistema criptográfico simétrico deve estar na chave e no tamanho dessa chave, e não nos detalhes do algoritmo.
CERTO
Derivado do mesmo princípio de Kerckhoff. Como os algoritmos é público, não faz sentido ancorar sua segurança nos detalhes do algoritmo. Já a chave, tem-se o tamanho e privacidade que contribuem diretamente no processo.
Na tentativa de dar uma sobrevida ao DES, criou-se o 3DES, que nada mais é do que a aplicação do DES três vezes, com o detalhe de que na segunda vez, faz-se o processo de decriptação. Desse modo, ao se utilizar três chaves distintas, tem-se uma robustez de 56 bits por chave, totalizando 168 bits de tamanho de chave.
CERTO
KEY A -> ENCRIPTA
KEY B -> DECRIPTA
KEY C -> ENCRIPTA
O 3DES suporta a utilização de apenas duas chaves, assumindo que a primeira e a terceira sejam iguais. Nesse caso, a robustez da chave se restringiria a ……. bits.
112 bits
ao se utilizar três chaves distintas, tem-se uma robustez de 56 bits por chave, totalizando 168 bits de tamanho de chave.
O protocolo 3DES possui três chaves criptográficas: a primeira e a segunda criptografam informações; a terceira é usada para descriptografar aquelas.
ERRADO
KEY A -> ENCRIPTA
KEY B -> DECRIPTA
KEY C -> ENCRIPTA
A propriedade de segurança da informação que corresponde ao uso da criptografia é ………………………..
confidencialidade
Um algoritmo assimétrico conta com duas chaves, e qualquer uma delas pode ser usada, alternadamente, tanto para criptografar quanto para decriptografar.
CERTO
O RC4 é orientado a byte e possui tamanho de chave variável até ………. bits, com algoritmo baseado em permutação randômica. Possui como principal característica a utilização de cifras de ……………. É um algoritmo bastante utilizado no TLS.
O RC4 é orientado a byte e possui tamanho de chave variável até 2048 bits, com algoritmo baseado em permutação randômica. Possui como principal característica a utilização de cifras de fluxo. É um algoritmo bastante utilizado no TLS.
O RC5 é um algoritmo parametrizado que utiliza cifra de bloco de tamanho variável (32, 64 e 128 bits), tamanho de chave variável (0 a 2048) e quantidade variável de rodadas (0 a 255) de processamento. Utiliza três rotinas padrões: expansão, encriptação e decriptação.
CERTO
O RC4 é orientado a byte e possui tamanho de chave variável até 2048 bits, com algoritmo baseado em permutação randômica. Possui como principal característica a utilização de cifras de fluxo. É um algoritmo bastante utilizado no TLS.
O RC5 é um algoritmo parametrizado que utiliza cifra de bloco de tamanho variável (32, 64 e 128 bits), tamanho de chave variável (0 a 2048) e quantidade variável de rodadas (0 a 255) de processamento. Utiliza três rotinas padrões: …………………………., encriptação e decriptação.
**EXPANSÃO **
O RC5 é um algoritmo parametrizado que utiliza cifra de ……………. de tamanho variável (….. , ….. e ….. bits), tamanho de chave variável (0 a ………) e quantidade variável de rodadas (0 a 255) de processamento. Utiliza três rotinas padrões: expansão, encriptação e decriptação.
O RC5 é um algoritmo parametrizado que utiliza cifra de bloco de tamanho variável (32, 64 e 128 bits), tamanho de chave variável (0 a 2048) e quantidade variável de rodadas (0 a 255) de processamento. Utiliza três rotinas padrões: expansão, encriptação e decriptação.
O RC6 utiliza cifra de …………….. e acrescenta recursos de inclusão de multiplicação de inteiros e registradores de 4 bits, enquanto o RC5 utilizava 2 bits.
Um exemplo de algoritmo simétrico que realiza a cifragem de fluxo é o …………
RC4
Vimos que o RC4 tem esse grande diferencial de ser uma cifra de fluxo para a criptografia simétrica. Apenas precisamos lembrar que o RC5 é diferente, sendo ele uma cifra de bloco.
AES – Advanced Encryption Standard: suporta tamanhos de chaves variáveis. Por padrão, utiliza-se o tamanho de bloco fixo de 128 bits, podendo ser utilizado chaves de 128, 192 e 256 bits. Não utiliza a tão conhecida rede de Feistel disseminada pelo DES, mas sim o algoritmo de Rjindael.
CERTO