TI 02 - Criptografia Flashcards
Na autenticação em dois fatores, necessariamente, o primeiro fator de autenticação será algo que o usuário possui — por exemplo, um token gerador de senhas — e o segundo, alguma informação biométrica, como, por exemplo, impressão digital ou geometria da face reconhecida.
INCORRETA
O sistema de autenticação de dois fatores (ou em duas etapas) é processo pelo qual é adicionado mais uma etapa na segurança em sistemas de autenticação.
A questão erra devido à presença da palavra “necessariamente”, visto que não é obrigatório que o primeiro fator de autenticação seja algo que o usuário possua, já que o critério é da entidade que irá admitir o usuário. O mesmo vale para a segunda etapa, não é necessariamente obrigado que seja uma etapa biométrica.
Todo arquivo compactado está necessariamente criptografado.
INCORRETO
Criptografia: altera uma mensagem para que não possa ser compreendida por usuários não autorizados.
Compactação: tem a função de diminuir o tamanho do arquivo.
É uma forma de reestruturação dos dados, ou seja, não tem relação alguma com criptografia.
Desta maneira, de acordo com a técnica ou com o arquivo alvo da compactação, o grau de compactação irá mudar.
A confidencialidade garante a identidade de quem envia a informação.
INCORRETO
A confidencialidade é a propriedade de segurança que busca zelar pelo sigilo e privacidade dos dados, de forma que os mesmos estejam acessíveis somente para aqueles que possuem autorização para tal.
O conceito apresentado no item trata-se da autenticidade.
A gestão de segurança da informação deve garantir a disponibilidade da informação
CORRETO
Uma dos princípios da Segurança da Informação é a disponibilidade.
A disponibilidade é a propriedade que visa garantir que sempre que usuários autorizados necessitem das informações, elas estarão acessíveis.
De acordo com o conceito de integridade, os dados devem ser mantidos intactos, sem alteração, conforme foram criados e fornecidos.
CORRETO
De fato o princípio da integridade, em segurança da informação, objetiva que os dados encaminhados sejam exatamente os mesmos recebidos no destino, ou seja, que o dado não sofra nenhuma alteração ao longo do caminho, mantendo a informação intacta.
Autenticidade se refere às ações tomadas para assegurar que informações confidenciais e críticas não sejam roubadas do sistema.
ERRADO
A autenticidade é a propriedade de segurança que visa garantir quem é o autor da informação, ou seja, que determinada pessoa ou sistema realmente é quem ela diz ser.
O item tentou confundir o candidato ao apresentar o conceito de confidencialidade.
Em muitas transações financeiras realizadas pela Internet é necessário que o usuário, além de fornecer o seu e-mail e senha, digite um código gerado ou recebido em seu celular. Essa tecnologia é conhecida como
Tokens de Segurança são dispositivos adicionais de autenticação que auxiliam o usuário quanto à segurança pessoal gerando uma senha temporária de proteção. Têm se tornado cada vez mais comuns no mercado e provêm segurança de mais alto nível.
Em criptografia, denomina-se integridade a propriedade que garante que apenas o destinatário seja capaz de extrair o conteúdo da mensagem criptografada.
ERRADA.
Segundo o enunciado da questão, pede-se “a propriedade que garante que apenas o destinatário seja capaz de extrair o conteúdo da mensagem criptografada”.
Dessa maneira, o aluno deve lembrar dos princípios da segurança e relacionar os conceitos. Os princípios básicos sâo: Confidencialidade, Integridade, Disponibilidade e Autenticidade.
Confidencialidade – é a necessidade de garantir que as informações sejam divulgadas somente para aqueles que possuem autorização para vê-las.
Ex. de quebra: alguém obtém acesso não autorizado ao seu computador e lê todas as informações contidas na sua declaração de Imposto de Renda
Integridade – é a necessidade de garantir que as informações não tenham sido alteradas acidentalmente ou deliberadamente, e que elas
estejam corretas e completas.
Ex. de quebra: alguém obtém acesso não autorizado ao seu computador e altera informações da sua declaração de Imposto de Renda, momentos antes de você enviá-la à Receita Federal.
Disponibilidade – é a necessidade de garantir que os propósitos de um sistema possam ser atingidos e que ele esteja acessível àqueles que dele precisam.
Ex. de quebra: o seu provedor sofre uma grande sobrecarga de dados ou um ataque de negação de serviço e por este motivo você fica impossibilitado de enviar sua declaração de Imposto de Renda à Receita Federal.
Autenticidade - é a necessidade de garantir que quem redigiu a mensagem é realmente aquela pessoa. A assinatura digital consegue comprovar a autenticidade e a integridade das informações.
Ex de quebra: Alguém rouba a sua senha e preenche o seu imposto de renda.
Além desses princípios básicos, alguns autores elencam o não repúdio que é a propriedade de evitar que uma entidade possa negar que foi ela quem executou uma ação.
Segundo o princípio de Kerckhoffs, a capacidade de proteger mensagens se torna mais forte quando se utilizam chaves públicas no processo.
ERRADA.
O princípio de Kerckhoffs, em resumo, diz que o sistema pode ser conhecido pelo adversário e que isso não deveria causar nenhum incoveniente. Por outro lado, as chaves deveriam ser secretas, dessa maneira a questão erra ao dizer que deveriam ser públicas.
O algoritmo AES (advanced encryption standard) apresenta algumas anomalias a depender da chave utilizada; esse fato deu origem ao algoritmo DES (data encryption standard).
ERRADO
Na verdade, é o DES (data encryption standard) que é menos seguro que o AES (advanced encryption standard). A banca quis pegar o candidato desavisado, pois o AES é um novo padrão para a segurança das informações.
A fim de melhorar esse entendimento, durante 20 anos, o DES (Data Encryption Standard) foi o algoritmo padrão usado pelo governo americano para proteger informações confidenciais. Portanto, o DES é uma especificação para criptografia de dados eletrônicos, o surgimento do AES (Advanced Encryption Standard) decorreu da grande necessidade de se substituir o DES, que se tornou ultrapassado em virtude do pequeno tamanho da chave (56 bits) utilizada.
Para isso, o NIST (National Institute of Standards and Technology) lançou em 1997 um concurso para adotar o novo algoritmo simétrico, que passaria a se chamar AES (Advanced Encryption Standard).
A criptografia é utilizada com o objetivo de aumentar alguns dos aspectos de segurança na transmissão da informação entre o transmissor e o destinatário. Por exemplo, a criptografia Data Encryption Standard − DES tem como objetivo principal a confidencialidade
CORRETA
Os algoritmos de chave simétrica são uma classe de algoritmos para a criptografia, que utilizam de uma mesma chave criptográfica tanto para as operações de cifragem como a de decifragem, o que garante somente a confidencialidade.
O DES é historicamente um dos marcos da história da criptografia, já foi amplamente utilizado mas hoje é considerado pouco seguro.
Até mesmo através da força bruta (tentando-se todas as combinações possíveis para a chave) é possível decodificá-lo rapidamente.
Como dito, esse tipo de criptografia garante APENAS a confidencialidade, não garantindo as caracteristicas presentes nas alternativas incorretas.
Vamos relembrar os principais aspectos de cada conceito, no âmbito da Segurança da Informação:
Não-repúdio: o não-repúdio garante que não haverá rejeição da identidade da parte, impedindo que a outra parte conteste a origem da informação. Está contido dentro da autenticação. É sinônimo de irretratabilidade.
Autenticação: Trata-se do ato ou processo de estabelecer ou certificar algo ou alguém como legítimo, garantindo assim a identidade da parte envolvida na troca de informações.
Certificação: É o ato de atestar, por uma entidade independente, que certos requisitos foram ou não atendidos pela instituição atestada. Uma certificação é, portanto, um documento que garante a veracidade de algo.
Irretratabilidade: sinônimo de não-repúdio.
São quatro os princípios básicos de segurança da informação: Autenticidade, Confidencialidade, Integridade e Disponibilidade. (ACID)
CORRETA
princípio da Integridade, a informação somente deve ser modificada por pessoas autorizadas, ou seja, a Integridade garante o controle das alterações, impedindo que pessoas não autorizadas realizem modificações indevidas na informação.
Vamos agora descrever as principais características dos outros principios:
Disponibilidade: Pelo princípio da Disponibilidade, a informação deve estar disponível sempre que for preciso.
Confidencialidade : Pelo princípio da Confidencialidade, a informação somente deve ser acessada por pessoas autorizadas - o que garante o sigilo da informação. A criptografia é uma das ferramentas que garante esse princípio.
Autenticidade: O princípio da Autenticidade garante a veracidade da autoria da informação, porém, não garante a veracidade da informação em si. Ou seja, esse princípio garante a autoria mas não o conteúdo. São ferramentas que garantem a autenticidade a biometria (que através de certas características do individuo garante a sua identidade) e os certificados digitais (que garantem que determinado site pertence de fato à empresa, o que previne a prática maliciosa conhecida como phising)
O princípio da ____________ garante a veracidade da autoria da informação, porém, não garante a veracidade da informação em si. Ou seja, esse princípio garante a autoria mas não o conteúdo. São ferramentas que garantem a autenticidade a biometria (que através de certas características do individuo garante a sua identidade) e os certificados digitais (que garantem que determinado site pertence de fato à empresa, o que previne a prática maliciosa conhecida como phising)
AUTENTICIDADE
De acordo com o princípio da ___________ , a informação somente deve ser modificada por pessoas autorizadas, ou seja, a Integridade garante o controle das alterações, impedindo que pessoas não autorizadas realizem modificações indevidas na informação.
INTEGRIDADE
Pelo princípio da ________________, a informação somente deve ser acessada por pessoas autorizadas - o que garante o sigilo da informação. A criptografia é uma das ferramentas que garante esse princípio.
CONFIDENCIALIDADE
