SóProvas



Questões de Certificação Digital em Segurança da Informação


ID
8368
Banca
ESAF
Órgão
Receita Federal
Ano
2005
Provas
Disciplina
Segurança da Informação
Assuntos

Analise as seguintes afirmações relacionadas à certificação digital, políticas de segurança e segurança na Internet:

I. Um certificado de chave pública é um conjunto de dados à prova de falsificação que atesta a associação de uma chave pública a um usuário final. Para fornecer essa associação, um conjunto de terceiros confi áveis confirma a identidade do usuário. Os terceiros, chamados autoridades certificadoras, emitem certificados para o usuário com o nome de usuário, a chave pública e outras informações que o identifi cam.

II. Os protocolos de gerenciamento de certificação digital devem suportar o processo de atualização de chaves onde todos os pares de chaves devem ser atualizados regularmente. Nesse processo, os pares de chaves são substituídos, mas os certifi cados equivalentes são mantidos.

III. Uma Autoridade Registradora (Registration Authority - RA) pode servir de intermediária entre a CA (Certification Authority) e seus usuários, ajudando as CAs em funções como "Aceitar e autorizar solicitações para revogação de certificado".

IV. Um recurso poderoso das hierarquias de certifi cado é que todas as partes devem confi ar automaticamente em todas as autoridades certifi cadoras.

Indique a opção que contenha todas as afirmações verdadeiras.

Alternativas
Comentários
  • I. Um certificado de chave pública é um conjunto de dados à prova de falsificação que atesta a associação de uma chave pública a um usuário final. Para fornecer essa associação, um conjunto de terceiros confi áveis confirma a identidade do usuário. Os terceiros, chamados autoridades certificadoras, emitem certificados para o usuário com o nome de usuário, a chave pública e outras informações que o identifi cam.
    Correto, embora a associação esteja ligada ao par de chaves, o que não exclui o exposto no enunciado.

    II. Os protocolos de gerenciamento de certificação digital devem suportar o processo de atualização de chaves onde todos os pares de chaves devem ser atualizados regularmente. Nesse processo, os pares de chaves são substituídos, mas os certifi cados equivalentes são mantidos.
    Errado no fato de que não existe relação de equivalência de certificado a ser mantido.


    III. Uma Autoridade Registradora (Registration Authority - RA) pode servir de intermediária entre a CA (Certification Authority) e seus usuários, ajudando as CAs em funções como "Aceitar e autorizar solicitações para revogação de certificado".

    IV. Um recurso poderoso das hierarquias de certifi cado é que todas as partes devem confi ar automaticamente em todas as autoridades certifi cadoras.
    Não existe esta relação de confiança, exceto em casos específicos aprovados pelo Comitê Gestor da ICP Brasil, que não é o que foi exposto na questão.

ID
12118
Banca
CESPE / CEBRASPE
Órgão
Polícia Federal
Ano
2004
Provas
Disciplina
Segurança da Informação
Assuntos

As aplicações web que necessitam de segurança criptográfica dos dados transmitidos entre o navegador (cliente) e o servidor web utilizam o protocolo SSL/TLS para o estabelecimento de sessões seguras. Acerca do SSL/TLS e suas aplicações, julgue os itens a seguir.

O reconhecimento da confiança em um certificado digital pode ser feito por delegação, com uso de terceiras partes mutuamente confiáveis, denominadas autoridades certificadoras.

Alternativas
Comentários
  • Certificados digitais são documentos eletrônicos que associam chaves criptográficas a pessoas, servidores e dispositivos de rede. E para que esta associação seja considerada válida, ela deve ser verificada e ratificada por um elemento de distribuição e delegação de confiança chamado Autoridade Certificadora, que é uma espécie de cartório digital que assegura ao cliente que uma chave pública assimétrica é realmente de um servidor idôneo.
  • Certo

    AC - Autoridade Certificadora 

    Uma Autoridade Certificadora (AC) é uma entidade, pública ou privada, subordinada à hierarquia da ICP-Brasil, responsável por emitir, distribuir, renovar, revogar e gerenciar certificados digitais. Tem a responsabilidade de verificar se o titular do certificado possui a chave privada que corresponde à chave pública que faz parte do certificado. Cria e assina digitalmente o certificado do assinante, onde o certificado emitido pela AC representa a declaração da identidade do titular, que possui um par único de chaves (pública/privada).

    Cabe também à AC emitir listas de certificados revogados (LCR) e manter registros de suas operações sempre obedecendo às práticas definidas na Declaração de Práticas de Certificação (DPC). Além de estabelecer e fazer cumprir, pelas Autoridades Registradoras (ARs) a ela vinculadas, as políticas de segurança necessárias para garantir a autenticidade da identificação realizada.

    fonte: http://www.iti.gov.br/certificacao-digital/autoridades-certificadoras

  • Gabarito Certa

     Autoridades Certificadoras são entidades responsáveis pela emissão de “certificados digitais”. Pessoas e organizações interessadas em desburocratizar algumas atividades quotidianas, como assinar documentos digitalmente, comunicar-se com outras pessoas, entre outras atividades que necessitam de autenticidade e sigilo, podem fazê-lo através de um Certificado Digital. Para obter um certificado digital, devem recorrer às chamadas Autoridades Certificadoras.

    Também conhecidas por ACs, essas entidades têm como principal responsabilidade a emissão do certificado, uma identidade digital que referencia inequivocamente uma pessoa ou organização. Para garantir a legitimidade do processo, é comum que as autoridades certificadoras verifiquem documentação física dos requerentes, antes de emitir o certificado. As ACs são fiscalizadas periodicamente, submetendo-se a rigorosos processos de auditoria, tudo isso para que somente usuários devidamente identificados no mundo real recebam a identidade virtual.

    Uma AC pode emitir certificados para uma pessoa, empresa, equipamento ou ainda para outra AC, criando assim uma verdadeira infraestrutura de confiança.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • da época que quem cuspia mais longe, passava...


ID
12121
Banca
CESPE / CEBRASPE
Órgão
Polícia Federal
Ano
2004
Provas
Disciplina
Segurança da Informação
Assuntos

As aplicações web que necessitam de segurança criptográfica dos dados transmitidos entre o navegador (cliente) e o servidor web utilizam o protocolo SSL/TLS para o estabelecimento de sessões seguras. Acerca do SSL/TLS e suas aplicações, julgue os itens a seguir.

Certificados digitais são assinados com criptografia assimétrica. A mesma chave usada para assinar o certificado deve ser usada para assinar as requisições de chave de sessão, o que garante a autenticidade e o não-repúdio no estabelecimento da sessão e serve como comprovação da propriedade do certificado.

Alternativas
Comentários
  • Um exemplo clássico a respeito da seqüência de eventos no processo de certificação entre "A" e "B" digital é a seguinte:

    1. "A" envia uma solicitação de certificado assinado contendo seu nome, sua chave pública e, talvez, algumas informações adicionais a uma autoridade de certificação.

    2. A autoridade de certificação cria uma mensagem a partir da solicitação de "A". A autoridade de certificação assina a mensagem com sua chave privada, criando uma assinatura separada. A autoridade de certificação retorna a mensagem e a assinatura à "A". Juntas, a mensagem e a assinatura formam o certificado de "A".

    3. "A" envia seu certificado para "B" para conceder a ele acesso à sua chave pública.

    4. "B" verifica a assinatura do certificado, usando a chave pública da autoridade de certificação. Se a assinatura for realmente válida, ele aceita a chave pública no certificado como a chave pública de "A".
  • A criptografia assimétrica usa um par de chaves pública/privada. Os dados criptografados com a chave privada podem ser descriptografados apenas com a chave pública correspondente e vice-versa. As chaves públicas (como o nome sugere) são amplamente disponibilizadas. De modo inverso, uma chave privada permanece privada para um indivíduo específico. O mecanismo de distribuição pelo qual as chaves públicas são transportadas aos usuários é um certificado. Normalmente, os certificados são assinados por uma CA (autoridade de certificação) para confirmar que a chave pública é do indivíduo que afirma tê-la enviado. A autoridade de certificação é uma entidade mutuamente confiável. A implementação típica do certificado digital envolve um processo de assinatura do certificado. Como com qualquer assinatura digital, qualquer receptor com acesso à chave pública da autoridade de certificação pode determinar se uma autoridade de certificação específica assinou o certificado. Esse processo não requer acesso a nenhuma informação secreta.
  • O erro da questão está em afirmar que: "A mesma chave usada para assinar o certificado deve ser usada para assinar as requisições de chave de sessão", pois são chave diferentes e de donos diferentes:

    A chave que assina o certificado é a privada da CA (autoridade certificado), para isso existe a CA. Com isso, qualquer pessoa que possua a chave pública da CA consegue decifrar (abrir) o certificado. Caso não consiga decifrar o certificado com a chave pública da CA, esse certificado não é confiável.

    E a chave utilizada para "assinar as requisições de chave de sessão" é a chave do dono do certificado e não da CA.

  • - certificado digital: (C.I.A.) confidencialidade, integridade, autenticidade;

    - assinatura digital: (I.N.A.) integridade, não-repúdio, autenticidade;

    - hash: integridade, apenas;

     

    Obs. achei esse esqueminha fuçando nos coments do QC, se tiver errado, por favor, me faça saber, rss!!! Até agora ta dando certo p resolver as questões.

  • Nesse caso seria chave simétrica !

  • Parei na parte na qual a questão disse que seria a mesma chave.


ID
17971
Banca
CESGRANRIO
Órgão
BNDES
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Sendo P um pedido de certificação segundo o padrão PKCS#10, é correto afirmar que P

Alternativas
Comentários
  • PKCS#10

    Esse padrão, que descreve uma sintaxe para requisição, que teve sua origem no padrão PEM, consitui o núcleo dos protocolos mais simples de gerenciamento de certificados. Trata-se de certificado auto-assinado, com o nome unívoco do titular formado pelo requerente e algumas extensões necessárias ao processamento da requisição. A chave pública transportada é aquela cujo certificado se requer, e a assinatura no certificado é produzida pelo par privado desta chave, o que limita seu uso à requisição de ceritificados para chaves de assinatura.
  • a) contém a chave privada pública do ente solicitante, que será assinada pela chave privada da autoridade certificadora.

    b) contém o hash da chave privada gerada pelo titular, mas não a chave pública, que será gerada pela autoridade certificadora a partir desse hash.

ID
19111
Banca
FCC
Órgão
TRF - 4ª REGIÃO
Ano
2007
Provas
Disciplina
Segurança da Informação
Assuntos

O   I    associa a identidade de um titular a um par de chaves eletrônicas (uma pública e outra privada) que, usadas em conjunto,    II    . Preenchem correta e respectivamente as lacunas I e II:

Alternativas
Comentários
  • Um certificado digital é um arquivo de computador que contém um conjunto de informações referentes a entidade para o qual o certificado foi emitido (seja uma empresa, pessoa física ou computador) mais a chave pública referente a chave privada que acredita-se ser de posse unicamente da entidade especificada no certificado.
  • O enunciado fala em associa a identidade de um titular, logo estamos falando do atributo autenticidade.

    a) ERRADO. (garantir idoneidade? No dicionario seria sinônimo de habilidade, nunca ouvi esse termo em Criptografia.) 
    b) ERRADO. (autorizar acesso às  informações => confidencialidade <> autenticidade, que é o que procuramos)
    c) ERRADO. mesmo erro.
    d) ERRADO. método assimétrico.
    e) CORRETO, garante a autenticidade através do certificado digital;


  • Gab. E

    Certificado Digital - Técnica usada por PF ou PJ, com o objetivo de garantir a autenticidade/identificação/não-repúdio.


ID
28957
Banca
CESGRANRIO
Órgão
CAPES
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Cláudio assinou um determinado email E utilizando certificação digital e o enviou à Mariana. A esse respeito, observe as afirmativas abaixo.

I - E poderia ser alterado sem que Mariana percebesse a modificação.
II - Se o tráfego de rede no envio de E fosse farejado (sniffer), a confidencialidade da mensagem estaria comprometida.
III - Mariana saberá que E foi enviada, de fato, por Cláudio.

Está(ão) correta(s) a(s) afirmativa(s)

Alternativas
Comentários
  • A assinatura com certificação digital não garante que o conteúdo não será visto ou alterado.

    A assinatura com certificação digital garante apenas que o destinatário saiba se o documento foi alterado por outro pessoa e/ou foi enviado pela pessoa esperada.
  • Certificação Digital = Integridade, Autenticidade, Não-repúdio
    I - errada: A certificação digital garante a integridade e por isso não poderia ser alterado indevidamente sem que fosse percebido. Pois Mariana verificaria com a chave pública de Claúdio e perceberia que o hash produzido não seria igual ao da mensagem violada.
    II - certa: A certifica digital não provê confidencialidade. Pois a mesma não criptografa todo o documento, apenas gera um hash da mensagem.
    III - certa: a alternativa fala justamente da autenticidade da mensagem que é provida pela certificação digital com assinaturas.
  • Sniffing, em rede de computadores, é o procedimento realizado por uma ferramenta conhecida como Sniffer (também conhecido como Packet Sniffer, Analisador de Rede, Analisador de Protocolo, Ethernet Sniffer em redes do padrão Ethernet ou ainda Wireless Sniffer em redes wireless). Esta ferramenta, constituída de um software ou hardware, é capaz de interceptar e registrar o tráfego de dados em uma rede de computadores. Conforme o fluxo de dados trafega na rede, o sniffer captura cada pacote e eventualmente decodifica e analisa o seu conteúdo de acordo com o protocolo definido em um RFC ou uma outra especificação.

    O sniffing pode ser utilizado com propósitos maliciosos por invasores que tentam capturar o tráfego da rede com diversos objetivos, dentre os quais podem ser citados, obter cópias de arquivos importantes durante sua transmissão, e obter senhas que permitam estender o seu raio de penetração em um ambiente invadido ou ver as conversações em tempo real.
  • A certificação digital apenas garante a autenticidade, integridade e não repúdio, não estando atrelada obrigatoriamente ao uso da criptografia no conteúdo do pacote trafegado o que iria conferir a confidencialidade. As assinaturas digitais são, na verdade, o resultado de uma complexa operação matemática que trabalha com um conceito conhecido por criptografia assimétrica. A operação matemática utiliza como variáveis o documento a ser assinado e um segredo particular, que só o signatário eletrônico possui: a chamada chave privada. Como somente o titular deve ter acesso à sua chave privada, somente ele poderia ter calculado aquele resultado, que, por isso, se supõe ser único e exclusivo, como uma assinatura.Para conferir a assinatura digital, não é necessário ter conhecimento da chave privada do signatário, preservando, assim, o segredo necessário para assinar. Basta que se tenha acesso à chave pública que corresponde àquela chave privada.A conferência da assinatura também é feita por operações matemáticas que, a partir do documento, da chave pública e da assinatura, podem atestar que tal assinatura foi produzida com a chave privada correspondente, sem a necessidade de se ter acesso a essa chave privada.Algum elemento outro deve servir para convencer o destinatário da mensagem que a chave pública em questão realmente pertence ao sujeito nela indicado. Uma das formas de se fazer isso é por meio dos certificados eletrônicos.Os certificados eletrônicos consistem assim em uma declaração, de um ente certificante, acerca da titularidade das chaves de uma outra pessoa, que está sendo certificada. Esse ente é também conhecido como "terceiro de confiança" porque sua declaração deve ser tendente a gerar, para o destinatário da informação que nele confie, a certeza quanto à sua autoria. E, se o documento houver sido adulterado, posteriormente ao lançamento da assinatura digital, o resultado da operação matemática irá acusar esta desconformidade, invalidando a assinatura.

ID
28996
Banca
CESGRANRIO
Órgão
CAPES
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Observe as afirmativas abaixo sobre certificados digitais ICPBrasil.

I - Somente as Autoridades Certificadoras ligadas diretamente à AC Raiz da ICP-Brasil podem emitir certificados para pessoa física.
II - A ICP-Brasil mantém, por segurança, uma cópia das chaves privadas de cada certificado A3 emitido.
III - Um certificado digital contém, entre outros itens, a chave pública do proprietário e a assinatura digital do emissor.

Está(ão) correta(s) SOMENTE a(s) afirmativa(s)

Alternativas
Comentários
  • I - Uma AC pode estar ligada a outra AC, sem estar ligada diretamente à AC raiz, o que não a impede de emitir certificados.
    II - A chave privada deve ser de conhecimento exclusivo do certificado.
  • Um linkzinho para auxiliar:http://www.iti.gov.br/twiki/pub/Certificacao/Legislacao/Glossario_ICP-Brasil-_Versao_1.3.pdf
  • Segundo o link indicado pelo colega:

    Recuperação de Chave: Processo no qual uma chave privada pode ser recuperada, a partir de dados armazenados por uma empresa ou órgão governamental. Na ICP-Brasil é proibida a recuperação de chaves privadas, isto é, não se permite que terceiros possam legalmente obter uma chave privada sem o consentimento de seu titular.

    Isso quer dizer que ela realmene armazena a chave privada. Não sei por que o item foi considerado errado. 
     
  • I - Somente as Autoridades Certificadoras ligadas diretamente à AC Raiz da ICP-Brasil podem emitir certificados para pessoa física. 
    Errado porque não é somente as ACs que estão credenciadas a esta função, mas cabe às ARs o contato direto comm pessoa física para a emissão do certificado. 
    II - A ICP-Brasil mantém, por segurança, uma cópia das chaves privadas de cada certificado A3 emitido. 
    Errado.
    III - Um certificado digital contém, entre outros itens, a chave pública do proprietário e a assinatura digital do emissor.
    Correto. 
    Referência: 
    http://www.trt02.gov.br/geral/tribunal2/legis/MPV/2200_01.html
  • I - Somente as Autoridades Certificadoras ligadas diretamente à AC Raiz da ICP-Brasil podem emitir certificados para pessoa física. 
    Este item está errado pois não necessariamente uma AC precisa estar ligada à AC raiz para emitir certificados. Basta olhar a estrutura da ICP e verificar que a maioria das ACs está ligada a um grupo menor de ACs, grupo esse que está ligado a AC raiz. Segue link da estrutura da ICP para conferência. 
    http://www.iti.gov.br/twiki/pub/Certificacao/EstruturaIcp/Estrutura_completa.pdf

ID
32716
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Os principais serviços oferecidos por uma Infra-estrutura de Chaves Públicas (ICP) são: (i) privacidade, que permite manter o sigilo das informações; (ii) integridade, que permite verificar se as informações foram adulteradas; e (iii) autenticidade, que permite identificar quem produziu a informação. Se os serviços de ICP estiverem sendo utilizados, para verificar se a informação recebida de um emissor está íntegra e é autêntica, o receptor deve desencriptar a assinatura digital da informação recebida com

Alternativas
Comentários
  • A Criptografia de Chave Pública é utilizada para assegurar a privacidade da informação, mas também possibilita outra função vital para assegurar a troca de informação electrónica: a autenticação. A autenticação, neste contexto, refere-se ao processo que o destinatário de uma mensagem electrónica deverá efectuar para verificar a identidade de quem a enviou, bem como para assegurar a integridade da mensagem que recebeu. Tal como a criptografia é utilizada para se garantir privacidade, também a assinatura digital é usada para verificar a autoria/co-assinatura de uma mensagem.Para criar uma assinatura digital, o signatário cria um código (Hash), uma versão reduzida e única da mensagem original. Seguidamente utiliza a sua chave privada para encriptar o código (Hash) da mensagem. Este resultado, o valor Hash cifrado, é a assinatura digital. Se a mensagem for alterada, mesmo minimamente, o resultado do Hash da mensagem alterada será diferente. A assinatura digital é única para a mensagem e para a chave privada que a criou, e como tal não pode ser falsificada.Após a geração da assinatura digital, esta é ligada à mensagem e ambas são enviadas para o destinatário, o qual recria o Hash (repete o processo de geração de código) sobre a mensagem recebida e, utilizando a chave pública do signatário/rementente para decifrar a assinatura digital original, obtém o valor da mensagem original.Se os valores forem idênticos, verifica-se o seguinte:- Que a assinatura digital foi criada através da utilização da chave privada correspondente ao signatário/remetente.- Que ninguém está maliciosa ou pretensamente a assumir a identidade de outrém.- Que o signatário é autêntico, sendo que este não pode afirmar que não assinou digitalmente tal mensagem.- Que o conteúdo da mensagem não sofreu alterações no seu trajeto.
  • Somente com a chave pública do emissor é possível obter o resultado da função hash encriptada com a chave provada do emissor. Nesse momento autentica-se a mensagem.Com o valor do hash decriptado, compara-se com o hash aplicado na mensagem. Sendo iguais, auntentica-se tanto a origem quanto a integridade da mesma.
  • O erro da letra B está em sua parte final, quando diz que se deve calcular com hash inverso.
  • Item A: correto
    Item B: errado As funções hash permitem a convergência de mensagens de tamanho variado para sequências de bits(mensagens) de tamanho fixo. Nestas, uma mínima mudança na mensagem original muda a sequência de bits para a qual ela converge. Uma função hash ”ideal” deve satisfazer duas condições: (i) Não possuir inversa e (ii) ser impossível prever se dois textos convergem para a mesma sequência de bits até que o hash de ambas as mensagens tenham sido calculados (resistência a colisão proposital).
    Item C: Errado, no item ele fala da chave pública do receptor e o correto seria do emissor
    Itens D e E: Errado, faz referência a chave privada
  • Sempre achei forçar a barra essas questões que algumas alternativas são compostas por frases longas quase idênticas, mudando algum detalhe entre elas.

    Essa prova é de 2008; atualmente é mais difícil encontrar uma questão desse tipo ainda.

    Vamos na fé.


ID
51292
Banca
CESGRANRIO
Órgão
TJ-RO
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Ana, Bernardo e Carlos precisam se comunicar de forma segura, e, para tal, cada um possui um par de chaves assimétricas, sendo uma delas pública e a outra, privada, emitidas por autoridade certificadora confiável. Uma mensagem será enviada de Ana para Bernardo, satisfazendo às seguintes condições:

1 - a mensagem deve ser criptografada de modo que não seja interceptável no caminho;

2 - Bernardo deve poder verificar com certeza que a mensagem foi enviada por Ana;

3 - deve ser possível continuar enviando mensagens, entre as 3 pessoas, que atendam às condições anteriores.

A mensagem de Ana para Bernardo deve ser assinada

Alternativas
Comentários
  • Essa questão não se trata de certificados digitais e sim de criptografia assimétrica.Todas as informações para solução desta questão estão no Wikipédia no link abaixo:http://pt.wikipedia.org/wiki/Criptografia_de_chave_p%C3%BAblica
  • A criptografia de chave pública utiliza a combinação de uma chave privada e uma chave pública. A chave privada só é conhecida pelo seu computador, enquanto que a chave pública é dada por seu computador a todo computador que queira comunicar-se de forma segura com ele. Para decodificar uma mensagem criptografada, um computador deve usar a chave pública, fornecida pelo computador de origem, e sua própria chave privada. Uma utilidade bem popular de criptografia de chave pública é chamada de Pretty Good Privacy (PGP - “ótima privacidade”) e permite que você criptografe quase qualquer coisa.Para implementar a criptografia de chave pública em larga escala, um servidor web seguro requer uma abordagem diferente. Aí entram os certificados digitais. Um certificado digital é basicamente um pedaço de informação que diz que o servidor web é considerado confiável por uma fonte independente, conhecida como Autoridade Certificadora. A Autoridade Certificadora age como um intermediário em quem ambos os computadores confiam. Ela confirma que cada um é de fato quem diz ser e fornece, então, as chaves públicas de um computador ao outro.
  • analisando item por item:1. para não ser interceptada, a mensagem deve ser criptografada com a chave pública de Bernardo, pois, somente ele com sua chave privada poderá decriptografar mensagem.2. Para ter a certeza de que foi Ana a remetente é necessario que ela use sua chave privada para assinar a msg, pois somente ela no mundo possui essa chave em segurança. Um exemplo disso sao as assinaturas digitais dos site bancários, onde eles utilizam assinatura com chave privada. Dando assim confiança ao cliente para acessar os serviços.
  • Carlos foi ao banheiro.

  • A questão trata de 

    Assimétrica: duas chaves (chave pública e chave privada)

    a mensagem deve ser criptografada de modo que não seja interceptável no caminho (A mensagem de Ana para Bernardo deve ser assinada com a chave privada de Ana para assinatura digital o remetente só pode assinar com sua chave privada.

     

    2 - Bernardo deve poder verificar com certeza que a mensagem foi enviada por Ana; (para verificar quem mandou so pode ser usada a chave pública de Ana), pois ai o Bernado quando digitar essa chave vai aparecer quem foi que enviou no caso ana. 
     


ID
76873
Banca
CESGRANRIO
Órgão
BACEN
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Suponha que um estudante brasileiro tenha descoberto um algoritmo, determinístico e extremamente rápido, capaz de fatorar um número inteiro de qualquer tamanho. Essa proeza

Alternativas
Comentários
  • RSA baseia-se no fato de que, embora seja fácil encontrar dois números primos de grandes dimensões (p.e. 100 dígitos), conseguir factorizar o produto de tais dois números é considerado computacionalmente complexo (em outras palavras, o tempo estimado para o conseguir ronda os milhares de anos). De fato, este algoritmo mostra-se computacionalmente inquebrável com números de tais dimensões, e a sua força é geralmente quantificada com o número de bits utilizados para descrever tais números. Para um número de 100 dígitos são necessários cerca de 350 bits, e as implementações atuais superam os 512 e mesmo os 1024 bits.
  • Encontrando a solução da fatoração de números inteiros do algoritmo RSA  a sua chave privada estaria comprometida e consequentemente os certificados gerados por qualquer AC que o utilize também.
  • a) RSA é baseado em números primos

    b) AES é algoritmo simétrico

    c) Gabarito

    d) FTP não utiliza, obrigatoriamente, o SSL

    e) DES é algoritmo simétrico

     

    Vamos na fé.


ID
106126
Banca
FCC
Órgão
PGE-RJ
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Um arquivo eletrônico, assinado digitalmente, que contém dados de uma pessoa ou instituição utilizados para comprovar sua identidade é denominado

Alternativas
Comentários
  • O certificado digital é um arquivo eletrônico que contém dados de uma pessoa ou instituição, utilizados para comprovar sua identidade. Este arquivo pode estar armazenado em um computador ou em outra mídia, como um token ou smart card. http://cartilha.cert.br/conceitos/sec9.html#subsec9.1
  • Ele é assinado pela CA - Autoridade Certificadora


ID
110437
Banca
FCC
Órgão
TRF - 4ª REGIÃO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação ao conteúdo dos dados de um certificado digital, nele NÃO consta

Alternativas
Comentários
  • A chave do titular que consta no certificado digital é a chave pública.
  • A chave privada deve ficar somente com o requerente do certificado. 

    Nem mesmo a AC ou algum órgao do governo estão autorizados a ter a chave privada do cidadao.

  • Dentro do CD há apenas uma chave e a chave lá dentro é apenas a chave pública da Entidade (pessoa física, pessoa jurídica, uma aplicação ou um servidor).
    A chave privada evidentemente não está dentro do certificado por uma razão de segurança.
    E claro, o CD não é uma informação privada!
    O certificado é uma informação ostensiva, pois seu propósito é divulgar livremente sua chave pública para os demais!!!

     

  • Gab . A

    Informações de um Certificado Digital:

    Identificação do proprietário (Nome. RG, CPF, CNPJ...)

    Informações sobre a entidade emissora;

    Assinado digitalmente pela entidade emissora

    Possui chave pública do proprietário e chave privada da AC;

    Data de validade do certificado...


ID
118705
Banca
FCC
Órgão
TRT - 20ª REGIÃO (SE)
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A ICP-Brasil oferece duas categorias de certificados: uma para fins de identificação e autenticação e outra para atividades sigilosas. Essas categorias são:

Alternativas
Comentários
  • A ICP-Brasil oferece duas categorias de certificados digitais: A e S, sendo que cada uma se divide em quatro tipos: A1, A2, A3 e A4; S1, S2, S3 e S4. A categoria A é direcionada para fins de identificação e autenticação, enquanto que o tipo S é direcionado a atividades sigilosas. A1 e S1: geração das chaves é feita por software; chaves de tamanho mínimo de 1024 bits; armazenamento em dispositivo de armazenamento (como um HD); validade máxima de um ano;A2 e S2: geração das chaves é feita por software; chaves de tamanho mínimo de 1024 bits; armazenamento em cartão inteligente (com chip) ou token (dispositivo semelhante a um pendrive); validade máxima de dois anos;A3 e S3: geração das chaves é feita por hardware; chaves de tamanho mínimo de 1024 bits; armazenamento em cartão inteligente ou token; validade máxima de três anos;A4 e S4: geração das chaves é feita por hardware; chaves de tamanho mínimo de 2048 bits; armazenamento em cartão inteligente ou token; validade máxima de três anos.Os certificados A1 e A3 são os mais utilizados, sendo que o primeiro é geralmente armazenado no computador do solicitante, enquanto que o segundo é guardado em cartões inteligentes (smartcards) ou tokens protegidos por senha.Fonte:http://www.infowester.com/assincertdigital.php
  • A - assimátricaS- simétrica
  • Companheiro Rapadura, o A e S na verdade se referem, respectivamente a:

    Certificado de Assinatura Digital(A1,A2, A3 e A4) - São os certificados usados para confirmação da identidade na  web, correio eletrônico, transações on-line, redes privadas virtuais, transações eletrônicas, informações   eletrônicas,   cifração   de   chaves   de   sessão   e   assinatura   de documentos com verificação da integridade de suas informações.

    Certificado de Sigilo (S1, S2, S3 e S4) - São os certificados usados para cifração de documentos, bases de dados, mensagens e outras informações eletrônicas.
  • Essa questão deveria ser anulada, pois a letra C também está correta, haja vista que no enunciado não foi usada a palavra "respectivamente".

    Mas para não ser tão criterioso e deixar de acertar uma questão, pressupõe que o examinador pensou no "respectivamente"
  • Gab. D

    Categoria A - Usado para identificação, autenticação, assinar documentos ou validar transações eletrônicas.

    Categoria S - Atividades sigilosas, reúne os certificados de sigilo, que são utilizados na codificação de documentos de base de dados relacionais de mensagens e de outras informações eletrônicas sigilosas.

    Fonte: @estratégiaconcursos


ID
126190
Banca
FCC
Órgão
DPE-SP
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Tipo de tecnologia de identificação digital que permite que transações eletrônicas dos mais diversos tipos sejam feitas, considerando sua integridade, autenticidade e confidencialidade, de forma a evitar que adulterações, interceptações ou outros tipos de fraude ocorram. Trata-se do conceito de

Alternativas
Comentários
  • O enunciado trata do conceito de Certificação Digital. Gabarito: letra A
  • Certificação Digital: integridade, autenticidade e confidencialidade, Não repúdio ou irretratabilidade.

     

    Uma assinatura digital deve ter as seguintes propriedades:
    Autenticidade
    Integridade
    Não repúdio ou irretratabilidade
     

  •  

    A maioria deve ter ficado na dúvida entre "certificação digital" e "assinatura digital". Percebam a diferença entre os dois conceitos:

    ASSINATURA DIGITAL

    Em criptografia, a assinatura digital é um método de autenticação de informação digital tipicamente tratada como análoga à assinatura física em papel. Embora existam analogias, existem diferenças importantes. O termo assinatura eletrônica, por vezes confundido, tem um significado diferente: refere-se a qualquer mecanismo, não necessariamente criptográfico, para identificar o remetente de uma mensagem electrônica. A utilização da assinatura digital providencia a prova inegável de que uma mensagem veio do emissor. Em  resumo, uma assinatura digital típica envolve dois processos criptográficos: o hash (resumo da mensagem) e a encriptação deste hash. Em um primeiro momento é gerado um resumo criptográfico (hash) da mensagem através de algoritmos complexos ( MD5, SHA-1, SHA-256, etc.). O autor da mensagem deve usar sua chave privada para assinar a mensagem e armazenar o hash criptografado junto a mensagem original. 


    CERTIFICAÇÃO DIGITAL

    Certificação digital é o processo que dá suporte à implementação da assinatura digital. É o processo que dá garantia de que a assinatura emitida é da entidade indicada na mesma. A certificação digital faz o registro das assinaturas e fornece informações para que qualquer outra entidade possa conferir sua autenticidade. A implementação de assinaturas digitais depende desse processo. Afinal, como seria possível confiar na assinatura de uma pessoa se não tivesse uma estrutura para confirmar sua veracidade? Um certificado digital é um arquivo de computador que contém um conjunto de informações referentes a entidade para o qual o certificado foi emitido (seja uma empresa, pessoa física ou computador) acrescido da chave pública da entidade especificada no certificado.

     

    Portanto, para termos integridade, autenticidade e confidencialidade das informações, é necessário implementar o processo de certificação digital.

     Resposta: letra A.

  • Um certificado digital só garante autenticidade, integridade e não-repúdio. Não garante a CONFIDENCIALIDADE, dessa forma não marcaria letra A. Nenhuma das alternativas é condizente com esses 3 critérios da questão "integridade, autenticidade e confidencialidade"
  • Correto..Não garante CONFIDENCIALIDADE.
  • Por que a alternativa B não é a resposta?

    A Assinatura Digital permite somente a verificação da Autenticidade e da Integridade. Ela consiste de um código Hash gerado com base no conteúdo da mensagem a ser transmitida, o qual é criptografado com a chave privada do emissor.

    O receptor da mensagem consegue verificar a Autenticidade utilizando a chave pública do emissor para descriptografar o código Hash recebido. Somente a chave pública do emissor é capaz de descriptografar uma informação gerada com a chave privada dele, sendo assim é possível saber que a mensagem foi realmente enviada por quem deveria ter enviado.
    O receptor também consegue verificar a Integridade regerando o Hash da mensagem e checando se é o mesmo código que foi recebido, sendo assim pode verificar se a mensagem não foi modificada no seu percurso até o destino.

    Utilizar somente o artifício da Assinatura Digital não é suficiente para garantir a Confidencialidade, por 2 motivos:

    1. Para garantir a Confidencialidade, é necessário criptografar o conteúdo da mensagem e esse não é o objetivo da Assinatura Digital (note que na Assinatura Digital é o código Hash que é criptografado!! e não o conteúdo da mensagem!!) 

    2. Além disso, para garantir a Confidencialidade é necessário ter a certeza de que a chave pública tenha sido distribuída de maneira segura. Se não houver distribuição segura de chave, de nada adianta querer criptografar o conteúdo da mensagem.


    Por que a alternativa A é a correta?

    Através do Certificado Digital é possível garantir que a chave pública seja distribuída de forma segura, o que consequentemente permite que haja uma comunicação sigilosa entre as partes, através da criptografia do conteúdo da mensagem.

    Uma boa definição de Certificado Digital fornecido pela CESGRANRIO em uma de suas questões:

    "Um Certificado Digital é um conjunto de dados à prova de falsificação e que atesta a associação de uma chave pública a um usuário final."

  • Letra A

    Fonte da questão: https://www.infowester.com/assincertdigital.php#certificado

    Pessoal, note que o CD não garante a confidencialidade dos dados, mas a confidencialidade das partes envolvidas!!

    O que é certificado digital

    O certificado digital ICP-Brasil (Infraestrutura de Chaves Públicas Brasileira) funciona como uma identidade virtual, que permite a identificação segura e inequívoca do autor de uma mensagem ou transação feita em meios eletrônicos, como a web.

    Esse documento eletrônico é gerado e assinado por uma terceira parte confiável, ou seja, uma Autoridade Certificadora (AC) que, seguindo regras estabelecidas pelo Comitê Gestor da ICP-Brasil, associa uma entidade (pessoa, processo, servidor) a um par de chaves criptográficas.

    Utilizando o recurso da criptografia, a certificação digital garante autenticidade na transmissão dos documentos, além de assegurar dados e a confidencialidade das partes envolvidas. Assim, o certificado digital da ICP-Brasil, além de personificar o cidadão na rede mundial de computadores, garante, por força da legislação atual, validade jurídica aos atos praticados com o seu uso.

    https://certhidata.com.br/o-que-e-certificado-digital/


ID
126796
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação aos aspectos relevantes que envolvem a segurança da informação, analise as proposições a seguir.

I - O certificado digital de uma empresa é um arquivo confidencial que deve estar a salvo das ações de hackers, pois, caso contrário, o certificado será revogado.
II - CAPTCHAs podem ser utilizados para impedir que softwares automatizados executem ações que degradem a qualidade do serviço prestado por um sistema Web, devido ao abuso no uso do recurso disponibilizado pelo sistema.
III - O não repúdio é uma técnica de proteção utilizada por agentes de segurança para educar os usuários contra a possível tentativa de hackers de obterem informações importantes ou sigilosas em organizações ou sistemas, por meio da enganação ou da exploração da confiança das pessoas.

Está(ão) correta(s) a(s) proposição(ões)

Alternativas
Comentários
  • I - O certificado digital de uma empresa é um arquivo confidencial que deve estar a salvo das ações de hackers, pois, caso contrário, o certificado será revogado.ERRADO. Certificado digital não fica a salvo, na verdade ele é apresentado como forma de assegurar que a entidade envolvida na comunicação é quem diz ser. O que não pode ficar em mãos erradas é a chave privada.II - CAPTCHAs podem ser utilizados para impedir que softwares automatizados executem ações que degradem a qualidade do serviço prestado por um sistema Web, devido ao abuso no uso do recurso disponibilizado pelo sistema.Correto.III - O não repúdio é uma técnica de proteção utilizada por agentes de segurança para educar os usuários contra a possível tentativa de hackers de obterem informações importantes ou sigilosas em organizações ou sistemas, por meio da enganação ou da exploração da confiança das pessoas.ERRADO. Não-repúdio é a garantia de segurança que impede uma entidade participante numa dada operação de negar essa participação.
  • Um sistema de CAPTCHAs consiste em meios automatizados de gerar novos desafios que os computadores atuais são incapazes de resolver exatamente, mas a maioria de seres humanos podem resolver. Um CAPTCHA não confia nunca no atacante que conheça previamente o desafio. Por exemplo, um checkbox "clique aqui se você é um bot" pode servir para distinguir entre seres humanos e computadores, mas não é um CAPTCHA porque confia no fato que um atacante não precisa se esforçar para quebrar esse formulário específico. Para ser um CAPTCHA, um sistema deve gerar automaticamente os novos desafios que requerem técnicas da inteligência artificial na resolução.

    http://pt.wikipedia.org/wiki/CAPTCHA

ID
135511
Banca
CESPE / CEBRASPE
Órgão
EMBASA
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com referência aos fundamentos de segurança relacionados a
criptografia, firewalls, certificados e autenticação, julgue os itens a
seguir.

Um certificado digital possui alguns atributos comuns, entre os quais estão a assinatura do emissor do certificado e o prazo de validade.

Alternativas
Comentários
  • Um certificado padrão X.509 contém os seguintes campos:

    • Versão - Contem a versão do certificado X.509, atualmente versão 3
    • Número serial - Todo certificado possui um, não é globalmente único, mas único no âmbito de uma AC, ac LCRs usam o serial para apontar quais certificados se encontram revogados
    • Tipo de algoritmo - Contem um identificador do algoritmo criptográfico usado pela AC para assinar o certificado juntamente com o tipo de função de hash criptográfica usada no certificado
    • Nome do titular - Nome da entidade para o qual o certificado foi emitido
    • Nome do emitente - Autoridade Certificadora que emitiu/assinou o certificado
    • Período de validade - Mostra o período de validade do certificado no formato "Não antes" e "Não depois" (Ex. "Não antes de 05/03/2006 - 14:35:02" "Não depois de 05/03/2007 - 14:03:20")
    • Informações de chave pública da entidade
      • Algoritmo de chave pública
      • Chave pública
    • Assinatura da AC - A garantia que a AC provê sobre a veracidade das informações contidas neste certificado de acordo com as políticas da AC
    • Identificador da chave do titular - É uma extensão do X.509 que possui um identificador numérico para a chave pública contida neste certificado, especialmente útil para que programas de computador possam se referir a ela
    • Identificador da chave do emitente - A mesma idéia mencionada anteriormente, só que se referindo a chave pública da AC que emitiu o certificado
    • Atributos ou extensões - A vasta maioria dos certificados X.509 possui campos chamados extensões (OID) que proveêm algumas informações extras, como cadastros adicionais do titular e do emitente, especificações de propósito do certificado e etc.

    Fonte:  http://pt.wikipedia.org/wiki/Certificado_digital
    Gabarito Correto.
  • GABARITO: CERTO

     

     

    O emissor do certificado é a Autoridade Certificadora. O prazo de validade é o período para o qual o certificado tem valor e a assinatura digital é um recurso que permite a assinatura de uma mensagem pelo emissor. Ela é feita com a chave privada do emissor, e, ao utilizar a chave pública para decifrar, é verificada a autenticidade do emissor, bem como a integridade da mensagem enviada.

     

    Prof. Victor Dalton - Estratégia Concursos

  • Os Certificados Digitais, tanto para pessoa física (e-CPF), quanto os direcionados para empresas (e-CNPJ e NF-e), possuem validade de 1 ou 3 anos. Segundo o diretor de Operações da Certisign, Bernardo Stille, o ideal é verificar a validade do seu Certificado Digital e programar a renovação. A Certisign, por exemplo, oferece aos clientes um portal onde é possível checar a validade e, se for necessário, já renová-lo: www.renoveseucertificado.com.br.

     

    Houve um período que o Serasa emitia certificados com validade de 5 anos, assim como a OAB, porém esses prazos foram alterados para no máximo 3 anos novamente. Além do prazo o tamanho da chave é outro fator relevante para a segurança do certificado digital.

  • Normalmente, cada certificado inclui a chave pública referente à chave privada de posse da entidade especificada no certificado.

  • o que cai sobre o conteúdo (essencial):

    -Chave publica do Titular;

    -Dados do Titular;

    -Validade

    -Nome da AC

    -Número de série

    -Ass digital da AC

  • Algumas características:

    Do dono: nome, registro civil e chave pública

    Da certificadora: nome e assinatura digital

    Inerentes ao certificado: validade, versão e número de série

    Facilita separar por categorias.


ID
137233
Banca
CESGRANRIO
Órgão
Casa da Moeda
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

José deseja invalidar seu certificado digital ICP-Brasil de pessoa física, de modo a impossibilitar o seu uso. Para isso, ele

Alternativas
Comentários
  •  O usuário detentor de um certificado digital pode a qualquer momento solicitar sua revogação. Isso pode ocorrer por diversos motivos, dentre eles: a chave privada da entidade certificado se tornou pública ou a chave privada do usuário foi descoberta.


ID
144697
Banca
CESPE / CEBRASPE
Órgão
SECONT-ES
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Um órgão público, visando identificar o atual nível de proteção
da rede de computadores das organizações públicas para as quais
presta serviços, desenvolveu um conjunto de processos de
avaliação de segurança da informação em redes de computadores.
Empregando métodos analíticos e práticos, os auditores coletaram
várias informações acerca da rede e produziram diversas
declarações, sendo algumas delas consistentes com o estado da
prática e outras incorretas. A esse respeito, julgue os itens de 101
a 105.

Considere que, em uma organização, os auditores tenham detectado o uso de um certificado digital no servidor web, para oferta de serviços de comunicação segura com os usuários da extranet da organização. Considere ainda que, ao navegar para uma página servida por esse servidor web, usando o protocolo https, um auditor tenha observado que o seu navegador web emitiu um alerta, informando que o certificado apresentado não foi reconhecido como válido. Nesse caso, tal comportamento do navegador deve-se normalmente ao fato de o certificado não ser assinado por uma autoridade certificadora que seja de confiança do software navegador.

Alternativas
Comentários
  • Alguém sabe pq da anulação?


ID
150880
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Durante o projeto de uma aplicação Internet, verificou-se a necessidade de a mesma proporcionar conexões seguras entre o browser dos clientes e o servidor de aplicações, utilizando HTTPS. Durante uma reunião entre os diversos membros da equipe do projeto, foram feitas as afirmativas a seguir.

I - Será preciso dotar o servidor de aplicação de um certificado digital.

II - Será preciso obter uma autorização de funcionamento (FA) de uma autoridade certificadora (CA).

III - Se um cliente não possuir uma identidade digital, tal como um e-CPF ou e-CNPJ, somente serão criptografados os dados enviados do cliente para o servidor; nesta situação, o servidor não deve exibir dados sigilosos para o cliente, pelo fato de os mesmos estarem sujeitos à interceptação; esta é a principal razão pela qual alguns serviços na Internet só são disponibilizados para clientes que possuem identidade digital.

IV - Um mesmo endereço de Internet poderá ser usado para conexões HTTP e HTTPS, desde que sejam utilizadas portas diferentes para cada um.

Estão corretas APENAS as afirmativas

Alternativas
Comentários
  • I - Correto. O HTTPS promove confidencialidade por meio de criptografia e autenticidade através de certificados digitais.

    II - Incorreta. As autorizações de funcionamento são concedidas pela Autoridade Certificadora Raiz às Autoridades de Registro ou Autoridades Certificadoras credenciadas. Não se destina ao proprietário do certificado digital.

    III - Incorreta. Mesmo que não haja autenticação por parte do cliente, a comunicação é criptografada. Portanto a alternativa está incorreta.

    IV - Correto. Para os serviços HTTP e HTTPS funcionarem sob um mesmo ip é necessário portas diferentes. A porta tipicamente por eles são 80 (HTTP) e 443 (HTTPS).

ID
153214
Banca
CESPE / CEBRASPE
Órgão
TJ-DFT
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens subseqüentes, acerca da segurança em redes de
computadores.

Uma condição necessária para a segurança de uma função de hash e seu respectivo uso em assinaturas digitais é a inexistência de colisões.

Alternativas
Comentários
  • Colisões não afetam a integridade e/ou segurança dos dados, elas apenas geram atrasos na rede.
  • A função hash não está livre de colisões, ela otimiza muito a indexação mas não garante a inexistência de colisão. É uma característica inerente a definição dos algoritmos de hash.
  • Colisão é a possibilidade de se ter um hash igual para duas mensagens/arquivos diferentes.

    EX:

    Se tenho o arquivo A (300KB) e gero um hash dele e encontro = X

    E se possuou um arquivo B (1GB) e gero um hash dele e encontro = X

    Os dois arquivos (apesar de serem diferentes) possuem o mesmo hash....

     

    Qual o problema disso??

    Em servidores de autenticação, geralmente, por segurança, não se autentica a sua senha (que vc digita) e sim se compara o hash da sua senha com o hash da sua senha armazenada no servidor de autenticação.

    Ex: au se logar na rede (em um doimínio), vc digita sua senha, teu micro gera um hash e envia ao servidor de autenticação, este servidor compara o hash que recebeu com o que esta armazenada e referente a teu usuário, se forem iguais, senha correta, se diferente senha incorreta.

    Então, se o usuário fulando possui a senha "123456" e o hash da mesma é Y, eu não preciso saber a senha do usuário fulano para logar com o usuário dele, preciso achar apenas uma senha que gere o mesmo hash Y.

     

  • "Se as mensagens possíveis são infinitas, mas o tamanho do hash é fixo, é impossível impedir que mensagens diferentes levem a um mesmo hash. De fato, isto ocorre. Quando se encontram mensagens diferentes com hashs iguais, é dito que foi encontrada uma colisão de hashes. Um algoritmo onde isso foi obtido deve ser abandonado. As funções de hash estão em constante evolução para evitar que colisões sejam obtidas. Cabe destacar porém que a colisão mais simples de encontrar é uma aleatória, ou seja, obter colisões com duas mensagens geradas aleatoriamente, sem significado real. Quando isto ocorre os estudiosos de criptografia já ficam atentos, porém para comprometer de maneira imediata a assinatura digital seria necessário obter uma mensagem adulterada que tenha o mesmo hash de uma mensagem original fixa, o que é teoricamente impossível de ocorrer com os algoritmos existentes hoje."

    Fonte: http://pt.wikipedia.org/wiki/Assinatura_digital
  • Todo hash tem colisões se o tamanho do hash é menor que o possível tamanho das mensagens.
    Se o hash tem 128 bits e as mensagens podem ter milhares de bits, alguma mensagem vai ter que gerar o mesmo hash se todas as mensagens forem testadas.
  • O erro da questão está em dizer que "a condição necessária para a segurança de uma função de hash... é a inexistência de colisões". Em toda função de hash podem haver colisões. O que garante a segurança de um função de hash é a dificuldade computacional que a função implementa para que ocorram essas colisões. Além da lógica bem estruturada do algoritmo de hash, existe a preocupação com o tamanho do resumo (hash) gerado. Por exemplo,um algoritmo que gere  hashes de 10 bits, pode gerar 2 elevado a 10 hashs diferentes = 1024. Em um ataque de colisão por força bruta, após a geração de 1024 hashes diferentes, os próximos hashes gerados necessariamente colidirão com algum hash já existente.
    Portanto, deve-se utilizar um tamanho de hash grande o suficiente para inviabilizar o esforço computacional necessário para a obtenção de colisões.
  • Gabarito Errado

    Inserindo novamente a melhor resposta para melhor vizualização dos companheiros:

     

    Colisão é a possibilidade de se ter um hash igual para duas mensagens/arquivos diferentes.

    EX:

    Se tenho o arquivo A (300KB) e gero um hash dele e encontro = X

    E se possuou um arquivo B (1GB) e gero um hash dele e encontro = X

    Os dois arquivos (apesar de serem diferentes) possuem o mesmo hash....

     

    Qual o problema disso??

    Em servidores de autenticação, geralmente, por segurança, não se autentica a sua senha (que vc digita) e sim se compara o hash da sua senha com o hash da sua senha armazenada no servidor de autenticação.

    Ex: au se logar na rede (em um doimínio), vc digita sua senha, teu micro gera um hash e envia ao servidor de autenticação, este servidor compara o hash que recebeu com o que esta armazenada e referente a teu usuário, se forem iguais, senha correta, se diferente senha incorreta.

    Então, se o usuário fulando possui a senha "123456" e o hash da mesma é Y, eu não preciso saber a senha do usuário fulano para logar com o usuário dele, preciso achar apenas uma senha que gere o mesmo hash Y.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Colisão (diferentes entradas podem gerar uma mesma saída)

    • Para evitar colisões, atualmente, Algoritmos Criptográficos de Hash exigem pelo menos 128 bits de saída.

    Principais algoritmos: SHA-1 (Hash de 160 bits), MD5 (Hash de 128 bits), etc.

    • MD5 e SHA1 ainda são utilizados em alguns mecanismos que fazem uso de assinatura digital, mas, atualmente, ambos são considerados inseguros.


ID
158359
Banca
FCC
Órgão
MPE-RN
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Tipo de tecnologia de identificação digital que permite que transações eletrônicas dos mais diversos tipos sejam feitas considerando sua integridade, autenticidade e confidencialidade, de forma a evitar que adulterações, interceptações ou outros tipos de fraude ocorram. Esse é o conceito de

Alternativas
Comentários
  • As respostas A e B parecem corretas, mas a Assinatura Digital pode ser sem criptografia. Logo, não garantiria Confidencialidade.

    Questão correta: A.

  • Galera, só pra diminuir um pouco a dúvida entre A e B...

    Os princípios da Assinatura Digital são: Autenticida Integridade Irretratabilidade (não repúdio)
  • Vale lembrar que o conceito de Certificação Digital engloba os elementos como certificado digital (documento eletrônico) e assinatura digital.


ID
158362
Banca
FCC
Órgão
MPE-RN
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A ICP-Brasil oferece duas categorias de certificados. Uma para fins de identificação e autenticação e outra para atividades sigilosas. Essas categorias são, respectivamente,

Alternativas
Comentários
  • Tipos de certificados da ICP-Brasil
    A ICP-Brasil oferece duas categorias de certificados digitais: A e S, sendo que cada uma se divide em quatro tipos: A1, A2, A3 e A4; S1, S2, S3 e S4. A categoria A é direcionada para fins de identificação e autenticação, enquanto que o tipo S é direcionado a atividades sigilosas. Vejas as características que tornam as versões de ambas as categorias diferentes entre si:

    A1 e S1: geração das chaves é feita por software; chaves de tamanho mínimo de 1024 bits; armazenamento em dispositivo de armazenamento (como um HD); validade máxima de um ano;

    A2 e S2: geração das chaves é feita por software; chaves de tamanho mínimo de 1024 bits; armazenamento em cartão inteligente (com chip) ou token (dispositivo semelhante a um pendrive); validade máxima de dois anos;

    A3 e S3: geração das chaves é feita por hardware; chaves de tamanho mínimo de 1024 bits; armazenamento em cartão inteligente ou token; validade máxima de três anos;

    A4 e S4: geração das chaves é feita por hardware; chaves de tamanho mínimo de 2048 bits; armazenamento em cartão inteligente ou token; validade máxima de três anos.

    Os certificados A1 e A3 são os mais utilizados, sendo que o primeiro é geralmente armazenado no computador do solicitante, enquanto que o segundo é guardado em cartões inteligentes (smartcards) ou tokens protegidos por senha.

     

    Fonte: http://www.infowester.com/assincertdigital.php

     

  • Tipos de certificados da ICP-Brasil


    * A ICP-Brasil oferece duas categorias de certificados digitais: A e S, sendo que cada uma se divide em quatro tipos: A1, A2, A3 e A4; S1, S2, S3 e S4.

     

     Categoria A é direcionada para fins de identificação e autenticação

    Enquanto que a categoria S é direcionado a atividades sigilosas.

     

    A1 e S1: geração das chaves é feita por software; chaves de tamanho mínimo de 1024 bits; armazenamento em dispositivo de armazenamento (como um HD); validade máxima de um ano;

     

    A2 e S2: geração das chaves é feita por software; chaves de tamanho mínimo de 1024 bits; armazenamento em cartão inteligente (com chip) ou token (dispositivo semelhante a um pendrive); validade máxima de dois anos;

     

    A3 e S3: geração das chaves é feita por hardware; chaves de tamanho mínimo de 1024 bits; armazenamento em cartão inteligente ou token; validade máxima de três anos;

     

    A4 e S4: geração das chaves é feita por hardware; chaves de tamanho mínimo de 2048 bits; armazenamento em cartão inteligente ou token; validade máxima de três anos.

     

    Os certificados A1 e A3 são os mais utilizados.

     

    Fonte: http://www.infowester.com/assincertdigital.php

  • Cadeias de certificado: 

    A(autenticidade): A1.A2,A3,A4

    S(Sigilo): S1,S2,S3,S4

    T(Tempo): T1,T2,T3.T3

    1: validade de um ano

    2: validade de dois anos

    3,4: validade de 3 anos. O diferencial do tipo 4 é que as chaves são de 2048bits(nos outros eram de 1024).


ID
158368
Banca
FCC
Órgão
MPE-RN
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A certificação digital funciona com base em um documento eletrônico e em um recurso, que são denominados, respectivamente,

Alternativas
Comentários
  • O documento eletrônico é o certificado digital o qual é assinado digitalmente pela AC (Autoridade Certificadora).
  • Documento eletrônico = certificado digital

    Recurso = assinatura digital

    Vamos na fé.


ID
158407
Banca
FCC
Órgão
MPE-RN
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Documento eletrônico assinado digitalmente, que cumpre a função de associar uma pessoa ou entidade a uma chave pública. As informações públicas contidas nele são o que possibilita colocá-lo em repositórios públicos. Tratase

Alternativas
Comentários
  • Um certificado digital é um arquivo de computador que contém um conjunto de informações referentes a entidade para o qual o certificado foi emitido (seja uma empresa, pessoa física ou computador) mais a chave pública referente a chave privada que acredita-se ser de posse unicamente da entidade especificada no certificado.
    Um certificado digital normalmente é usado para ligar uma entidade a uma chave pública. Para garantir digitalmente, no caso de uma Infraestrutura de Chaves Públicas (ICP), o certificado é assinado pela Autoridade Certificadora que o emitiu e no caso de um modelo de Teia de Confiança (Web of trust) como o PGP, o certificado é assinado pela própria entidade e assinado por outros que dizem confiar naquela entidade. Em ambos os casos as assinaturas contidas em um certificado são atestamentos feitos por uma entidade que diz confiar nos dados contidos naquele certificado.
    Fonte: http://pt.wikipedia.org/wiki/Certificado_digital
  • Falou em chave pública então é certificado digital!

    Gabarito: D


ID
161800
Banca
FCC
Órgão
TRF - 5ª REGIÃO
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

No padrão para certificados digitais X.509, o Subject name significa

Alternativas
Comentários
  •  Subject: é o nome do dono do certificado que pode ser uma pessoa/entidade.

  • Subject name = Nome do titular : Nome da entidade para o qual o certificado foi emitido. Assim, o nome X.500 da Certification Authority.
    Em inglês, como está no enunciado da questão temos:

    Serial Number: Used to uniquely identify the certificate.

    Subject: The person, or entity identified.

    Signature Algorithm: The algorithm used to create the signature.

    Issuer: The entity that verified the information and issued the certificate.

    Valid-From: The date the certificate is first valid from.

    Valid-To: The expiration date.

    Key-Usage: Purpose of the public key (e.g. encipherment, signature, certificate signing...).

    Public Key: the purpose of SSL when used with HTTP is not just to encrypt the traffic, but also to authenticate who the owner of the website is, and that someone's been willing to invest time and money into proving the authenticity and ownership of their domain.

    Thumbprint Algorithm: The algorithm used to hash the certificate.

    Thumbprint: The hash itself to ensure that the certificate has not been tampered with.


    Em português, temos:

    Um certificado padrão X.509 contém os seguintes campos:

    Versão - Contem a versão do certificado X.509, atualmente versão 3 Número serial - Todo certificado possui um, não é globalmente único, mas único no âmbito de uma AC, ac LCRs usam o serial para apontar quais certificados se encontram revogados Tipo de algoritmo - Contem um identificador do algoritmo criptográfico usado pela AC para assinar o certificado juntamente com o tipo de função de hash criptográfica usada no certificado Nome do titular - Nome da entidade para o qual o certificado foi emitido Nome do emitente - Autoridade Certificadora que emitiu/assinou o certificado Período de validade - Mostra o período de validade do certificado no formato "Não antes" e "Não depois" (Ex. "Não antes de 05/03/2006 - 14:35:02" "Não depois de 05/03/2007 - 14:03:20") Informações de chave pública da entidade Algoritmo de chave pública Chave pública Assinatura da AC - A garantia que a AC provê sobre a veracidade das informações contidas neste certificado de acordo com as políticas da AC Identificador da chave do titular - É uma extensão do X.509 que possui um identificador numérico para a chave pública contida neste certificado, especialmente útil para que programas de computador possam se referir a ela Identificador da chave do emitente - A mesma idéia mencionada anteriormente, só que se referindo a chave pública da AC que emitiu o certificado Atributos ou extensões - A vasta maioria dos certificados X.509 possui campos chamados extensões (OID) que proveêm algumas informações extras, como cadastros adicionais do titular e do emitente, especificações de propósito do certificado e etc.
    Fonte: http://en.wikipedia.org/wiki/Public_key_certificate
    Fonte: http://pt.wikipedia.org/wiki/Certificado_digital
  • a-

    The Subject field gives the DName of the client to which the certificate belongs. It consists of a number of attribute-value pairs called Relative Distinguished Names (RDNs).

    https://en.wikipedia.org/wiki/X.509


ID
162226
Banca
FCC
Órgão
TCE-AL
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

No certificado padrão X.509, o campo issuer contém

Alternativas
Comentários
  • Nem precisa decorar o padrão X.509:

    Issue = Emitir
    Issuer = Emissor

    Quem emite o certificado é a autoridade certificadora.
  • The structure of an X.509 v3 digital certificate is as follows:

    • Certificate
      • Version                         (LETRA A)
      • Serial Number
      • Algorithm ID                 (LETRA B)
      • Issuer                            (LETRA E)
      • Validity
        • Not Before
        • Not After
      • Subject                          (LETRA C)
      • Subject Public Key Info
        • Public Key Algorithm
        • Subject Public Key
      • Issuer Unique Identifier (optional)
      • Subject Unique Identifier (optional)
      • Extensions (optional)
        • ...
    • Certificate Signature Algorithm
    • Certificate Signature                 (LETRA D)
  • Apenas complementando para ficar um pouco mais claro:

    <img src="http://dl.drobox.com/u/9600628/campos_cert_x.509.PNG"/>

    Bons estudos!

    Carlos Markennedy
  • não entendi?

    Alguém para detalhar esta questão por favor.  
    Att.:
    Roberta Faria 
  • Atributos do X509:

     

    Subject name = Nome do titular : Nome da entidade para o qual o certificado foi emitido.
    Serial Number: Used to uniquely identify the certificate.
    Subject: The person, or entity identified.
    Signature Algorithm: The algorithm used to create the signature.
    Issuer: The entity that verified the information and issued the certificate.
    Valid-From: The date the certificate is first valid from.
    Valid-To: The expiration date.
    Key-Usage: Purpose of the public key (e.g. encipherment, signature, certificate signing...).
    Public Key: the purpose of SSL when used with HTTP is not just to encrypt the traffic, but also to authenticate who the owner of the website is, and that someone's been willing to invest time and money into proving the authenticity and ownership of their domain.
    Thumbprint Algorithm: The algorithm used to hash the certificate.
    Thumbprint: The hash itself to ensure that the certificate has not been tampered with.

  • e-

    The structure of an X.509 v3 digital certificate is as follows:

       Certificate

           Version Number

           Serial Number

           Signature Algorithm ID

           Issuer Name

           Validity period

               Not Before

               Not After

           Subject name

           Subject Public Key Info

               Public Key Algorithm

               Subject Public Key

           Issuer Unique Identifier (optional)

           Subject Unique Identifier (optional)

           Extensions (optional)

               ...

       Certificate Signature Algorithm

       Certificate Signature

    https://en.wikipedia.org/wiki/X.509


ID
162799
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Ao enviar um e-mail, o usuário utiliza o recurso da Assinatura Digital para garantir que a mensagem não seja alterada durante o trajeto. Esse recurso consiste em um(a)

Alternativas
Comentários
  • A ASSINATURA DIGITAL é um procedimento baseado em operações criptográficas que permite garantir a INTEGRIDADE (= arquivo não sofreu alteração) e a AUTENTICIDADE (= garantia da identidade do remetente e do receptor)  de arquivos eletrônicos.

    A criptografia é a arte de codificar mensagens. Os métodos de criptografia atuais baseiam-se no uso de uma ou mais chaves. A chave é uma seqüência de caracteres que pode conter letras, dígitos e símbolos (como uma senha), e que é convertida em um número. Tais chaves são utilizadas para codificar e decodificar as mensagens.
    Os métodos criptográficos podem sem subdivididos em duas grandes categorias, de acordo com o tipo de chave utilizada:

    a) criptografia de chave única, também chamada de criptografia simétrica, tradicional ou de chave secreta, que utiliza a mesma chave tanto para a codificar quanto para decodificar mensagens. É um método ser bastante eficiente em relação ao tempo de processamento, porém necessidade de utilização de um meio seguro para que a chave possa ser compartilhada entre pessoas ou entidades que desejem trocar informações criptografadas.

     b) criptografia de chave pública e privada, também chamada de criptografia assimétrica, que utiliza duas chaves distintas, uma para codificar e outra para decodificar mensagens. Neste método cada pessoa ou entidade mantém duas chaves: uma pública, que pode ser divulgada livremente, e outra privada, que deve ser mantida em segredo pelo seu dono. As mensagens codificadas com a chave pública só podem ser decodificadas com a chave privada correspondente.
     

    A tecnologia da Assinatura Digital necessita de um par de chaves criptográficas, por isso somente no método da criptografia assimétrica ela é possível.

    No site da Justiça Federal há um link bastante interessante sobre a Tecnologia da Informação, onde é possível verificar o procedimento de assinatura digital aplicado no âmbito daquele órgão.  www.jf.jus.br/cjf/tecnologia-da-informação

     

  • É o chamado LACRE!

  • Não pode ser a C também?

     

    Criptografia assimétrica = criptografia de chave pública.

  • Acertei, mas não vejo erro no item C, alguém explica?
  • Assinatura Digital para garantir que a mensagem não seja alterada durante o trajeto: INTEGRIDADE

     

    a) Só para ficar como dica: quando fala-se em “não alterar”, lembre-se de INTEGRIDADE. Logo, a criptografia assimétrica garante essa integridade.

     

    c) Os algoritmos criptográficos de chave pública permitem garantir tanto a confidencialidade quanto a autenticidade das informações por eles protegidas.

  • Holografia individual.. heuheuheuheuheue


ID
175546
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Na rede de computadores de uma organização pública
brasileira com diversos ativos, como, por exemplo, switches,
roteadores, firewalls, estações de trabalho, hosts servidores de
aplicação web, servidores de bancos de dados, é comum a
ocorrência de ataques e de outros incidentes que comprometem
a segurança de seus sistemas. Nessa organização, a definição de
políticas e metodologias adequadas para se lidar com esse tipo de
problema cabe ao departamento de TI.

A partir da situação apresentada acima, julgue o item abaixo
relativos à segurança da informação.

Se, com o fim de permitir a assinatura de certificados digitais e de mensagens trocadas entre seus computadores e computadores de redes abertas, o administrador da rede tiver implementado o uso de sistemas criptográficos baseados no algoritmo message-digest 5 (MD5), nesse caso, a partir do instante em que esse sistema entra em uso efetivo, todos os certificados e mensagens digitalmente assinados e em que foi empregado o MD5 passam a gerar sumários de mensagens com tamanho de 160 bits; além disso, o uso desse sistema aumenta a garantia de integridade das comunicações, quando comparado a sistemas que não possibilitam assinatura digital.

Alternativas
Comentários
  • Creio que a questão esteja errada pelo fato de mencionar que os sumários (HASH) MD5 sejam de 160 bits, quando na realidade são 128 bits.

  • Acredito que o erro esteja relacionado pelo fato do MD5 ser chave simétrica, enquanto certificação digital utiliza chave assimétrica.
  • Todos as funções da família MD2, MD4 e MD5 geram hashes (também chamados de resumos ou messages digests) de 128 bits, com segurança efetiva de 64 bits (devido ao paradoxo estatístico do aniversário).

    Quem gera hashes de 160bits é o SHA-1, com segurança de 80bits.
  • Assinatura digital não garante a Integridade das comunicações.
  • O MD5 tem hash de 128 bits!!!

  • Alguns altores nem consideram funções de hash como criptografia.

  • O MD5 gera 128 bits de saída, quem gera 160 bits de saída é o SHA-1.


ID
175549
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Na rede de computadores de uma organização pública
brasileira com diversos ativos, como, por exemplo, switches,
roteadores, firewalls, estações de trabalho, hosts servidores de
aplicação web, servidores de bancos de dados, é comum a
ocorrência de ataques e de outros incidentes que comprometem
a segurança de seus sistemas. Nessa organização, a definição de
políticas e metodologias adequadas para se lidar com esse tipo de
problema cabe ao departamento de TI.

A partir da situação apresentada acima, julgue o item abaixo
relativos à segurança da informação.

Se a rede de uma organização atuar de forma integrada a uma infra-estrutura de chave pública, de natureza hierárquica, formada por RAs (regional authorities) e CAs (certification authorities), o administrador da rede, ao analisar qual foi a entidade que assinou digitalmente o certificado público de cada membro dessa infra-estrutura de chave pública, constatará que todos os certificados analisados foram assinados pela autoridade certificadora raiz.

Alternativas
Comentários
  • O erro da questão está na citação de RA's como Regional Authorities, que pela literatura seria Register Authorities.

  • ERRADO.
    A Autoridade Certificadora Raiz (AC-Raiz) apenas assina os Certificados das Autoridades Certificadoras (AC).

    Quem assina os certificados para instituições finais (pessoas ou processos) é apenas as Autoridades Certificadoras (AC)
  • Entendo que o erro está em afirmar que "todos os certificados analisados foram assinados pela autoridade certificadora raiz."
    Segundo o livro de redes do Tanenbaum, numa infra-estrutura de chave pública de natura HIERÁQUICA, as AC-Raiz (pode haver mais de uma) autorizam as RAs que autoriam as CAs, logo a AC-Raiz não assina todos os certificados, ela assina apenas os certificados das RAs.
    O esquema todo é baseado no conceito de cadeia de confiança. Se vc confia em uma CA-raiz, vc tbm confia nas RAs (que tbm podem ser chamadas
    de CAs de segundo nível) que são autoriaza por essa CA-raiz e consequentemente nas CA autorizadas pelas RAs.
    Espero ter ajudado
  • ICP – Brasil
     
    Modelo Hierárquico: Uma AC não pode certificar outra que não seja imediatamente inferior (hierarquia).
     
    • AC Raiz no Brasil é o ITI (Instituto Nacional de Tecnologia da Informação)
    É a primeira autoridade da cadeia de certificação. Executa as Políticas de Certificados e normas técnicas e operacionais aprovadas pelo Comitê Gestor da ICP-Brasil. Dentre as finalidades estão: emitir, expedir, distribuir, revogar e gerenciar os certificados das autoridades certificadoras DE NÍVEL IMEDIATAMENTE SUBSEQUENTE AO SEU; encarregada de emitir a lista de certificados revogados e de fiscalizar e auditar as autoridades certificadoras, autoridades de registro e demais prestadores de serviço habilitados na ICP-Brasil.
    Somente a AC Raiz pode realizar certificação cruzada com AC raízes noutros países.
                                                                                                                                                                                                                               Fonte: Aulas provas de TI

    Alternativa: Errada
  • Só para responder o comentário do Manoel:


    Uma PKI tem vários componentes, incl uindo usuários, CAs, certificados e diretórios. A função da

    PKI é fornecer um modo de estruturar esses componentes e definir padrões para os vários

    documentos e protocolos. Uma forma particularmente simples de PKI é uma hierarquia de CAs,

    como mostra a Figura 8.26. Nesse exemplo, mostramos três níveis mas, na prática, pode haver um

    número menor ou maior. A CA de nível superior, chamada raiz, certifica CAs do segundo nível, que

    denominamos RAs (Regional Authorities), porque podem cobrir alguma região geográfica, como um

    país ou um continente. Entretanto, esse termo não é padrão; de fato, nenhum termo é realmente

    padrão para os diferentes níveis da árvore. Por sua ve z, as RAs certificam as CAs reais, que emitem

    os certificados X.509 para or ganizações e indivíduos. Quando a raiz autoriza uma nova RA, ela gera

    um ce rtificado X.509 anunciando que aprovou a RA, inclui a chave pública da nova RA no

    certificado, assina o certificado e o entrega à RA. De modo semelhante, quando uma RA aprova

    uma nova CA, ela produz e assina um certificado declarando sua aprovação e contendo a chave

    pública da CA.



ID
189547
Banca
CESGRANRIO
Órgão
ELETROBRAS
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Determinado órgão público permite que cidadãos efetuem, no sistema de cadastro, alterações de seus próprios dados. Para garantir a autenticidade de seus usuários, o sistema exige que o login seja feito mediante apresentação de certificado digital ICP-Brasil de pessoa física. Sobre essa situação, analise as afirmativas a seguir.

I - Um usuário poderá adquirir seu certificado em uma autoridade certificadora direta ou indiretamente subordinada, na hierarquia, à raiz ICP-Brasil.
II - O órgão precisa de infraestrutura para armazenar cada senha associada ao certificado digital de cada usuário, utilizando SHA256 como forma de proteção da senha.
III - Embora a autenticidade do usuário seja verificada, não há mecanismos de controle de integridade com esse tipo de certificado.

Está(ão) correta(s) a(s) afirmativa(s)

Alternativas
Comentários
  • I - Um usuário poderá adquirir seu certificado em uma autoridade certificadora direta ou indiretamente subordinada, na hierarquia, à raiz ICP-Brasil.
    CORRETO

    II - O órgão precisa de infraestrutura para armazenar cada senha associada ao certificado digital de cada usuário, utilizando SHA256 como forma de proteção da senha.
    ERRADO
    O sistema acessa a infraestrutura da ICP-Brasil online para verificar a autenticidade, eu acho.

    III - Embora a autenticidade do usuário seja verificada, não há mecanismos de controle de integridade com esse tipo de certificado.
    ERRADO
    Certificado digital garante integridade também.
  • A senha fica na chave privada do usuário, somente ele tem acesso.

ID
193042
Banca
FCC
Órgão
TRF - 4ª REGIÃO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A certificação digital funciona com base em um documento eletrônico e em um recurso, que são denominados, respectivamente, de

Alternativas
Comentários
  •  A certificação digital funciona com base em um documento eletrônico chamado certificado digital e em um recurso denominado assinatura digital.

    A assinatura digital é um mecanismo eletrônico que faz uso de criptografia, mais precisamente, de chaves criptográficas.

    O certificado digital basicamente, trata-se de um documento eletrônico com assinatura digital que contém dados como nome do utilizador (que pode ser uma pessoa, uma empresa, uma instituição, etc), entidade emissora (você saberá mais sobre isso adiante), prazo de validade e chave pública. Com o certificado digital, a parte interessada obtém a certeza de estar se relacionando com a pessoa ou com a entidade desejada.

     

    Fonte:

    http://www.infowester.com/assincertdigital.php

     

  • A certificação digital é um tipo de tecnologia de identificação que permite que transações eletrônicas dos mais diversos tipos sejam feitas considerando sua integridade, sua autenticidade e sua confidencialidade, de forma a evitar que adulterações, interceptações ou outros tipos de fraude ocorram.

    A certificação digital funciona com base em um documento eletrônico chamado certificado digital e em um recurso denominado assinatura digital.

     

  • Gab. B

    certificado digital é um documento eletrônico assinado digitalmente por uma terceira parte confiável (Autoridade Certificadora) e que cumpre a função de associar uma entidade (pessoa, processo, servidor, etc) a um par de chaves criptográficas com o intuito de tornar as comunicações mais confiáveis.

    Em combinação com outros recursos, pode-se garantir autenticidade, integridade, não-repúdio e confidencialidade.


ID
193045
Banca
FCC
Órgão
TRF - 4ª REGIÃO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

É conveniente que cada nação conte com uma Infraestrutura de Chaves Públicas, isto é, um conjunto de políticas, técnicas e procedimentos para que a certificação digital tenha amparo legal e forneça benefícios reais à sua população. No Brasil, o órgão que tem essa finalidade é o

Alternativas
Comentários
  • Tão óbvia que chega a duvidar.

  • Olá pessoal. Realmente, como nosso amigo Rafael comentou, esta questão não é tão dificil assim. Mesmo se você não souber quem é ou o que faz o ICP-Brasil, somente pela pergunta daria para supor a resposta, bastando pegar as iniciais das palavras Infraestrutura de Chaves Públicas.

    Como referência, segue um link para a página oficial do ICP-Brasil : http://icp-brasil.certisign.com.br/

    Abraços e bons estudos,
    Felipe Ferrugem!!!

    "Juntos somos ainda melhores!!!"

    PS: Incentive os comentários, deixando registrada sua avaliação!

  • Segundo Certisign(2014),"

    ICP Brasil - Ambiente Seguro

    ICP, ou Infra-estrutura de Chaves Públicas, é a sigla no Brasil para PKI - Public Key Infrastructure -, um conjunto de técnicas, práticas e procedimentos elaborado para suportar um sistema criptográfico com base em certificados digitais.Desde julho de 2001, o Comitê Gestor da ICP-Brasil estabelece a política, os critérios e as normas para licenciamento de Autoridades Certificadoras (AC), Autoridades de Registro (AR) e demais prestadores de serviços de suporte em todos os níveis da cadeia de certificação, credenciando as respectivas empresas na emissão de certificados no meio digital brasileiro."

    http://icp-brasil.certisign.com.br/

  • Realmente é uma questão meio óbvia, mas fica a dúvida se é possível chamr o ICP-Brasil de um "órgão".

  • Gabarito A

    A Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil é uma cadeia hierárquica de confiança que viabiliza a emissão de certificados digitais para identificação virtual do cidadão.

    Observa-se que o modelo adotado pelo Brasil foi o de certificação com raiz única, sendo que o ITI, além de desempenhar o papel de Autoridade Certificadora Raiz – AC-Raiz, também tem o papel de credenciar e descredenciar os demais participantes da cadeia, supervisionar e fazer auditoria dos processos.

     

    http://www.iti.gov.br/icp-brasil

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !


ID
195493
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Em ano de eleições gerais, é comum haver discussões na
sociedade acerca da possibilidade de se fazer a votação pela
Internet. Na concepção de um sistema hipotético de votação pela
Internet, foram evidenciados os seguintes requisitos relacionados
com a segurança da informação do sistema.

* Cada votante deverá ser autenticado pelo sistema por
certificado digital, cuja chave privada deve ser armazenada
em dispositivo de mídia removível (pendrive) ou smartcard.
O acesso a essa informação deverá ser protegido por uso de
identificador pessoal numérico (PIN), de uso exclusivo de
cada votante e que deve ser mantido secreto pelo votante.
*autoridade certificadora confiável. A lista de autoridades
certificadoras confiáveis aceitas é de conhecimento dos
votantes, que se responsabilizarão pela obtenção do certificado
digital apropriado junto à autoridade de registro/autoridade
certificadora apropriada.
* Os votantes aptos a participar da votação deverão ser
previamente cadastrados no sistema. Não serão recebidos
votos de indivíduos não cadastrados previamente, mesmo que
estes detenham um certificado digital compatível com o
sistema.
* Por questões de economicidade, não será requerido o uso de
pin pad seguro para digitação do PIN no momento da
autenticação do votante. Assim, a entrada do PIN poderá ser
realizada pelo teclado do terminal usado para acesso à
Internet.
* A sessão entre o navegador de Internet usado como interface
de cliente do sistema de votação e o servidor de aplicação que
disponibiliza a aplicação do sistema deverá utilizar protocolo
TLS/SSL com autenticação do cliente e do servidor. Para
autenticação do cliente TLS/SSL, será utilizado o certificado
digital supramencionado.

Com relação à situação descrita acima, julgue os itens que se
seguem.

A chave privada do certificado possui resistência à intrusão (tamper proof) provida pelo hardware que a armazena.

Alternativas
Comentários
  • O pendrive não possui resistência a intrusão. Mesmo que ele possa criptografar os dados, essa criptografia seria via software e não via hardware como afirma a questão.

  • HÁ ERRO EM AFIRMAR QUE A CHAVE PRIVADA FAZ PARTE DO CERTIFICADO!
  • No caso do pen drive o tamper-proof é obtido via software e não via hardware.
  • Mais uma questão muito mal elaborada pelo CESPE. Pen Drive e smartCard são dispositivos que funcionam de maneira bem diferente.
  • A questão fala de tamper proof. Tampering é a alteração de alguma coisa. Tamper proof, então, seria um sistema que não pode ser alterado e não resistente à intrusão. Além disso, o pen-drive em si não fornece hardware seguro contra invasão ou alteração.
  • Certificado Digital não possui chave privada.
  • Se pensar em questão de chaves, sabe-se que o Certificado Digital possui apenas a chave PÚBLICA do seu utilizador e isso já descartaria a questão.

    De fato, quem possui essa resistência são os cartões inteligentes ou os Tokens, os quais são protegidos de tal forma que é impossível fazer a leitura de suas chaves privadas!

    Assim, sabe-se que o Certificado Digital possui apenas a chave pública mais os dados daquele que o utilizará (entidade final).
    A Autoridade Certificadora gera um hash dessas informações (chave pública  + dados) e as criptografa com a sua chave privada.

     

     

     

  • a resistência à intrusão é provida pelo hardware em combinação com o elemento humano (o votante que sabe o PIN)


ID
205489
Banca
FEPESE
Órgão
SEFAZ-SC
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação ao uso dos certificados digitais e das assinaturas digitais, assinale a alternativa correta.

Alternativas
Comentários
  •  O certifica digital é utilizado em sua essência para distribuição de chaves públicas de maneira segura. O Certificado Digital é formado por dados do emissor, extensões e a chave pública. A partir desses três itens é gerado o hash e criptografado com a chave privada da entidade certificadora (AC) dando origem a assinatura digital do certificado. Com base nessas informações:

    a) ERRADA. é utilizado chave privada

    b)Assinatura Digital não provê confidencialidade (sigilo)

    c) CERTA. De acordo com o mencionado.

    d)ERRADA. Primeiro gera-se o hash e posteriormente se criptografa com a chave privada da entidade certificadora

    e) ERRADA. Sem sentido.

  • Discordo do amigo acima no item d). O item se refere a Assinatura Digital e, não, a Certificação Digital. Logo, o problema do item está em dizer que após gerado o hash, utiliza-se a chave pública do destinatário. Desta maneira, não seria assinado nada. O correto seria utilizar a chave privada do remetente, assim qualquer um poderia usar sua chave pública pra decifrar e assegurar a autenticidade, integridade e, indiretamente, o não-repúdio.

    No mais, está tudo correto e a resposta é a C.
  • resposta questionável, pois qual o erro da letra B?? 

    "Em sua essência, a certificação digital é um tipo de tecnologia de identificação que permite que transações eletrônicas dos mais diversos tipos sejam realizadas considerando sua integridade, sua autenticidade e sua confidencialidade, de forma a evitar que adulterações, captura de informações privadas ou outros tipos de ações indevidas ocorram."

    Fonte: http://www.infowester.com/assincertdigital.php
  • Gustavo, Assinatura digital não provê confidencialidade. 

    A assinatura digital lembra, em muitos aspectos, a assinatura “de próprio punho”.  Ela traz algumas propriedades importantes para os documentos eletrônicos: Integridade – Permite verificar se o documento não foi alterado após a aplicação da assinatura;  Autenticidade – Permite verificar se um documento realmente foi gerado e aprovado pelo signatário; Não repúdio – Impede que o signatário recuse a autoria/conhecimento do documento.

    Escola superior de redes: http://esr.rnp.br/leitura/icpedu?download=44f683a84163b3523afe57c2e008bc8c
  •  Leonardo Marcelino Teixeira, você não tem ideia de como esse vídeo me ajudou, definitivamente, a entender esse troca troca.... rsrsrs
    Obrigada!!!!
    : )
  • Prezados,

    Certificado digital é um registro eletrônico composto por um conjunto de dados que distingue uma entidade e associa a ela uma chave pública. Pode ser emitido para pessoas, empresas, equipamentos ou serviços na rede (por exemplo, um site Web) e pode ser homologado para diferentes usos, como confidencialidade e assinatura digital.  

    Portanto a alternativa correta é a letra C



ID
209029
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que concerne a sistemas de chave pública, assinatura e
certificação digital, julgue os itens subsequentes.

Um certificado digital é a chave pública de um usuário assinada por uma autoridade certificadora confiável.

Alternativas
Comentários
  • A função principal do certificado e levar consigo a chave pública de alguém. A entidade certificadora irá garantir que aquela chave realmente pertence à pessoa. Esse é basicamente o procedimento que observamos nos cartórios. Precisamos de um cartório para garantir que a assinatura do documento é realmente de quem diz ser.

  • Acho que a questão deve ser reavaliada. Pois um certificado digital é composto por um par de chaves (Chave Pública e Privada) e a assinatura de uma terceira parte confiável (Autoridade Certificadora – AC).
  • Certificado Digital é em poucas palavras:

    "Uma chave pública que foi assinada digitalmente por uma AC'.

    A AR cria as duas chaves.Posteriormente a  AR envia à AC, que, assina a chave pública do usuario e assina seus dados com sua chave privada(da AC). E esta pronto o tal do certificado...:}
  • Discordo da sentença: "Um certificado digital é a chave pública"

    O verbo SER significa identidade. Penso que o correto seria:

    "Um certificado digital contém a chave pública"

    ou

    "Um certificado digital é um documento eletrônico que contém a chave pública"


    De acordo com o padrão X.509, um certificado digital contém outras informações além da chave pública.
  • Só a chave pública assinada por uma CA não garante autenticidade alguma!
    O certificado deve conter no mínimo um nome ou entidade (subject) atrelado a chave!
  • Senhores a questão está correta.  Gabarito: CERTO


    Segundo Nakamura (2010, p.317), "AS CHAVES PÚBLICAS ASSINADAS DIGITALMENTE POR UMA AUTORIDADE CERTIFICADORA CONFIÁVEL CONSTITUEM, ASSIM, OS CERTIFICADOS DIGITAIS."




    Bibliografia:

    Segurança de Redes em Ambientes Cooperativos
    Editora: Novatec
  • CERTIFICADO DIGITAL:

     

    *Chave pública do proprietário + Assinatura digital da autoridade

     

    *Contém C.I.A

    Confidencialidade

    Integridade

    Autenticidade

     

     

    GAB: C

     

     

  • Sem procurar pelo em casca de ovo! Questão correta!

  • Sem criar pelo em ovo(2), "a chave pública de um usuário precisa ser registrada com uma autoridade de certificação a fim

    de receber um certificado de chave pública X.509".

    Questão correta!!!!

    Fonte:

    [1] Stallings

  • Sem procurar casca em pelo de ovo

  • Lembrar:

    Segundo Nakamura (2010, p.317), "AS CHAVES PÚBLICAS ASSINADAS DIGITALMENTE POR UMA AUTORIDADE CERTIFICADORA CONFIÁVEL CONSTITUEM, ASSIM, OS CERTIFICADOS DIGITAIS.


ID
209032
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que concerne a sistemas de chave pública, assinatura e
certificação digital, julgue os itens subsequentes.

Com o uso de sistemas de chave pública, juntamente com assinatura e certificação digital, consegue-se obter confidencialidade, integridade, autenticidade, não repúdio e disponibilidade.

Alternativas
Comentários
  • tudo correto, exceto pela palavra DISPONIBILIDADE.

  • Sistema de chave pública, consiste em criptografa assimétrica, em que se tem duas chaves - uma pública e outra privada - e usando junto a assinatura e certificado digital é possível obter:

    1. confidencialidade

    2. Integridade

    3. Autenticação

    4. Não repúdio

    Porém, não é garantido a disponibilidade das informações.

  • Não repúdio significa que se eu emito uma mensagem criptografada com minha chave privada e disponibilizo uma chave pública que permite obter essa mensagem então se essa chave pública consegue recuperar a mensagem, nesse caso eu não tenho como dizer que não foi eu quem enviei a mensagem.
  • assinatura digital + certificação digital = confidencialidade + integridade + autenticidade + não repúdio
  • Não tem como os sistemas de chaves públicas, assinatura e certificação digital garantir a DISPONIBILIDADE, pois são proteções lógicas. Logo,o que  garante a DISPONIBILIDADE é a infra estrutura, ou seja, a parte física, tais como configuração de servidor, cluster, alta disponibilidade...
    Alternativa: Errada
  • Galera, tem uns comentários equivocados aqui, Nishimura Neles!!!!!!!!

    Assinatura Digital,

    Garante:
    1 - Autenticidade - Garantia de identidade do usuário
    2 - Integridade - Garantia da não alteração da msg
    3 - Não repúdio - O usuário NÂO pode negar que é autor da mensagem
    Não há que se falar em confiabilidade,onde ocorre na criptografia dos dados, que seguem desvendados pelo e-mail

  • Assinatura e certificado digital não gera disponibilidade


ID
226288
Banca
CESGRANRIO
Órgão
EPE
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Uma empresa deseja disponibilizar, de forma segura, sua Extranet aos seus parceiros. Para tanto, ela decidiu permitir o acesso somente por meio de certificados digitais ICP-Brasil. Com base nessa situação, analise as afirmativas a seguir.

I - O certificado ICP-Brasil de pessoa física pode identificar, em uma conexão HTTPS, o titular do certificado, via Client Authentication.
II - É necessário, para autenticar o usuário, que a empresa armazene, seguramente, a senha associada ao certificado digital de cada parceiro.
III - Caso um usuário perca seu certificado, ele deve, por segurança, solicitar sua revogação.

Está correto o que se afirma em

Alternativas
Comentários
  • http://yross.wordpress.com/2010/09/16/certificacao-digital-lado-do-servidor/
  • O certifcado digital é utilizado para distribuição de chaves públicas, logo ele deve ser público! Resposta que marcaria: letra a.
  • I - O certificado ICP-Brasil de pessoa física pode identificar, em uma conexão HTTPS, o titular do certificado, via Client Authentication.

    OK. Pela chave privada, há garantia de autenticidade;

     

    II - É necessário, para autenticar o usuário, que a empresa armazene, seguramente, a senha associada ao certificado digital de cada parceiro. 

    Errado. Uma das bases para um sistema PKIX é que exista uma AC ou RA que tenha a confiança dos envolvidos na transação, que garanta a autenticidade  do certificado usado.

    III - Caso um usuário perca seu certificado, ele deve, por segurança, solicitar sua revogação.

    OK. O CD revogado é publicado em uma CRL (normalmente na AC) e, via de regra, emite-se um novo CD.
  • Faltou recurso nessa questão. A alternativa III está totalmente absurda!

    III - Caso um usuário perca seu certificado, ele deve, por segurança, solicitar sua revogação.

    Um certificado contém uma CHAVE *PÚBLICA*. Não existe "perder certificado". O certificado É PÚBLICO e, inclusive, está disponível no diretório do CA que o emitiu. O usuário deve solicitar a revogação caso perca A CHAVE PRIVADA, e não o certificado!
  • Concordo com o amigo acima, faltou recurso nessa questão, o gabarito certo é a letra (A)

    Certificado digital é público e so será revogado caso haja suspeita de comprometimento da chave privada, seja por uma invasão sofrida no computador ou pelo surgimento de operações associadas ao uso da chave que não sejam de conhecimento do seu proprietário, a revogação do certificado deve ser solicitada o mais rapidamente possível à AC responsável pela sua emissão. Além disso, é necessário estar alerta às recomendações da DPC quanto aos procedimentos necessários a revogação do certificado.

    Sem mais!
  • Tbm concordo com os argumentos sobre o item III
    Será que o gabarito oficial é esse mesmo?
  • III - Caso um usuário perca seu certificado, ele deve, por segurança, solicitar sua revogação

    Galera um certificado é formada pela chave privado que fica com o proprietario, e a chave publica para a identificação.
    No caso a perca do certificado, está relacionado com a chave privada do usuario, no qual, se alguem deseja mandar um mensagem para ela, basta criptografar com a chave publica do certificado dele, e este descriptogra com a sua chave particular, que deve ser mantida em segurança, e, no caso de perca, de ve solicitar sua revogação. 
  • Nossa, o cidadão Daniel Rocha Gualberto precisa estudar um pouco mais sobre Seg. Inf. Explicaçao completamente sem nexo.
    A assertiva III está incorreta!
  • Pessoal, alguma notícia sobre o posicionamento da Cesgranrio para o tópico III???
  • Discordo dos colegas....

    Um certificado digital (emitido por uma CA)  além da chave publica possui uma série de dados (nr. série, identificação do dono, assinatura da AC emissora etc...) e representa a assinatura digital de seu proprietário, valida inclusive para fins jurídicos.

    Resumindo, em caso de perda (certificados tipo token, cartão...) ou exclusão ( certificados tipo A1) , os mesmos devem ser revogados imediatamente.

    Abaixo algumas referências sobre isso das principais AC's do Brasil.

    https://wwws.prodemge.gov.br/certificacaodigital/atendimento-ao-cliente/contato/sub-duvidas-frequentes/189-o-que-fazer-em-caso-de-perda-do-meu-certificado-digital

    http://www.certisign.com.br/atendimento-suporte/certificado-digital/revogacao

    http://serasa.certificadodigital.com.br/ajuda/revogacao/
  • Certificado digital para mim é como se fosse um documento seu, caso perca, precisa ser cancelado e emitir um outro. Porquê se alguém passar por você e cometer algum tipo de crime com o seu certificado digital e que não seja comunicado as autoridades, você será o responsável. É assim que eu penso.

  • Segundo Stalings "...pode-se desejar, na ocasião, revogar um certificado antes que ele expire, por um dos seguintes motivos:

    1) A chave privada do usuário foi comprometida

    2) O uso não é mais certificado pela CA

    3) O certificado da CA foi considerado comprometido

    Portanto a banca entendeu que a perda do certificado que fala o item III seria correto o pedido de revogação.

  • Cara...eu ate acertei, mas tenho que admitir que esse "perder o certificado" me deixou em duvida se era ou nao casca de banana da banca

    Usuario nao pode perder um Certificado, mas sim sua CHAVE PRIVADA


ID
236767
Banca
CESPE / CEBRASPE
Órgão
ABIN
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere à salvaguarda de dados, informações, documentos
e materiais sigilosos de interesse da segurança da sociedade e do
Estado no âmbito da administração pública federal, julgue os itens
subsequentes.

Os dados e informações sigilosos constantes de documento produzido em meio eletrônico devem ser assinados e criptografados mediante o uso de certificados digitais emitidos pela Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil).

Alternativas
Comentários
  • Essa questão levanta dúvidas. O referido decreto citado pelo colega diz: "Os serviços de certificação digital a serem prestados, credenciados ou contratados pelos órgãos e entidades integrantes da Administração Pública Federal deverão ser providos no âmbito da Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil."
    1- Tecnicamente o certificado não é emitido pela ICP, mas sim por entidades certificadoras, por exemplo Certsign, que estão sim em acordo com a estrutura da ICP-Brasil.
  • Acho muito estranho afirmar que "devem ser assinados e criptografados mediante o uso de certificados digitais", pois a criptografia e a assinatura são feitas por meio dos algoritmos criptográficos, não dos certificados, que são apenas parte da infraestrutura de distribuição das chaves.
  • Gabarito bem errado! O próprio decreto deixa bem claro que ele não obsta outras instituicoes certificadores de emitir o certificado
  • Fiquei com as mesmas dúvidas dos colegas, principalmente por conta do "devem". Porém, ainda sim fui no certo, por se tratar de CESPE, tem horas que dá pra ver que eles querem te induzir ao erro...
  • DECRETO Nº 4.553, DE 27 DE DEZEMBRO DE 2002. ( http://www.planalto.gov.br/ccivil_03/decreto/2002/D4553Compilado.htm )

    Art. 44. Aplicam-se aos programas, aplicativos, sistemas e equipamentos de criptografia todas as medidas de segurança previstas neste Decreto para os documentos sigilosos controlados e os seguintes procedimentos:

    [...]

    Parágrafo único. Os dados e informações sigilosos, constantes de documento produzido em meio eletrônico, serão assinados e criptografados mediante o uso de certificados digitais emitidos pela Infra-Estrutura de Chaves Públicas Brasileira (ICP-Brasil).

    Confesso que também errei a questão.

  • Também achei a questão escorregadia, mas quanto ao certificado, ele é usado, porque se a pessoa não o tiver não consegue fazer o resto  : (

  • A ICP-Brasil não é um órgão físico. Quem dá os Certificados são as Autoridades de Registro, submetidas às suas Autoridades Certificadoras, as quais estão ligadas à Infra-Estrutura de Chave Pública Brasil.Gabarito: ERRADO

  • Prezados,

    Segundo o decreto nº 4.553, de 27 de Dezembro de 2002, art. 44, parágrafo único , temos :

    Parágrafo único. Os dados e informações sigilosos, constantes de documento produzido em meio eletrônico, serão assinados e criptografados mediante o uso de certificados digitais emitidos pela Infra Estrutura de chaves públicas brasileira ( ICP Brasíl )

    Portanto a questão está correta.


    Cumpre destacar que esse decreto foi revogado pelo decreto 7.845 de 14 de Novembro de 2012
  • Gabarito Certo

    Pra mim o gabarito está certo...

    A Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil é uma cadeia hierárquica de confiança que viabiliza a emissão de certificados digitais para identificação virtual do cidadão.

    Observa-se que o modelo adotado pelo Brasil foi o de certificação com raiz única, sendo que o ITI, além de desempenhar o papel de Autoridade Certificadora Raiz – AC-Raiz, também tem o papel de credenciar e descredenciar os demais participantes da cadeia, supervisionar e fazer auditoria dos processos.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Quando se lê a questão e ela sai 'redondinha', é batata que está certa.

  • ICP - BRASIL

    -Modelo Hierárquico: Uma AC não pode certificar outra q não seja imediatamente inferior (hierarquia)
    -AC Raiz no Brasil é o ITI:
     -->É a primeira autoridade da cadeia de certificação;
     -->Executa as Políticas de Certificados e normas técnicas e operacionais aprovadas pelo Comitê Gestor da ICP-Brasil;
     -->Somente a AC Rais pode realizar certificação cruzada com AC raízes em outros países;
     -->emitir, expedir, distribuir, revogar e gerenciar os certificados das autoridades certificadoras DE NÍVEL IMEDIATAMENTE SUBSEQUENTE AO SEU;
     -->encarregada de emitir a lista de certificaados revogados e de fiscalizar e auditar as autoridades certificadoras, autoridades de registro e demais prestadores de serviço habilitados na ICO-Brasil
     

    Fonte: Itnerante

  • Quem assina documento são o par de chaves.


ID
236875
Banca
CESPE / CEBRASPE
Órgão
ABIN
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

O indivíduo X, no Brasil, deseja conectar-se à Internet com
o objetivo, principalmente, de se comunicar por email com um
destinatário específico, Y, que se encontra em um país distante.

Considerando essa situação e os conceitos da área de segurança da
informação, julgue os itens que se seguem.

Se for importante proteger a integridade da mensagem, X e Y devem utilizar um certificado digital em combinação com uma chave privada do destinatário da mensagem.

Alternativas
Comentários
  • O erro da questão está em "em combinação com uma chave privada do destinatário da mensagem". A chave privada NUNCA deverá ser divulgada, sendo a do remetente ou destinatário. Se estivesse escrito "chave pública", a assertiva estaria certa.

  • Com o uso da chave privada ao enviar uma mensagem garante-se a autenticidade do autor da mensagem, já que apenas utilizando a chave pública do autor da mensagem poderá ser decifrada a mensagem. 
  • X = Remetente ( Assinada com chave privada de X) --->-------->---- Mensagem com chave pública do remetente------->-----> Y = Destinatário (Chave pública de X assinada pela Autoridade Certificadora, garantindo-se a autenticidade de X e a integridade dos dados, visto que certificado digital usa Algoritmo de Hash).
  • item INCORRETO

    Observe bem que nessa questão não está falando que o certificado digital possui chave privada  e sim que o certificado deve combinar com uma chave privada, até aqui a questão está correta, o que está errado é quando se afirma que a combinação do certificado é com a chave privada do destinatário que o correto seria  combinar com a chave privada do emissor, ora se o certificado digital é uma forma segura de publicação de minha chave pública, é como se fosse uma identidade digital, em nada tem que combinar com o destinatário.
  • eu marquei errado pois no enunciado disse que ele DEVE utilizar certificado para garantir a INTEGRIDADE, sendo que não obrigatoriamente ele deve utilizar certificado já que existem outros mecanismos, além desse, para garantir a integridade da mensagem.
  • ERRADO.
    Para garantir INTEGRIDADE é necessário a ASSINATURA DIGITAL.
    Além de que o CERTIFICADO DIGITAL utiliza a CHAVE PUBLICA.
  • confidencialidade = emissor utiliza chave publica do receptor
    autenticidade = emissor utiliza chave privada e receptor utiliza chave publica do emissor
    INTEGRIDADE = funções de hash
  • O Certificado Digital por si so ja garante 'autenticidade, confidencialidade e integridade', mas na questão ele quis acrescentar/combinar com uma chave, isso não teria problema, mas nesse caso teria q ser a chave PÚBLICA do destinatário, pois o emissor desconhece a chave privada de outro além dele próprio.
  • Prezados,

    Por si só o mecanismo proposto é errado, visto que o emissor não deve, em tese, ter a chave privada do destinatário.

    Portanto a questão está errada.


  • Para garantir a integridade deve ser utilizado um algoritmo de hash, além disso, não é necessária essa "combinação" citada no texto. 

    Gabarito: E


ID
242890
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Considere que, em determinada empresa, o funcionário Haroldo
precise passar informações confidenciais para o seu chefe, Júlio.
Para maior segurança, os dados são transmitidos criptografados pela
rede da empresa. Rogério, outro funcionário da empresa, está
tentando indevidamente interceptar as informações trocadas entre
Haroldo e Júlio. Com base nessa situação hipotética, julgue os itens
de 87 a 90, acerca de configurações e do emprego dos sistemas de
criptografia.

Considere que Haroldo e Júlio se comuniquem utilizando um sistema de criptografia de chave pública, sem assinatura digital. Nesse caso, se Rogério, passando-se por Haroldo, enviar uma mensagem criptografada para Júlio, este pode não ter como saber que a mensagem não foi enviada por Haroldo.

Alternativas
Comentários
  • Vamos analisar o contexto da questão.

    Criptografia de chave pública: assimétrico

    Comunicação com confidencialidade: criptografar com chave pública do destinátrio.

     

    Portanto, como a chave pública do destinatario (Julio) é de livre acesso a todos, tanto Haroldo quanto Rogério podem criptografar usando tal chave pública de Júlio. O destinatário (Julio) jamais saberá quem criptografou a mensagem. Para ter certeza da origem, o emissor precisará assinar o documento. Para isso basta gerar um HASH do documento e cifra-lo com sua a chave privada. Desta forma o destinatário poderá usar a chave públic do emissor para decifrar o HASH gerado garantindo assim a autenticidade da comunicação.

  • Dentre minhas conclusões pessoais e a exposição do colega, entendo que o gabarito final do Cespe está incorreto. A resposta é "errado" para essa assertiva.

  • Dado que não foi utilizado assinatura digital, Júlio não tem como saber se a mensagem foi realmente enviada por Haroldo.
  • Mesmo havendo uso de assinatura digital no exemplo acima, creio que seja necessário o uso de certificação digital para Júlio garantir que a mensagem foi enviada por Haroldo. Alguém concorda?
  • A assinatura digital garante a origem da mensagem: significa que, sem ela, criptografando-se a mensagem com a Kpub do destinatário, garante-se a confidencialidade da entrega ao destino, mas não a irretratabilidade (não-repúdio ou garantia de origem) do rementente.
  • Essa questão é pegadinha.

    Se Haroldo enviar uma mensagem utilizando chave privada e Júlio abrí-la com a chave pública de Haroldo, ele (Júlio) saberá que foi Haroldo que mandou a mensagem.

    Agora, se Haroldo ou qualquer outra pessoa envia uma mensagem utilizando a chave pública de Júlio, ele nunca saberá quem a enviou.

    Portanto Júlio pode não ter como saber quem enviou a mensagem.
  • Não pode garantir por causa do ataque do man-in-the-middle.

    Se Rogério envia sua chave publica para Júlio dizendo ser Haroldo, e envia sua chave pública para Haroldo, dizendo ser Julio, os dois nunca saberão que não estão conversando entre si.
  • entendo
    mas ja vi varias questoes do cespe no qual é afirmado que o assimétrico garante

    confidencialidade / integridade / irretratabilidade / autenticação


    e o simetrico somente

    confidencialidade / integridade

  • Novamente questao de Portugues disfarçada de questao de TI(ou vice-versa, :).

     

    É de conhecimento comum que a criptografia de chave publica( ou assimetrica ) PODE garantir Confidencialidade, Autenticidade, Integridade e Nao-Repudio. Deixei a palavra PODE em letra maiuscula de proposito, pois o aspecto NAO-REPUDIO, por exemplo, pode estar presente ou não.

     

    Com base nesse entendimento voltamos ao texto da questao. Na parte "...este pode não ter como saber..." indica exatamente a questao de opcionalidade em algum aspecto de seguranca na troca de mensagens, ou mesmo o furto da chave privada do remetente.

     

    Portanto o gabarito dessa questao é CERTO. O destinatario PODE nao saber que a mensagem foi enviada por um remetente ilegitimo.

     

    FFF

  • Joguinho de palavras de negação para tentar confundir o candidato.


ID
242899
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Considere que, em determinada empresa, o funcionário Haroldo
precise passar informações confidenciais para o seu chefe, Júlio.
Para maior segurança, os dados são transmitidos criptografados pela
rede da empresa. Rogério, outro funcionário da empresa, está
tentando indevidamente interceptar as informações trocadas entre
Haroldo e Júlio. Com base nessa situação hipotética, julgue os itens
de 87 a 90, acerca de configurações e do emprego dos sistemas de
criptografia.

Caso Júlio tenha obtido um certificado digital de uma autoridade certificadora, ele deve proteger esse certificado e mantê-lo em sigilo.

Alternativas
Comentários
  • Errado. A idéia é tornar o certificado público. Este certificado leva consigo, além de outras informações, a chave pública de Júlio. O Certificado dá segurança ao emissor de que a chave pública nele contida é de fato pertencente ao destinatário (Julio).

    Portanto, certificados são publicos!

  • Nessa questão é feita referência a certificado digital, mas não é feita referência se o tráfego é feito por http ou mail, logo fica impossível inferir se a banca quer que a questão seja respondida sob a ótica de privado - email ou privado - http, é importante recordar que o certificado privado do email é encaminhado através da internet e que o certificado privado do http deve ser protegido da Internet, na minha humilde opinião o Cespe elaborou pessimamente essa questão.

  • Outra questão muito mal elaborada.... Powered by Cespe!
  • Putz, viagem da galera.
    A questão fala que o certicado foi emitido por uma AUTORIDADE CERTIFICADORA, não há oque se falar em certificados do windows ou de sessões de SSL.
  • Se a questão fizesse referência a "chave privada", estaria correta.
  • ERRADO
    Complemento 

    Segundo Tanenbaum(2011,p.506),"Os certificados em si não são secretos ou protegidos. Por exemplo, Bob poderia decidir colocar seu novo certificado em seu site, com um link na página principal informando: clique aqui para ver meu certificado de chave pública. O clique resultante retornaria o certificado e o bloco de assinatura (o hash SHA-1 assinado do certificado)."

    Portanto, os certificados não são protegidos nem mantidos em sigilo.


    TANENBAUM, A. S.; WETHERALL, D. Redes de Computadores. 5. ed. São Paulo: Pearson, 2011.
  • O certificado digital em si não precisa ser mantido em sigilo, pois vários certificados estão a mostra em diversos sítios pela internet e consigo suas respectivas chaves publicas. Porém a chave privada do par de chaves dos certificados deve sim ser mantida em sigilo, a fim de conferir confidencialidade das informações do usuário.

  • tem que proteger a chave privada.


ID
255841
Banca
FCC
Órgão
TRT - 24ª REGIÃO (MS)
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Consiste em uma chave pública mais um ID de usuário do proprietário da chave, com o bloco inteiro assinado por um terceiro que tenha credibilidade. A definição é de

Alternativas
Comentários
  • Criptografia simétrica A criptografia simétrica é a técnica mais antiga e best-known. Uma chave secreta, que pode ser um número, uma palavra ou apenas uma seqüência de letras aleatórias, é aplicada ao texto de uma mensagem para alterar o conteúdo de uma maneira específica. Isso pode ser tão simples quanto deslocar cada letra por um número de locais no alfabeto. Desde que tanto remetente quanto destinatário saiba a chave secreta, eles podem criptografar e descriptografar todas as mensagens que usam essa chave.

     

    A criptografia de chave pública ou criptografia assimétrica é um método de criptografia que utiliza um par de chaves: uma chave pública e uma chave privada. A chave pública é distribuída livremente para todos os correspondentes via e-mail ou outras formas, enquanto a chave privada deve ser conhecida apenas pelo seu dono.   Num algoritmo de criptografia assimétrica, uma mensagem cifrada com a chave pública pode somente ser decifrada pela sua chave privada correspondente.   Os algoritmos de chave pública podem ser utilizados para autenticidade e confidencialidade. Para confidencialidade, a chave pública é usada para cifrar mensagens, com isso apenas o dono da chave privada pode decifrá-la. Para autenticidade, a chave privada é usada para cifrar mensagens, com isso garante-se que apenas o dono da chave privada poderia ter cifrado a mensagem que foi decifrada com a 'chave pública'.Autoridade Certificadora (AC) é a entidade responsável por emitir certificados digitais. Estes certificados podem ser emitidos para diversos tipos de entidades, tais como: pessoa, computador, departamento de uma instituição, instituição, etc.  

    Os certificados digitais possuem uma forma de assinatura eletrônica da AC que o emitiu. Graças à sua idoneidade, a AC é normalmente reconhecida por todos como confiável, fazendo o papel de "Cartório Eletrônico".

  • alguém poderia explicar a "e" por gentileza?

  • Um certificado digital (no modelo convencional) nada mais é do que um documento que contém, na essência, dados sobre ID, sua chave pública P, dados sobre a autoridade AC, além de uma assinatura digital de AC que assegura a validade dos dados

    do certificado. Portanto, a assinatura no certificado é uma garantia de que a chave P

    está associada comID. Podemos interpretar essa assinatura como uma função que tem na

    entrada a chave pública P, a identidade ID e a chave secreta da autoridade AC.


    http://dainf.ct.utfpr.edu.br/~maziero/lib/exe/fetch.php/ceseg:2009-sbseg-mc2.pdf

    http://publib.boulder.ibm.com/tividd/td/TRM/GC32-1323-00/pt_BR/HTML/admin230.htm


ID
260854
Banca
FCC
Órgão
TRF - 1ª REGIÃO
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Sustentando a certificação digital existe toda uma cadeia que envolve políticas de uso, procedimentos, mecanismos de segurança e entidades que seguem diretrizes e normas técnicas determinadas por uma entidade ou comitê gestor.
Essa cadeia chama-se

Alternativas
Comentários
  • Sabem o que foi a Medida Provisória 2.200? Então informe-se. Já vi cobrar isso algumas vezes. Vejam um breve resumo:

    Garantiu a validade jurídica de documentos eletrônicos e a utilização de certificados digitais para validar sua autenticidade e integridade. Para tanto ela instituiu a Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil, definiu sua estrutura (“será composta por uma autoridade gestora de políticas e pela cadeia de autoridades certificadoras composta pela Autoridade Certificadora Raiz - AC Raiz, pelas Autoridades Certificadoras - AC e pelas Autoridades de Registro – AR”), criou sua autoridade gestora de políticas (“Gestor da ICP-Brasil, vinculado à Casa Civil da Presidência da República”) e definiu suas atribuições. Em resumo: estabeleceu todo um sistema legal para validar documentos eletrônicos através de assinaturas digitais.

    http://www.trt02.gov.br/geral/tribunal2/legis/MPV/2200_01.html
  • pki? errei por causa dessa sigla a ICP tb conhecida como pki?


  • Gabarito E

    Uma Infraestrutura de Chaves Públicas, cuja sigla é ICP, é um órgão ou iniciativa pública ou privada que tem como objetivo manter uma estrutura de emissão de chaves públicas, baseando-se no princípio da terceira parte confiável, oferecendo uma mediação de credibilidade e confiança em transações entre partes que utilizam certificados digitais. A principal função do ICP é definir um conjunto de técnicas, práticas e procedimentos a serem adotados pelas entidades a fim de estabelecer um sistema de certificação digital baseado em chave pública. A infra-estrutura de chaves públicas do Brasil, definida pela Medida Provisória Nº 2.200-2, de 24 de Agosto de 2001, é denominada Infra-Estrutura de Chaves Públicas Brasileira, ou ICP-Brasil.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • PKI - Public Key Infraestructure = ICP - Infraestrutura de Chaves Públicas.


ID
266779
Banca
CESPE / CEBRASPE
Órgão
PC-ES
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação aos conceitos de segurança da informação e
criptografia, julgue os itens subsequentes.

Ter um certificado digital é condição necessária para que um documento seja considerado assinado digitalmente.

Alternativas
Comentários
  • Uma assinatura digital é diferente do certificado digital.

    O certificado digital poderá conter uma ou mais assinaturas digitais.
  • Um certificado digital é um arquivo de computador que contém um conjunto de informações referentes a entidade para o qual o certificado foi emitido (seja uma empresa, pessoa física ou computador) mais a chave pública referente a chave privada que se acredita ser de posse unicamente da entidade especificada no certificado. Fonte: wikipedia

    A assinatura digital depende da chave privada, que não está inclusa no certificado digital. Portanto, item Errado
  • ERRADO.

    Amigos é ao contrário.

    "Ter uma assinatura digital é condição necessária para que uma chave pública seja assinada digitalmente formando um certificado digital."

    Segundo Nakamura(2010,p.317),"As chaves públicas assinadas digitalmente por uma autoridade certificadora confiável constituem,assim, os certificados digitais."

    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA -2010



  • O HTTP tem razão, tanto que essa definição já foi até cobrada em prova:

    _

    Ano: 2010 | Banca: CESPE | Órgão: Banco da Amazônia | Prova: Técnico Científico - Tecnologia da Informação

    No que concerne a sistemas de chave pública, assinatura e certificação digital, julgue os itens subsequentes.

    Um certificado digital é a chave pública de um usuário assinada por uma autoridade certificadora confiável.

    CERTO

  • GABARITO: ERRADO

    Para realizar uma assinatura digital, o assinante deve ter um certificado digital.

    Certificado digital: funciona como um CPF, para provar sua autoria. No entanto o documento tem que ser assinado rsrs

    "Se não puder se destacar pelo talento, vença pelo esforço"

  • Ter uma caneta não é o suficiente para assinar algo, tenho que segurá-la e escrever.

  • Lembrar: Segundo Nakamura(2010,p.317),"As chaves públicas assinadas digitalmente por uma autoridade certificadora confiável constituem,assim, os certificados digitais."

  • GABARITO: ERRADO

    Utiliza o raciocínio lógico para a questão.

    Se tenho um documento assinado digitalmente, então tenho um certificado digital.

    Ter um documento assinado digitalmente, o qual é diferente de assinatura digital, quer dizer que tenho um documento com minha assinatura manuscrita, portanto não possuo os princípios da segurança da informação instaurados em meu documento e muito menos certificado digitalmente.

    Se tenho um documento assinado digitalmente (V), então tenho um certificado digital (F) = FALSO.


ID
285994
Banca
FUNIVERSA
Órgão
SEPLAG-DF
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Certificado Digital é um documento eletrônico que possibilita comprovar a identidade de uma pessoa, uma empresa ou um computador. Ele serve, entre outras coisas, para assegurar a troca eletrônica de mensagens e documentos, com garantia de sua procedência. Acerca dos certificados digitais, assinale a alternativa correta.

Alternativas

ID
308752
Banca
CESPE / CEBRASPE
Órgão
TJ-ES
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens que se seguem, relativos a segurança no âmbito das
tecnologias da informação (TIs).

Uma vez emitidos, os certificados digitais não precisam ser renovados para assegurar o acesso ao ambiente computacional aos usuários que os possuam.

Alternativas
Comentários
  • Os certificados digitais possuem uma data de validade e quando esta expira o certficado deverá ser renovado...
  • ERRADO.


    Segundo a ICP Brasil:


    " O certificado digital, diferentemente dos documentos utilizados usualmente para identificação pessoal como CPF e RG, possui um período de validade. Só é possível assinar um documento enquanto o certificado é válido. É possível, no entanto, conferir as assinaturas realizadas mesmo após o certificado expirar. "



    Fonte:
    http://www.iti.gov.br/twiki/pub/Certificacao/CartilhasCd/brochura01.pdf
    Acessado em 25/06/2012 14:33h.
  • Tipos de Certificados Digitais e Validade

    A1/S1 - 1 ano

    A2/S2 - 2 anos

    A3/S3 - 3 anos

    A4/S4 - 3 anos
  • ERRADO

    Precisam ser renovados sim, possuem data de validade.


ID
320452
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de certificação digital, assinale a opção correta.

Alternativas
Comentários
  • Assinatura digital visa garantir: AutenticidadeIrretrabilidade (Não repúdio) e a Integridade da mensagem.

     

    Bons estudos!


ID
320845
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à assinatura e certificação digitais, é correto afirmar que

Alternativas
Comentários
  • a) uma assinatura digital confere apenas autenticidade a uma mensagem.

    Assinatura digital garante integridade,autenticidade e não-repudio.


    b) uma assinatura digital, que é apensa a uma mensagem, consiste na cifração do seu hash usando a chave pública(privada) do autor.

    c) se uma mensagem é cifrada duas vezes seguidas, usando a chave privada do remetente na primeira e a pública do destinatário na segunda, garante-se que a mensagem de fato partiu do remetente e que só será aberta pelo destinatário.

    CERTA

    d) se uma mensagem é cifrada duas vezes seguidas, usando a chave pública do destinatário na primeira e a pública do remetente(PRIVADA) na segunda, garante-se que a mensagem de fato partiu do remetente e que só será aberta pelo destinatário.

    USANDO A CHAVE PÚBLICA DO DESTINATARIO GARANTE QUE SÓ SERÁ ABERTA POR ELE(CONFIDENCIALIDADE)

    e) se uma mensagem é cifrada duas vezes seguidas, usando a chave pública do remetente(PRIVADA) na primeira e a pública do destinatário na segunda, garante-se que a mensagem de fato partiu do remetente e que só será aberta pelo destinatário.

  • c) se uma mensagem é cifrada duas vezes seguidas, usando a chave privada do remetente na primeira e a pública do destinatário na segunda, garante-se que a mensagem de fato partiu do remetente e que só será aberta pelo destinatário.


    • a chave privada do remetente na primeira: Com isso vc assina a mensagem

    • a chave privada do remetente na primeira:  cifra a mensagem usando a chave pública do destinatário, fazendo com que apenas ele seja capaz de abrir a mensagem.

ID
321235
Banca
CESPE / CEBRASPE
Órgão
Correios
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens seguintes, a respeito de certificação digital e assinatura digital.

Para conferir a autenticidade de um certificado digital, é necessário utilizar o certificado digital da autoridade certificadora que o emitiu. Esse certificado pode ser emitido por outra autoridade certificadora ou pode ser autoassinado.

Alternativas
Comentários
  • Achei a questão estranha, na seguinte afirmação:

    "é necessário utilizar o certificado digital da autoridade certificadora que o emitiu".

    Esse certificado digital não é do remetente? Acho que só ficaria certo caso fosse trocado "certificado digital" por "chave pública".

    Bons estudos.
  • Esta certo sim. Pois ele vai conferir autenticidade de um certificado digital, e não de um documento que ele vai enviar. Então se eu quero saber se um certificado digital é autentico devo utilizar o certificado digital da autoridade que o emitiu.
  • Além disso o certificado digital da CA pode ser autoassinado;
  • A autenticidade de um certificado é verificada pela validação da assinatura da autoridade certificadora (AC) que o emitiu. Como em qualquer assinatura digital, isso é realizado com o emprego da chave pública da AC emissora, que é obtida a partir do certificado dela própria. Se ela for uma AC raiz, seu certificado é autoassinado

    (SHIREY, 2007, p. 255).

    Fonte: Tecnologia da Informação / Questões Comentadas / Cespe/UnB
    Gledson Pompeu
  • Pessoal, a questão está correta. Mas, a "real" é a seguinte:

    1) "Para conferir a autenticidade de um certificado digital, é necessário utilizar o certificado digital da autoridade certificadora que o emitiu".

    Sim. Vamos lá! Como se faz para garantir a autenticidade de uma pessoa ou entidade? Através do processo de Certificação Digital, que é emitido por uma AC (Autoridade Certificadora). Nesse Certificado Digital terá, dentre outras informações, a assinatura digital da AC que emitiu o certificado. Porém, como garantir que essa assinatura é válida, como garantir que essa AC é quem realmente diz ser? Simples, uma AC de nível acima da dela emite um segundo Certificado Digital assegurando que ela é a AC que diz ser

    2) "Esse certificado pode ser emitido por outra autoridade certificadora ou pode ser autoassinado"

    Também está certo. Vejamos:
    Como, diante do que foi posto acima, quem garante a autenticidade de uma AC é a AC de nível imeditatamente superior a primeira, tem um ponto que chega-se a AC Raiz, que no Brasil é a ITI (Instituto Nacional de Tecnologia da Informação). O agora quem irá emitir o Certificado Digital assegurando a autenticidade da AC-Raiz? Simples, nesse caso, esse Certificado Digital será autoassinado!

    Espero ter ajudado!
  • Então  Sergio Maia Raulino, como podemos saber que ITI foi a última a dar o "ok" e confiarmos no certificado??
      
  • Para auxiliar os colegas:

    O que contém um certificado digital:

    - chave publica do dono do certificado (a privada nunca, pois certificado digital é um documento público)

    - Dados do titular (nome e e_mail por exemplo)

    - Período de validade do certificado (que pode ser de 1 a 3 anos no máximo)

    - Nome da AC que o emitiu

    - Assinatura da AC que o emitiu (só terá validade jurídica o certificado digital de alguém quando assinado por uma AC)

    - O nº de série do certificado

    Falando agora da assinatura digital da AC que o emitiu: para conferir um certificado digital de uma pessoa A (se é verdadeiro ou não) , veremos que a AC Caixa Econômica Federal (peguei essa AC como exemplo) o assinou, mas temos que conferir a assinatura da AC Caixa Econômica e comparar com a assinatura que tem no certificado da pessoa A e conferir se são iguais. A assinatura digital da AC Caixa Econômica está no certificado dela (da AC Caixa Econômica), então temos que comparar ambos os certificados (o da pessoa A e o da AC Caixa Econômica) para ver se é a mesma assinatura.

    É parecido com o que se faz quando comparam nossa assinatura num cheque e no nosso documento de identidade.

    Espero ter ajudado amigos, e seguimos na luta...

     

  • SEMPRE erro essa questão

     

    esse autoassinado aí me quebra!!

  • Eu também vi o "autoassinado" e fui seco marcando E.

  • "é necessário utilizar o certificado digital da autoridade certificadora que o emitiu".
    Tb acho que está errado, uma vez que só precisamos saber a chave pública da AC para decriptografarmos o Certificado Digital que ela assinou com sua chave privada da entidade requisitante, e não o Certificado Todo!

  • Em momento algum da questão é especificado que o Certificado Digital pertence à alguma AC, podendo ser portanto o do usuário, como é mais comumente o caso. Sendo assim, o Certificado Digital será assinado por uma das ACs ligadas à AR à qual o usuário se identificou e fez a requisição!

  •  certificadora autoassinado é comum em sites do governo.

  • : Certificado autoassinado: é aquele no qual o dono e o emissor são a mesma entidade. A questão está certa

    Hachid Targino

  • PRA QUE SERVE O AUTOASSINADO? Q DESGRAÇA!

  • "é necessário utilizar o certificado digital da autoridade certificadora que o emitiu".

    Acredito que esteja certo, pois, quando você descriptografa, com a chave pública da AC, ela pode mandar um certificado digital junto, (que pode ser assinado por outra AC ou por ela mesma). Ela manda, justamente, para você confiar naquela chave pública e descriptografar o hash do certificado que você quer conferir a autenticidade.


ID
321238
Banca
CESPE / CEBRASPE
Órgão
Correios
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens seguintes, a respeito de certificação digital e assinatura digital.

Para assinar digitalmente um documento eletrônico, um usuário deve utilizar a chave que consta no seu certificado digital.

Alternativas
Comentários
  • Errado.

    A chave que consta no certificado digital é a sua chave pública. Para assinar digitalmente um documento é necessário utilizar a sua chave privada que está guardada no seu computador ou no seu token, dependendo do tipo de certificado que você utilizar.
  • Para assinar digitalmente a mensagem usa-se a CHAVE PRIVADA do emissor. No certificado digital consta a CHAVE PÚBLICA. Vale lembrar que a CHAVE PÚBLICA(contida no Certificado Digital) é usada na desencriptação da mensagem na hora do recebimento pelo receptor.
    Veja o funcionamento da Assinatura digital que poderá entender melhor.

    Abraço e bons estudos
    Marcelo
  • o certificado digital tem os mesmos princípios de autenticação e manutenção da integridade de uma determinada mensagem ou documento, mas alarga o conceito de assinatura digital, envolvendo uma entidade certificadora que garante perante terceiros a identificação de um indivíduo ou empresa. 
    Essa Autoridade Certificadora emite os certificados digitais que contêm uma assinatura digital e ainda a chave pública para se poder decifrar os documentos
  • Assinatura digital é uma coisa e certificado digital é outra.

  • Para assinar digitalmente um documento eletrônico, um usuário deve utilizar a chave (PRIVADA) que pode estar em um token, smart -card...

     

    o que consta no Certificado Digital é a chave pública do remetente 

  • se ele assinar com a chave que se encontra no certificado (chave pública), só vai dar pra conferir a autenticidade do documento caso o emissor tenha a chave privada

  • Chave PúbliCa = Confere assinatura

     

    Chave PrivAdA = AssinA

     

     

    GAB: ERRADO


ID
332851
Banca
CESPE / CEBRASPE
Órgão
Correios
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação às características e funções básicas de um sistema operacional, julgue os itens seguintes.

Com relação a certificação digital e infraestrutura de chaves públicas, julgue os itens que se seguem.

Para se garantir o tráfego seguro e criptografado na autenticação entre o usuário e um servidor que disponibiliza determinado serviço na Internet, pode-se utilizar certificado digital, que é validado por uma autoridade certificadora e utiliza o protocolo HTTPS.

Alternativas
Comentários
  • Acho que a questão está com um erro de português que pode confundir.
    Pelo escrito, o protocolo HTTPS é utilizado no certificado digital.
    Mas na verdade, creio que o examinador tentou falar que é usado no tráfego entre o usuário e o servidor.
    Se estivesse escrito assim, não restaria nenhuma dúvida:
    "Para se garantir o tráfego seguro e criptografado na autenticação entre o usuário e um servidor que disponibiliza determinado serviço na Internet, pode-se utilizar certificado digital, que é validado por uma autoridade certificadora,(vírgula aqui) e utilizaR o protocolo HTTPS."
  • Questão muito mal elaborada.
  • Ainda acho que a questão está errada por conta do português. Se colocar a assertativa em ordem correta, fica: "Pode-se utilizar certificado digital para se garantir o tráfego seguro e criptografado na autenticação entre o usuário e um servidor que disponibiliza determinado serviço na Internet, que é validado por uma autoridade certificadora e utiliza o protocolo HTTPS."

    O certificado digital não garante tráfego seguro e criptografado.
  • Do jeito que a questão está parece que o certificado digital utiliza o protocolo HTTPS (HTTP + SSL/TLS), o que seria errado. Redação ruim.


ID
334768
Banca
FCC
Órgão
TRT - 14ª Região (RO e AC)
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

São itens associados à certificação digital, EXCETO:

Alternativas
Comentários
  •  A letra "e" é a alternativa errada, pois na criptografia simétrica não existe a ideia de chave pública e privada, característica da certificação digital.
  • Rafael, concordo que é a Letra A, mas não pelo:

    "Esse hash, ela usa um algoritmo md5, que é de criptografia simétrica!"

    MD5 é Hash, a diferença entre Hash e Criptografia simétrica é que a primeira é unidirecional (A mensagem origenal não a ser o que era antes), já a criptografia simétrica (A mensagem é criptografada e volta a ser o que era antes).
  • Pessoal, garante privacidade no sentido de apenas o receptor poder ler a mensagem. Certificação digital não utiliza criptografia simétrica. 

    Nessas bancas você tem que marcar a mais errada... 
  • Complementando:
    6.1.6. Geração de parâmetros de chaves assimétricas
    A PC (Políticas de Certificado) deve prever que os parâmetros de geração de chaves assimétricas das entidades titulares de certificados adotarão o padrão estabelecido
    no documento PADRÕES E ALGORITMOS CRIPTOGRÁFICOS DA ICP-BRASIL [1]

    REQUISITOS MÍNIMOS PARA AS POLÍTICAS DE CERTIFICADO NA ICP-BRASIL, versão 5.1, 27 de setembro de 2012

    Já não dá pra dizer que não está associado...
    Pra mim, a 'menos errada' é a A, pois apesar do certificado digital fornecer a chave pública para comunicação com criptografia assimétrica (para fornecer a privacidade), a idéia do certificado digital é disponibilizar a chave para quem a solicitar, portanto, ela vai ao contrário do princípio de privacidade sobre o ponbto de vista exclusivo de certificado digital.
  • LETRA E.

    Segundo Nakamura(2010,p.303),"Os algoritmos de chave simétrica têm como característica a rapidez na execução, porém eles não permitem a assinatura e certificação digitais."

    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA-2010

  • Ta explicado a "logica" dessa questao ( comentario anterior). De qualquer maneira acho mal formulada ja que eh sabido que o certificado digital nao garante privacidade. Pois o que eh criptografado eh a assinatura e a mensagem eh enviada "as claras".

  • Embora a alternativa E, trazida pela banca, de fato não estar associado à certificação digital (certificação digital não utiliza criptografia simétrica, também a alternativa A satisfaz a questão, por também estar errada.

    A certificação digital não visa e não trabalha com a privacidade das informações. Com a certificação digital é garantida a autenticidade do remetente e a irretatabilidade, uma vez que a garantia da identidade do remetente é feita de modo que não pode haver a negação da emissão da mensagem.

    Em nada a certificação digital se relaciona com privacidade, visto que não ocorre a criptografia da mensagem.

     

    Errou a FCC ao não anular a questão, por ter 2 respostas que satisfazem ao enunciado.


ID
339970
Banca
COSEAC
Órgão
DATAPREV
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

As assinaturas digitais não garantem totalmente a confaibilidade, e sofrem o mesmo problema, com relação à autenticidade, das criptografias assimétricas (chaves públicas). Para suprir essa deficiência, aumentando o nível de garantias, é necessária a utilização de:

Alternativas
Comentários
  • Gabarito A

    Um certificado digital é um arquivo de computador que contém um conjunto de informações referentes à entidade para a qual o certificado foi emitido (seja uma empresa, pessoa física ou computador) mais a chave pública referente à chave privada que se acredita ser de posse unicamente da entidade especificada no certificado.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !


ID
341380
Banca
CESPE / CEBRASPE
Órgão
DATAPREV
Ano
2006
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens seguintes, no que se refere a VPNs e certificação digital.
Os certificados digitais utilizam-se de criptografia assimétrica e das funções de resumo criptográfico (funções de hash).

Alternativas
Comentários
  • A questão está correta, pois certificados digitais só podem ser obtidas com o uso da infraestrutura de chaves públicas, ou seja, da criptografia assimétrica, e funções de resumo critográfico (funções de hash: que é um algoritmo matemático que utilza um texto de um documento eletrônco para gerar um resumo da mensagem) 
    FONTE:   COSTA;Renato, ÁQUILA;Robson - 
    NFORMÁTICA PARA CONCURSOS, 2010, 2.ED, Niterói, RJ,pg. 316,317
  • CERTO.  Certificados digitais tipicamente usam o padrão X.509.

    Segundo Stallings(2008,p.302),"O X.509 é baseado no uso da criptografia de chave pública e assinaturas digitais. (...) Presume-se que o esquema de assinatura digital exija o uso de uma função hash."

    Bibliografia:
    CRIPTOGRAFIA E SEGURANÇA DE REDES-WILLIAM STALLINGS-2008-4 EDIÇÃO.
  • O certificado digital precisa de uma assinatura digital. Esta última é baseada em chave assimétrica e algoritmo hash.

    Portanto, assertiva CORRETA.


ID
348436
Banca
FUNCAB
Órgão
SEMARH-GO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre termos e definições de Segurança da Informação é correto afirmar que:

Alternativas
Comentários
  • Gabarito: Letra D.

    Autenticação é o processo de validação das credenciais de uma pessoa, processo computacional ou dispositivo e requer que a pessoa, o processo ou o dispositivo que fez a solicitação forneça uma representação de credenciais que comprove sua identidade.


ID
480094
Banca
FCC
Órgão
INFRAERO
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Ao gerar o par de chaves criptográficas para o certificado digital, a Autoridade de Registro

Alternativas
Comentários
  • Um Certificado Digital normalmente apresenta as seguintes informações:

    - nome da pessoa ou entidade a ser associada à chave pública
    - período de validade do certificado
    chave pública
    - nome e assinatura da entidade que assinou o certificado
    - número de série.
     
    Fonte: http://www.iti.gov.br/twiki/pub/Certificacao/CartilhasCd/brochura01.pdf
  • Armazena a chave pública, pois vocês usa a sua chave privada para certificar digitalmente e é feita a consulta através da chave pública que fica com a Autoridade de Registro.

  • Eu acho que essa questão deveria ser anulada, pois:

    - A autoridade de registro faz o "cara-crachá", apenas recebe a
    documentação e verifica se o solicitante do certificado é quem ele diz
    ser.
    - A geração de chaves é atribuição da AC (Autoridade Certificadora)
    que, inclusive, realiza a recuperação do par de chaves.

    Então, observo 2 incorreções nessa questão:

    1º Quem gera o par de chaves é a AC.
    2º Se a AC é quem gera e realiza a recuperação do PAR de chaves,
    pode-se chegar à dedução de que ele armazena a CHAVE PÚBLICA e a
    PRIVADA.

    Portanto, essa questão está no mínimo mal-formulada. Alguém concorda?
  • FCC sempre fazendo um péssimo trabalho!!! Quanta incompetencia para uma empresa de concursos
  • Acho válido reclamar quando há alguma coisa errada, mas só reclamar sem comentar e acrescentar não adianta de nada! Pelo que pesquisei realmente a AR não gera as chaves nem emite o certificado, ela é uma ponte de contato apenas. Quanto a AC ficar com a chave privada isso não está correto como comentado aqui, segue texto do site da ITI:


    "A MP 2.200-2 determina que o par de chaves criptográficas seja gerado sempre pelo próprio titular e que a sua chave privada de assinatura seja de seu exclusivo controle, uso e conhecimento."


    http://www.iti.gov.br/perguntas-frequentes/1745-autoridades-certificadoras-ac-e-autoridades-de-registros-ar


  • AR - Confere os dados, recebe a solicitação e a encaminha para a AC. Basicamente são essas as funções da AR. Só que na prática, uma AR pode estar FISICAMENTE vinculada a uma AC (a Certising faz isso) ela mesma te cadastra e gera o par de chaves. A sua chave privada fica gravada num pen-drive e lhe entregue protegida com uma senha que vc criou. A sua chave pública é armazenada num banco de chaves para qualquer um conferir.

    Fonte : ITI

    http://www.iti.gov.br/certificacao-digital/autoridades-de-registro

  • A autoridade de registro não armazena nd. Quem faz isso é a autoridade certificadora.

  • Fiquei confusa. Afinal a AC armazena ou não?

  • Armazena a chave pública e pode também armazenar a privada para ficar no servidor de recuperação de chaves.


ID
582754
Banca
FCC
Órgão
TRT - 19ª Região (AL)
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre a chave pública do titular do documento de um certificado digital pode-se afirmar:

Alternativas
Comentários
  • a) Uma mensagem assinada digitalmente é criptografada com a chave pública do emissor antes de ser enviada.
       Errado! Pra ASSINAR digitalmente usamos a chave PRIVADA. O destinatário, com a chave PÚBLICA do emissor em mãos pode descriptografar a mensagem, e com isso confirmar a autenticidade do emissor.

    b) Somente quem recebe uma mensagem assinada deve conhecer.
      Errado. O enunciado fala sobre chave PÚBLICA, e como o próprio nome diz, a chave é de acesso irrestrito (pública).

    c) É utilizada apenas na criptografia simétrica, no processo de certificação digital.
      Errado! A criptografia SIMÉTRICA usa uma única chave (não existe conceito de chave pública/privada).

    d) Somente seu dono deve conhecer.
      Errado! Mesmo problema da alternativa B. A chave é pública, é aberto pra todos.

    e) Quando o destinatário recebe um documento assinado digitalmente, ele utiliza a chave pública do emissor para decifrá-la.
      Correto! O destinatário utiliza a chave pública para decifrá-la, e com isso garante a autenticidade do emissor (assinatura).
  • Isso. E adicionalmente, uma entidade certificadora garante que um chave pública é de quem diz ser.

    No brasil a infraestrutura de chave pública está organizada da seguinte maneira.



    As ACs identificam os usuários e conferem os dados do usuário para emitirem os certificados. 
     
    As Autoridades de Registro atuam apenas como redistribuidoras dos certificados digitais.
     
    Qualquer cidadão, empresa ou entidade pode requerer um certificado.
     
    Qualquer mídia segura serve para armazenar o certificado. 

    Essa foi até uma questão que caiu nessa prova de técnico do TRT-AL
  • Alternativa E.

    Porém, não é necessário criptografar uma mensagem para ser enviada com assinatura digital. A regra é que o amissor  criptografe o hash gerado com a sua chave privada e, assim, o receptor pode descriptografar o hash com a chave pública daquele, e não a mensagem.

  • Sobre a chave pública do titular do documento de um certificado digital pode-se afirmar:
     
     a) Uma mensagem assinada digitalmente é criptografada com a chave pública do emissor antes de ser enviada.
     
    ERRADO: Uma mensagem assinada digitalmente é criptografada com a chave privada do remetente antes de ser enviada, utilizando-se uma função hash para gerar o resumo da mensagem que garante a integridade e o não-repúdio.
     
     b) Somente quem recebe uma mensagem assinada deve conhecer.
     
    ERRADO: Todos devem ter acesso à chave pública do certificado digital.
     
     c) É utilizada apenas na criptografia simétrica, no processo de certificação digital.
     
    ERRADO: certificação digital utiliza o conceito de CRIPTOGRAFIA ASSIMÉTRICA.
     
     d) Somente seu dono deve conhecer.
     
    ERRADO: Todos devem ter acesso à chave pública do certificado digital.
     
     e) Quando o destinatário recebe um documento assinado digitalmente, ele utiliza a chave pública do emissor para decifrá-la.
     
    CERTO: GABARITO.

ID
582757
Banca
FCC
Órgão
TRT - 19ª Região (AL)
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Na estrutura I , a II , é composta por entidades vinculadas operacionalmente a uma determinada III. Sua função é identificar e cadastrar os usuários, em postos de atendimento a que os mesmos possam comparecer e, a partir daí, encaminhar as solicitações de certificados digitais para uma IV .

As lacunas I, II, III e IV são completadas correta e respectivamente por

Alternativas
Comentários
  • Questão formulada apartir da MP 2.200:

    Art. 9º Às AR, entidades operacionalmente vinculadas a determinada AC, compete identificar e cadastrar usuários, encaminhar solicitações de certificados às AC e manter registros de suas operações.

    Fonte: http://www3.dataprev.gov.br/sislex/paginas/45/2001/2200.htm
  • ALTERNATIVA CORRETA: LETRA B

    A estrutura ICP Brasil é escalonada da seguinte maneira

    TOPO: Autoridade Certificadora Raiz
    2º NÍVEL: Autoridade Certificadora
    3º NÍVEL: Autoridade de Registro


    A autoridade de registro é quem está perto da pessoa que deseja obter um certificado digital, atendendo-a diretamente. Por exemplo, se desejo um certificado digital junto à Caixa Econômica Federal, procuro uma de suas agências que preste esse tipo de serviço, essa agência será a autoridade de registro, enquanto a verdadeira emissora do certificado é a instituição Caixa Econômica a nível federal (autoridade certificadora), que busca o certificado junto à autoridade certificadora raiz. A raiz jamais pode atender o cliente diretamente, pois isso lhe é vedado.

ID
617506
Banca
CESGRANRIO
Órgão
FINEP
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Um certificado de chave pública (certificado digital) é um conjunto de dados à prova de falsificação e que atesta a associação de uma chave pública a um usuário final. Essa associação é garantida pela Autoridade Certificadora (AC) que emite o certificado digital após a confirmação da identidade do usuário.
Com relação ao certificado emitido por uma AC, sua integridade e autenticidade são conferidas APENAS de posse da

Alternativas
Comentários
  • Assinatura digital (garantindo a integridade)  presente no certificado e da chave pública da AC (garantindo a autenticidade - Quando se envia a mensagem com a chave pública, somente a chave privada pode descriptografar a mensagem)
  • Pra mim é a letra A
    não vi em lugar algum que certificado contém a chave pública da AC.

    AC usa sua chave privada para fazer a criptografia do resumo

    http://pt.wikipedia.org/wiki/Certificado_digital
    http://en.wikipedia.org/wiki/X.509
  • Concordo com o colega Raphael, primeiro é aplicado um HASH  dos dados do dono do certificado + extensões + chave publica do dono do certificado, após isso o Hash é cifrado com a chave privada da CA e com isso temos a Assinatura digital.
    Por isso fui na A.  
  • "Com relação ao certificado emitido por uma AC, sua integridade e autenticidade são CONFERIDAS APENAS de posse da"

    Atenção para o enunciado da questão, que quer saber o que é necessário para que sejam CONFERIDAS A INTEGRIDADE E A AUTENTICIDADE de um certificado emitido pela CA, e não o que deve conter um certificado emitido por uma CA.

    Certificado contém a assinatura digital
    Certificado tem sua integridade e autenticidade conferidas através da assinatura digital e da chave pública da CA 
  • O Certificado Digital será assinado digitalmente pela própria AC que o emitiu, fazendo uso de sua CHAVE PRIVADA. A questão pede APENAS o que deve ser usado para CONFERIR a autenticidade/integridade dessa assinatura digital. Ora, se a própria AC já assinou, basta o uso da Chave Pública da AC para fins de conferência. Letra B


ID
629008
Banca
FCC
Órgão
INFRAERO
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

NÃO é uma atribuição da Autoridade Certificadora:

Alternativas
Comentários
  • Letra C.
    A identificação de usuários é responsabilidade do provedor de acesso, que deve submeter as informações a quem solicitar, pelos mecanismos legais.
  • Houve uma certa confusão pelo colega acima.

    O item C fala em duas coisas: 

    1- Identificação dos usuários: é o procedimento que a AC faz para conferir que o dono da chave é a pessoa que diz ser. Normalmente é um procedimento parecido ao que se faz num cartório, em que vc leva seu documento, o cartorário confere que vc é vc e diz que aquela assinatura é sua.

    2- Solicitação do certificado ao Comitê Gestor da ICP: esse passo não existe porque a própria CA tem autoridade para emitir o certificado após conferir as credenciais do usuário.

    A identificação do usuário é então atribuicão da AC mas não existe o passo 2.
  • A identificação dos usuários e a submissão da solicitação são funções das Autoridades de Registro (AR), responsáveis por fazer a ponte entre o usuário e a Autoridade Certificadora (AC).

    Fonte: http://www.gta.ufrj.br/grad/07_2/delio/AutoridadedeRegistro.html
  • Acredito que o comentário de E d d i e responde e exclarece as dúvidas referentes à questão, visto que demonstra a diferença entre uma Autoridade de Registro e uma Autoridade Certificadora., destacando como uma das funções, a responsabilidade de interface c/ o usuário, realizada pela AR. 

  • Definições no glossário do ICP Brasil são:
    Autoridade Certicadora: é a entidade, subordinada à hierarquia da ICP Brasil, responsável por emitir, distribuir, renovar, revoga e gerenciar certificados digitais. Cabe também à AC emitir listas de certificados revogados (LCR) e manter registros de suas operações sempre obedecendo às práticas definidas na Declaração de Práticas de Certificação (DPC). Desempenha como função essencial a responsabilidade de verificar se o titular do certificado possui a chave privada que corresponde à chave pública que faz parte do certificado. Cria e assina digitalmente o certificado do assinante, onde o certificado emitido pela AC representa a declaração da identidade do titular, que possui um par único de chaves (pública/privada). Na hierarquia dos Serviços de Certificação Pública, as AC estão subordinadas à Autoridade Certificadora de nível hierarquicamente superior;
    Autoridade de Registro: entidade responsável pela interface entre o usuário e a Autoridade Certificadora. Vinculada a uma AC que tem por objetivo o recebimento, validação, encaminhamento de solicitações de emissão ou revogação de certificados digitais às ACs e identificação, de forma presencial, de seus solicitantes. É responsabilidade da AR manter registros de suas operações. Pode estar fisicamente localizada em uma AC ou ser uma entidade de registro remota.
  • Essa questão cabe anulação.
    "Determinação das políticas e dos procedimentos que orientam o uso de certificados" (alternativa B) é atribuição do Comitê Gestor.

    Art. 4º Compete ao Comitê Gestor da ICP-Brasil: (...)
    III - estabelecer a política de certificação e as regras operacionais da AC Raiz;

    Fonte: MEDIDA PROVISÓRIA No 2.200-2, DE 24 DE AGOSTO DE 2001

  • Concordo com os colegas que dizem que a questão deve ser anulada!

    As alternativas B e C não são gabaritos!
    B) Essas são atribuições do Comitê Gestor da ICP-Brasil. Conforme o colega Junior já havia posto (somente complementando com os incisos III e V - em negrito):

    Medida provisória-2200-2-: "Art. 4o Compete ao Comitê Gestor da ICP-Brasil:

      I - adotar as medidas necessárias e coordenar a implantação e o funcionamento da ICP-Brasil;

      II - estabelecer a política, os critérios e as normas técnicas para o credenciamento das AC, das AR e dos demais prestadores de serviço de suporte à ICP-Brasil, em todos os níveis da cadeia de certificação;

      III - estabelecer a política de certificação e as regras operacionais da AC Raiz;

      IV - homologar, auditar e fiscalizar a AC Raiz e os seus prestadores de serviço;

      V - estabelecer diretrizes e normas técnicas para a formulação de políticas de certificados e regras operacionais das AC e das AR e definir níveis da cadeia de certificação;"


    C) Identificação dos usuários => compete às ARs (Autoridade de registro) 

    Porém, "e submissão da solicitação do certificado ao Comitê Gestor da ICP" => Não é feito por ninguém! Imagine que o Comitê Gestor da ICP irá averiguar solicitações de certificados! Isso é papel das ACs, sob demanda das ARs.

    Questão deveria ter sido anulada! Nem sei se foi na verdade!

    Espero ter esclarecido!

  • "Identificação dos usuários e submissão da solicitação do certificado ao Comitê Gestor da ICP" é função da Autoridade de Registro (AR) dentro da ICP-Brasil.
    Fonte Instituto Nacional de Tecnologia da Informação.
    http://www.iti.gov.br/index.php/certificacao-digital/autoridades-de-registro

    Portanto, questão CORRETÍSSIMA.

  • Comentário equivocado do professor... não considero seus comentários confiáveis... a impressão é que ele comenta o que vem na cabeça sem embasar seus argumentos...

     

    Note, inclusive, que a alternativa C apresenta informação não equivalente à informação da ICP-Brasil.

     

    "Autoridade registradora (AR)
    A AR implementará a interface entre o usuário e a autoridade certificadora.
    A sua principal função será a identificação dos usuários, validação da solicitação e a submissão da solicitação de certificado à autoridade certificadora."
    http://www.planalto.gov.br/ccivil_03/consulta_publica/PDF/termodereferencia.pdf

  • Gab C

    Atribuições das AC's

    Emite, revoga e gerencia os certificados;

    Verifica se o proprietário ainda possui a chave privada;

    Assinar os certificados emitidos;

    Entrega aos solicitantes (AR’s)

    Reconhece como verdadeiro quando solicitado;

    Manter as informações atualizadas;

    Pode revogar um certificado antes da data de validade;

    Armazena a chave pública.


ID
641392
Banca
FCC
Órgão
TRT - 2ª REGIÃO (SP)
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Um conjunto de dados de computador, em observância à Recomendação Internacional ITUT X.509, que se destina a registrar, de forma única, exclusiva e intransferível, a relação existente entre uma chave de criptografia e uma pessoa física, jurídica, máquina ou aplicação é

Alternativas
Comentários
  • Tecnicamente, o certificado digital é um conjunto de dados de computador, gerados por uma Autoridade Certificadora, em observância à Recomendação Internacional ITUT X.509, que se destina a registrar, de forma única, exclusiva e intransferível, a relação existente entre uma chave de criptografia e uma pessoa física, jurídica, máquina ou aplicação.


    Alternativa correta letra e)


    Fonte: http://www.arsescap-pr.org.br/certificados/certificados.php

  • *Banca FCC descrevendo uma bola de futebol:  Objeto redondo, leve, pode ser colorida, bem como mastigada por um cachorro. 

  • Bem observado Tanenbaum, tem que ter bola de cristal para acertar algumas questões da FCC.

  • Certificado digital: é uma ligação entre a chave pública de uma entidade e um ou mais atributos relacionados a esta entidade, armazenados em um arquivo digital. O usuário neste caso pode ser uma pessoa, dispositivo de hardware ou um processo de software. O certificado digital produz a garantia que a chave pública pertence à entidade. Além disso, garante também que a entidade (e somente esta entidade) possui de fator a correspondente chave privada


    Fonte:  Livro Certificacao Digital Conceitos e Aplicacoes  Modelos Brasileiro e Australiano\Parte 1 - Conceitos\Capitulo 3 - Certificacao Digital

  • Ressaltando que " pessoa física, jurídica, máquina ou aplicação" são os 4 únicos tipos de Entidade Final que podem ter um certificado digital.

    Ademais, a única chave de criptografia presente no CD é a chave pública da Entidade.

    A chave privada, por motivos óbvios, é de posse das Entidades e a chave privada da Autoridade Certificadora é quem assina o CD.


ID
659974
Banca
FCC
Órgão
TRE-CE
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação a certificados digitais é INCORRETO afirmar:

Alternativas
Comentários
  •  A assinatura digital é suficiente para garantir o não repúdio e o sigilo dos dados que deverão transitar entre dois computadores.
  • e) INCORRETA.

    A assinatura digital é suficiente para garantir o não repúdio do remetente, mas não o sigilo dos dados!
    O sigilo é garantido pelo algoritmo de cifragem da mensagem.

    Uma assinatura digital deve ter as seguintes propriedades:
    • autenticidade - o receptor deve poder confirmar que a assinatura foi feita pelo emissor;
    • integridade - qualquer alteração da mensagem faz com que a assinatura não corresponda mais ao documento;
    • não repúdio ou irretratabilidade - o emissor não pode negar a autenticidade da mensagem.
    Espero ter ajudado.

    http://pt.wikipedia.org/wiki/Assinatura_digital
  • Princípio do não repúdio ou irretratabilidade - o emissor não pode negar a autenticidade da mensagem.
  • Alternativa B : " A Autoridade de Registro realiza o armazenamento da chave pública quando gera o par de chaves criptográficas para o certificado digital." ..
     
    Desconheço que é de responsabilidade de uma AR gerar e armazenar a chave pública..ç.. quem gera o par de chaves é o próprio cliente. Quanto ao armazenamento, tenho duvidas, mas o AR armazena-las ? nao vi esta informação em lugar nenhum.

    Segundo o Documento de Política de Certificados da ICP- BRASIL, 
    "
    6.1.2 Entrega de chave pública para o emissor do certificado

    A chave pública deverá ser entregue para a AC pela AR ou pelo próprio usuário utilizando formato compatível com padrão PKCS#10"

    Se alguém puder esclarecer esta questão agradeço..
    FONTE: 
    http://www.planalto.gov.br/ccivil_03/consulta_publica/PDF/AssinaturaDigitalNivel1.pdf

  • Eu concordo com o colega Rodrigo. Nunca vi que a AR guarda a chave pública. A AR guarda uma cópia da chave privada. mas a chave pública é para ser distribuida! Creio que a questão deveria ser anulada. duas respostas incorretas. Alguém pode explicar por que a alternativa B está correta??
    abs!
  • Concordo com os colegas. Também achei a letra b muito esquisita. Vejam o que diz o ICP-Brasil sobre as funções da AR e da AC :

    Autoridade de Registro (AR)  Entidade responsável pela interface entre o usuário e a Autoridade Certificadora. Vinculada a uma AC que tem por objetivo o recebimento, validação, encaminhamento de solicitações de emissão ou revogação de certificados digitais às AC e identificação, de forma presencial, de seus solicitantes. É responsabilidade da AR manter registros de suas operações. Pode estar  fisicamente localizada em uma AC ou ser uma entidade de registro remota.

    Autoridade Certificadora (AC)  Entidade que emite, renova ou revoga certificados digitais de outras ACs ou de titulares finais. Além disso,  emite e publica LCR. Na estrutura de carimbo de tempo da ICP-Brasil, emite os certificados digitais usados nos equipamentos e sistemas das ACTs e da EAT.

    Apesar de estar ímplicito, entendo que a função de armazenamento é mais cabível à AC e não AR.

    http://www.iti.gov.br/twiki/pub/Certificacao/Legislacao/GLOSSaRIOV1.4.pdf

     

  • Acho que a resposta D também é incorreta, pois a adição de um hash é feito junto da mensagem originla e não a mensagem cifrada.
  • Felipe Bento,

    Nada impede que eu cifre, por exemplo, a mensagem com a Kpública do destinatário e anexo à essa mensagem o hash cifrado com minha chave privada. Eu estaria assinando digitalmente e garantindo a privacidade da mensagem.

    Bons estudos!
  • a banca errou feio. Quem gera o par de chaves é o usuário e quem mantem e divulga o certificado é o próprio usuário. Vide certificado em token por exemplo. A AR apenas serve de interface entre o usuário e a AC. A AR limita-se apenas a validar os dados do usuário.
  • Perfeita explicação do Rodrigo, a alternativa (e) é claramente a "mais errada", pois assinatura não garante sigilo, apenas autenticidade, integridade e não repúdio.
    Eleonora, vc está equivocada, ningém guarda cópia da sua chave privada, ela é exclusivamente SUA.
    Correto o posicionamento do Rafael, quem armazena as chaves públicas é a AC, o que torna a alternativa (b) também errada. Neste documento da ICP-Brasil esclarece um pouco:
    http://www.planalto.gov.br/ccivil_03/consulta_publica/PDF/AssinaturaDigitalNivel1.pdf
    nos itens: 6.1.2 Entrega de chave pública para o emissor do certificado - A chave pública deverá ser entregue para a AC pela AR ou pelo próprio usuário utilizando formato compatível com padrão PKCS#10.
    6.3.1 Arquivamento da chave pública - A AC que emitiu o certificado deve manter todas as chaves públicas para verificação.
    Eu diria que a (b) é "menos errada" que a (e), porque nada impede que a AR, ou qualquer um, armazene chaves públicas de quem quer que seja. E, segundo item 6.1.2 acima, a AR terá que armazenar, ao menos temporariamente, as chaves geradas por ela. Raimundo, sua observação é pertinente. Mas de qualquer forma a alternativa (b) está confusa, enquanto a (e) está claramente errada, indiscutivelmente.
    É triste, mas com estas bancas vagabundas temos que ir na "mais certa" ou "mais errada".
  • Maciel a chave privada pode sim ser armazenada pela AC no servidor de recuperação de chave como backup se o usuário assim o desejar. Mas é opcional para o usuário.

  • Prezados,

    Vamos analisar as alternativas :

    a) Se uma mensagem é cifrada usando-se a chave privada do remetente e, em seguida, a chave pública do destinatário, pode-se garantir que a mensagem de fato partiu do remetente e que só será aberta pelo destinatário.

     O destinatário ao receber a mensagem que foi cifrada com sua chave pública , só ele conseguirá decifrar a mensagem pois só ele possui sua chave privada. Ao realizar essa primeira decifração, ele irá decifrar novamente a mensagem , essa vez com a chave pública do emissor, e obterá o texto em claro, como a mensagem foi corretamente decifrada pela chave pública do emissor, é garantido que ela só pode ser sido cifrada com a chave privada do emissor, garantindo assim que ela partiu realmente dele. Alternativa correta.

    b) A Autoridade de Registro realiza o armazenamento da chave pública quando gera o par de chaves criptográficas para o certificado digital.

    Bem confusa. Quando a alternativa está tratando ai de armazenamento, não está falando da custódia , mas sim da gravação da chave pública no token por exemplo. Esse termo é muito utilizado nas resoluções do ITI , vide http://www.iti.gov.br/images/icp-brasil/legislacao/Resolucoes/RESOLU__O_41_DE_18_04_2006.PDF . Alternativa correta.

    c) A assinatura digital permite ao receptor verificar a integridade da mensagem e a identidade do transmissor.

    Com a assinatura digital podemos verificar a integridade do documento , pois a assinatura é gerada com base em um HASH do documento original, e podemos verificar a identidade do transmissor validando a assinatura. Alternativa correta. 

    d) A adição de uma assinatura digital a uma mensagem pode ser efetuada por seu transmissor, por meio da adição, à mensagem cifrada, de um hash cifrado com sua chave privada.

    Cifrando um hash de um documento com a chave privada do emissor, esse hash só poderia ser decifrado com a chave pública desse emissor, garantindo assim que a mensagem foi enviada por ele. Alternativa correta. 

    e) A assinatura digital é suficiente para garantir o não repúdio e o sigilo dos dados que deverão transitar entre dois computadores.

    A assinatura digital não consegue garantir sozinha o sigilo dos dados que transitam entre dois computadores, para isso deve-se utilizar outros mecanismos de segurança. Alternativa errada. 


    A Resposta é : E.


  • Assinatura digital não garante o sigilo dos dados, e sim a Integridade (hash) e Autenticidade das informações.

  • Alguém poderia explicar a c? Por gentileza!!!


  • Roberta, quanto à alternativa C, veja se consigo esclarecer pra vc:

    A integridade pode ser verificada a partir do hash, que é geralmente (eu arriscaria dizer "sempre") utilizado no processo de assinatura digital por motivo de performance: é mais rápido assinar o hash, que é menor, do que a mensagem original inteira.

    E a identidade do transmissor, é claro, pela própria assinatura realizada com a sua chave privada.

    Não sei se eram essas as suas dúvidas...


ID
665869
Banca
FUNCAB
Órgão
MPE-RO
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Éo padrão mais utilizado para certificação digital:

Alternativas
Comentários
  • a) X-509. padrão ITU-T para infra-estruturas de chaves públicas

    b) RC2. Cifra de bloco simétrica

    c) SHA-1. Algoritmo de Hash

    d) MD5. Algoritmo de Hash

    e) Verisign (só conheço como serviço e autenticação da symantec, alguem sabe mais sobre isso?)
  • Apenas complementando a resposta anterior

    e) Verisign : é uma Autoridade Certificadora, uma das maiores do mundo
  • In cryptography, X.509 is a standard defining the format of public key certificates. X.509 certificates are used in many Internet protocols, including TLS/SSL, which is the basis for HTTPS, the secure protocol for browsing the web. They are also used in offline applications, like electronic signatures.

    https://en.wikipedia.org/wiki/X.509

    ____________________________________________________________________________________________________________________________________________________________________________________________________________

    assinatura digital - MD5, SHA-1

    criptografia simétrica - DES, AES, RC4

    criptografia assimétrica - RSA


ID
700249
Banca
FUNIVERSA
Órgão
PC-DF
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A criptografia de chaves públicas usa o processo de certificação digital. Assinale a alternativa que melhor define um certificado digital.

Alternativas
Comentários
  • "In cryptography, a public key certificate (also known as a digital certificate or identity certificate) is an electronic document which uses a digital signature to bind a public key with an identity — information such as the name of a person or an organization, their address, and so forth. The certificate can be used to verify that a public key belongs to an individual."

  • Um certificado digital é um arquivo de computador que contém um conjunto de informações referentes a entidade para o qual o certificado foi emitido (seja uma empresa, pessoa física ou computador) mais a chave pública referente a chave privada que acredita-se ser de posse unicamente da entidade especificada no certificado.

    Fonte: 
    http://pt.wikipedia.org/wiki/Certificado_digital

    A
    ssim a certificado digital corresponde a uma credencial ou seja a letra certa é 

    d) Credencial que identifica uma entidade, seja ela uma pessoa física ou jurídica, ou mesmo um computador.

    Bons estudos!
  • a) Entidade que emite, suspende, renova ou revoga chaves públicas e privadas para serem usadas em sistemas criptográficos.
    ==> AC
     
    b) Arte de escrever em códigos, de forma a transformar a informação em um texto cifrado, incompreensível a quem possa lê-lo.
    ==> Criptografia

    c) Mecanismo que realiza a cifragem e a decifragem da informação por meio de algoritmos que utilizam uma mesma chave criptográfica.
    ==> Criptografia Simétrica

    d) Credencial que identifica uma entidade, seja ela uma pessoa física ou jurídica, ou mesmo um computador.
    ==> OK. Certificado Digital

    e) Processo criptográfico utilizado na transmissão da informação no qual o emissor não tem como negar a autoria de uma mensagem.
    ==> Assinatura Digital
     
  • Gabarito D

    Certificado digital é um arquivo eletrônico que serve como identidade virtual para uma pessoa física ou jurídica, e por ele pode se fazer transações online com garantia de autenticidade e com toda proteção das informações trocadas.

    Um certificado digital é usado para ligar uma entidade a uma chave pública. Para garantir digitalmente, no caso de uma Infraestrutura de Chaves Públicas (ICP), o certificado é assinado pela Autoridade Certificadora (AC) que o emitiu e no caso de um modelo de Teia de Confiança (Web of trust) como o PGP, o certificado é assinado pela própria entidade e assinado por outros que dizem confiar naquela entidade. Em ambos os casos as assinaturas contidas em um certificado são atestamentos feitos por uma entidade que diz confiar nos dados contidos naquele certificado.

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !


ID
704203
Banca
CESPE / CEBRASPE
Órgão
MPE-PI
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a criptografia, certificação digital e assinatura digital, julgue os itens subsequentes.

Um certificado digital possui, além da chave pública do proprietário do certificado, a assinatura digital da autoridade certificadora que o assinou.

Alternativas
Comentários
  • No cerne da certificação digital está o certificado digital, um documento eletrônico que contém o nome, um número público exclusivo denominado chave pública e muitos outros dados que mostram quem somos para as pessoas e para os sistemas de informação. A chave pública serve para validar uma assinatura realizada em documentos eletrônicos. 
     
    (Informação retirada da cartilha do Instituto Nacional de Tecnologia da Informação)

    Portanto, a assertiva está correta.
  • A certificação digital contém dados do titular, duas chaves denominadas pública e privada, além do nome e da assinatura da AC (Autoridade Certificadora) que o emitiu. A chave privada garante a autenticidade e o sigilo dos dados do titular que assina a mensagem. A pública permite que ele compartilhe com outras pessoas a informação protegida por criptografia.
  • Alguns campos importantes de um certificado.
    1. 1. Versão: Número da versão da especificação X.509
    2. 2. Número de série: Identificador exclusivo emitido pela CA para um certificado
    3. 3. Assinatura: Especifica o algoritmo usado pela CA para assinar esse certificado
    4. 4. Nome do emissor: Identidade da CA que emitiu o certificado, em formato de nome distinto (DN) [RFC 2253]
    5. 5. Período de validade: Início e fim do período de validade do certificado
    6. 6. Nome do sujeito: Identidade da entidade cuja chave pública está associada a esse certificado, em formato DN
    7. 7. Chave pública do sujeito: A chave pública do sujeito, bem como uma indicação do algoritmo de chave pública (e parâmetros do algoritmo) a ser usado com essa chave
    Fonte: Redes de computadores e a Internet: Uma abordagem top-down. Kurose e Ross. 3ª Ed.
  • O certificado digital é um conjunto ordenado de informações para a identificação de seu portador com a garantia de autenticidade oferecida por um terceiro: no Brasil, é o ICP-Brasil que desempenha esta função. Ele define Certificado Digital como
    "
    uma identidade virtual que permite a identificação segura e inequívoca do autor de uma mensagem ou transação feita em meios eletrônicos, como a web. Esse documento eletrônico é gerado e assinado por uma terceira parte confiável, ou seja, uma Autoridade Certificadora (AC) que, seguindo regras estabelecidas pelo Comitê Gestor da ICP-Brasil, associa uma entidade (pessoa, processo, servidor) a um par de chaves criptográficas. Os certificados contém os dados de seu titular conforme detalhado na Política de Segurança de cada Autoridade Certificadora."

    O formato mais popular utilizado é o ITU-T X509 v3, com estrutura expressa em Abstract Syntax Notation One (ASN 1 
    http://www.itu.int/ITU-T/asn1/introduction/) e os seguintes campos básicos: 



    mais em http://4sdrub4l.blogspot.com.br/2013/07/sobre-autoridades-certificadoras-e.html
    http://www.iti.gov.br/index.php/certificacao-digital/o-que-e

ID
726697
Banca
FCC
Órgão
TRT - 6ª Região (PE)
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Atividade de reconhecimento em meio eletrônico que se caracteriza pelo estabelecimento de uma relação única, exclusiva e intransferível entre uma chave de criptografia e uma pessoa física, jurídica, máquina ou aplicação.

A definição, de acordo com o ICP - Brasil, se refere a

Alternativas
Comentários
  • Os computadores e a Internet são largamente utilizados para o processamento de dados e para a troca de mensagens e documentos entre cidadãos, governo e empresas. No entanto, estas transações eletrônicas necessitam da adoção de mecanismos de segurança capazes de garantir autenticidade, confidencialidade e integridade às informações eletrônicas. A certificação digital é a tecnologia que provê estes mecanismos.
  • Gabarito letra "B". Segundo o glossário da ICP Brasil, temos as seguintes definições:
    Assinatura Digital: "Código anexado ou logicamente associado a uma mensagem eletrônica que permite de forma única e exclusiva a comprovação da autoria de um determinado conjunto de dados (um arquivo, email ou transação). A assinatura digital comprova que a pessoa criou ou concorda com um documento assinato digitalmente, como a assinatura de próprio punho comprova a autoria de um documento escrito. A verificação da origem do dado é feita com a chave pública do remetente"
    Certificação Digital: "É um conjunto de dados de computador, gerados por uma Autoridade Certificadora (AC), em observância à Recomendação Internacional ITU-T X.509, que se destina a registrar, de forma única, exclusiva e instransferível, a relação existente entre uma chave de criptografia e uma pessoa física, jurídica, máquina ou aplicação."
    (Fonte: ITI - Instituto Nacional de Tecnologia a Informação)
  • Pegadinha da questão é que Assinatura digital é só para pessoas físicas ou jurídicas, já a Certificação Digital é todo e quaquer coisa do meio digital.

  • Quase caio na pegadinha do malandro rs.

  • Também concordo que, por vezes, os conceitos de assinatura e certificação confundem-se, ainda mais na hora da prova, em que a tensão é maior.

    Vamos na fé.

  • O certificado digital = serve para IDENTIFICAR o usuário ou entidade equivale ao RG
    A assinatura digital = serve para comprovar a AUTORIA do documento equivale ao CARIMBO


ID
726985
Banca
INSTITUTO CIDADES
Órgão
TCM-GO
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Analise:

I. No cerne da certificação digital está o certificado digital, um documento eletrônico que contém informações que mostram quem somos para as pessoas e para os sistemas de informação.

II. Depois de emitido, um certificado digital não pode ser revogado, mesmo que a chave privada tenha sido comprometida.

III. Um exemplo comum do uso de certificados digitais é o serviço bancário provido via Internet.

IV. A AC (Autoridade Certificadora) é o principal componente de uma infraestrutura de chaves públicas e é responsável pela emissão dos certificados digitais.

São corretas as afirmações:

Alternativas
Comentários
  • I Certo. "O certificado digital é um registro eletrônico composto por um conjunto de dados que distingue uma entidade e associa a ela uma chave pública. Um certificado digital pode ser comparado a um documento de identidade, por exemplo, o seu passaporte, no qual constam os seus dados pessoais e a identificação de quem o emitiu. No caso do passaporte, a entidade responsável pela emissão e pela veracidade dos dados é a Polícia Federal. No caso do certificado digital esta entidade é uma Autoridade Certificadora (AC)."
    II Errado. "Uma AC emissora é também responsável por publicar informações sobre certificados que não são mais confiáveis. Sempre que a AC descobre ou é informada que um certificado não é mais confiável, ela o inclui em uma "lista negra", chamada de "Lista de Certificados Revogados" (LCR) para que os usuários possam tomar conhecimento. A LCR é um arquivo eletrônico publicado periodicamente pela AC, contendo o número de série dos certificados que não são mais válidos e a data de revogação."
    III Certo. Vamos pegar o Banco do Brasil como exemplo, entrando no site é fácil verificar que ele utiliza sim um certificado digital (Figura abaixo). Com isso, o banco garante ao usuário que aquele site é de fato o Banco do Brasil, não sendo possível alguém estar se passando por ele para, por exemplo, roubar alguma informação do usuário.
    q242326.png
    IV Certo.
    (Fonte: Cartilha de Segurança Para Internet - Cert.br)
    Gabarito Letra "D"
  • Considerei a afirmativa IV como errada por pensar na Autoridade Certificadora Raiz (AC-Raiz) como principal componente da ICP-Brasil. No critério hierárquico as Autoridades Certificadoras estão abaixo dela.

  • Pois é, fiquei numa dúvida grande se consideraria a IV como correta ou não. 

  • A primeira assertiva está contida em todas as letras. Então é perca de tempo lê-la.


ID
754105
Banca
FCC
Órgão
MPE-AP
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Um dos processos em uma infraestrutura de chaves públicas é o processo de certificação digital. O certificado digital é um registro eletrônico composto por um conjunto de dados que distingue uma entidade e associa a ela uma chave pública. Ele pode ser emitido para pessoas, empresas, equipamentos ou serviços na rede e pode ser homologado para diferentes usos, como confidencialidade e assinatura digital. De forma geral, os dados básicos que compõem um certificado digital devem conter, entre outros, a versão e número de série do certificado, os dados que identificam a Autoridade Certificadora que emitiu o certificado e

Alternativas
Comentários
  • Os dados que identificam o usuário juntamente com sua chave pública é passada por uma função de HASH onde será então gerado um resumo. Em um segundo momento o resumo é criptografado com a CHAVE PRIVADA da AUTORIDADE CERTIFICADORA (AC), e esse resumo criptografado com a chave privada da AC é a assinatura digital do certificado digital.
  • Gabarito "C"

    Algumas das principais informações encontradas em um certificado digital são:

    • dados que identificam o dono (nome, número de identificação, estado, etc);
    • nome da Autoridade Certificadora (AC) que emitiu o certificado;
    • o número de série e o período de validade do certificado;
    • a assinatura digital da AC.
  • Jorge Moreira, de acordo com o professor Léo Matos, a assinatura digital não criptografa um documento ela, apenas o assina com sua chave privada para garantir a autenticidade, não-repúdio e a integridade, mas nada impede que outras pessoas a leiam, ou seja, não garante a confidencialidade. E como o destinatário do documento vai ter certeza que o documento é autêntico e não foi alterado? Usando a chave pública do emissor do documento! Conclui-se que o processo de assinatura digital é diferente do processo de criptografia assimétrica.

  • O Certificado Digital é um registro eletrônico composto por um conjunto de dados que distingue uma entidade e associa a ela uma chave pública.

     

    Ele pode ser emitido para pessoas, empresas, equipamentos ou serviços na rede e pode ser homologado para diferentes usos, como confidencialidade e assinatura digital.

     

    De forma geral, os dados básicos que compõem um certificado digital devem conter, entre outros:

    [...]

    - a versão e número de série do certificado,

    - os dados que identificam a Autoridade Certificadora que emitiu o certificado,

    - os dados que identificam o dono do certificado,

    [...]

     

    GABARITO C

  • Certificado digital

    O certificado digital é um registro eletrônico composto por um conjunto de dados que distingue uma entidade e associa a ela uma chave pública.

    Pode ser emitido para pessoas, empresas, equipamentos ou serviços na rede e pode ser homologado para diferentes usos, como confidencialidade e assinatura digital.

    O Certificado digital evita que um impostor crie uma chave pública falsa para um amigo seu na qual essa chave (publica) será usada para codificar uma mensagem que somente o impostor poderá decodificar com a chave privada.

    A entidade responsável pela emissão do certificado digital é uma Autoridade Certificadora (AC).

    Dados que compõe um certificado digital:

    - Dados que identificam a Autoridade Certificadora que emitiu o certificado;

    - Dados que identificam o dono do certificado;

    - Validade do certificado;

    - Assinatura digital da Autoridade Certificadora e dados para verificação da assinatura;

    Alternativa: C


ID
760660
Banca
FUMARC
Órgão
TJ-MG
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Um certifcado digital para servidor web é uma credencial que identifca uma entidade e pretende criar um canal criptográfco seguro entre o navegador do usuário e o servidor da entidade. São características de um certifcado digital para servidor web, EXCETO:

Alternativas
Comentários
  • A questão pecou em dizer que garante DISPONIBILIDADE, o que pode não acontecer sempre ou seja o serviço pode não estar acessível 100% do tempo.
    Mas a criptografia garante 100% do tempo a troca de mensagens entre o servidor e o cliente (navegador do usuario) de maneira confindencial, integra e autentica.
  • Corrigindo o colega, a questão não falou de criptografia e sim de CERTIFICADO DIGITAL e além da disponibilidade ele também não garante a autenticidade, quem garante a autenticidade é a ASSINATURA DIGITAL que é diferente de CERTIFICADO DIGITAL
  • Questão mal formulada. A letra B também está errada. O certificado digital contém apenas a chave pública da entidade sendo certificada e é criptografado com a chave privada da autoridade certificadora, mas daí a dizer que ele é COMPOSTO por um par de chaves está errado na minha opinião.
  • Concordo com o Ricardo! Chave privada não está no certificado! 
    A A.C usa md5 para criar um resumo e criptografa o resumo com sua chave privada, formando assim a assinatura

    Mas jamais o certificado irá conter a chave privada da A.C!!! imagina! se isso fosse verdade não faria sentido algum ter A.C
  • Neste caso, n ha garantia de disponibilidade.
  • Concordo que não garante a disponibilidade e que a chave privada não deveria ser composto do par de chaves, já que a chave privada só deve ser de conhecimento do dono da chave.
  • A questão é nojenta, nem resolvam.

  • O certificado digital ele possui as duas chaves. Porém a privada é de conhecimento somente do proprietário. A autoridade certificadora tem conhecimento somente da chave pública, mas ambas as chaves estão no certificado.

    Um certificado garante autenticidade também. Capaz de garantir autenticidade, confidencialidade e integridade. Mas não garante Disponibilidade.

     

    https://www.oficioeletronico.com.br/Downloads/CartilhaCertificacaoDigital.pdf

  • GABARITO: LETRA C.

    MACETE:

    1. CRIPTOGRAFIA SIMÉTRICA ~> CONFIDENCIALIDADE. OBS.: É possível a AUTENTICIDADE, caso haja duas entidades se comunicando
    2. CRIPTOGRAFIA ASSMITRICA ~> CONFIDENCIALIDADE, INTEGRIDADE E AUTENTICIDADE.
    3. CERTIFICADO DIGITAL ~> INTEGRIDADE E AUTENTICIDADE.
    4. ASSINATURA DIGITAL ~> INTEGRIDADE E AUTENTICIDADE.

ID
801238
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de criptografia, julgue os itens seguintes.

Um certificado digital consiste na cifração do resumo criptográfico de uma chave privada com a chave pública de uma autoridade certificadora.

Alternativas
Comentários
  • "... o certificado é um documento eletrônico que por meio de procedimentos lógicos e matemáticos assegura a integridade das informações e a autoria das transações. Este documento eletrônico é gerado e assinado por uma terceira parte confiável, ou seja, uma Autoridade Certificadora que, seguindo regras emitidas pelo Comitê Gestor da ICP-Brasil e auditada pelo ITI, associa uma entidade (pessoa, processo, servidor) a um par de chaves criptográficas"

    Fonte: 
    http://www.iti.gov.br/index.php/certificacao-digital/certificado-digital

  • A questão tenta confundir o modo como se dá a geração do certificado digital.
    Em linhas gerais, um certificado digital é obtido através da Criptografia da chave pública da instituição a ser certificada com a chave privada da Unidade certificadora. Desta forma, você tem certeza de que a instituição é quem diz ser ao descriptografar o certificado com a chave pública da certificadora e encontrar nele a chave pública a instituição certificada.
  • O correto seria:
      Um certificado digital consiste na cifração da 'Assinatura Digital' de um chave PÚBLICA transitória do emissor, com a chave PRIVADA transitória de uma autoridade certificadora (CA).
  • 2014

    Um certificado digital consiste na cifração do resumo criptográfico de uma chave pública, usando-se a chave privada de uma autoridade certificadora raiz.

    certa

  • Gabarito: ERRADO

    Um certificado digital pode ter a chave pública de uma entidade cifrada com a chave privada da Autoridade Certificadora. Assim, ao decifrar a chave pública da entidade usando a chave pública da AC, existe a confiança na procedência da chave.




    Fonte: ESTRATÉGIA CONCURSOS

  • Um certificado digital consiste emissão de um documento eletrônico por uma AC contendo a chave pública do titular e a assinatura da autoridade certificadora que garante autenticidade. 

  • AHHHH eu sempre erro isso! kkkkk

  • cert dig -> autencidade

    assinatura dig -> integridade


ID
809068
Banca
FAURGS
Órgão
TJ-RS
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Que informação, entre outras, é fornecida por um certificado digital?

Alternativas
Comentários
  • Em um certificado digital, poderão ser encontradas as seguintes informações:

    ·        Versão e número de série do certificado.

    ·        Dados que identificam quem emitiu o certificado

    ·        Dados que identificam o dono do certificado.

    ·        Validade do certificado.

    ·        Chave pública do dono do certificado (a chave privada fica apenas com o dono).

    ·        Algoritmo de assinatura.

    ·        Versão e número de série do certificado.

    ·        Requerente do Certificado.

  • CERTIFICADO DIGITAL = CHAVE PÚBLICA DO DONO


ID
815371
Banca
AOCP
Órgão
TCE-PA
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

O NAC pode ser dividido em três fases, são elas, respectivamente:

Alternativas
Comentários
  • NAC é uma sigla do inglês (Network Access Control) que significa Controlede Acesso à Rede, sendo algumas vezes também referenciado como Controle de Admissão à Rede. É um termo com uma história de uti lização entre os fabricantes de infraestrutura de rede, sistemas operacionais e

    softwares de segurança.



  • Gabarito B

    O NAC pode ser dividido em três fases macro: avaliação, isolamento e reparo. Quando um equipamento entra na rede, ele passa, no mínimo, pela fase de avaliação que é composta pelas funções de autenticação, autorização e validação. As outras fases (isolamento e reparo) são desempenhadas a depender da política do NAC e se o dispositivo está comprometido. Resumindo, as funções aferidas durante o processo do NAC são autenticação, autorização, validação, quarentena, reparo e inspeção. A autenticação e autorização estão intrinsecamente ligadas e correspondem à fase inicial do processo, em que o dispositivo é identificado na rede para que o acesso dele seja liberado ou negado. A identificação e o controle do acesso são desempenhados através de mecanismos que utilizam o padrão 802.1x e serviços DHCP. Depois que o dispositivo é detectado, ele deve passar pela validação, em que é verificado se está de acordo com as políticas estabelecidas pelo departamento de TI e se atende aos requisitos de verificação de patches atualizados, assinaturas de antivírus, serviços e aplicações ativas, entre outros, para acessar a rede. Caso o dispositivo não esteja em conformidade com as políticas da organização, ele é encaminhado para quarentena e o acesso à rede é bloqueado. Sendo o sistema de controle de acesso à rede mais robusto, este dispositivo pode ser redirecionado para um servidor de quarentena no qual passará por um reparo que, a depender das políticas pré-definidas, inclui atualização das assinaturas de antivírus e dos patches do sistema operacional, limpeza de malwares detectados e desativação de serviços desnecessários. Mesmo depois de identificado e validado na rede, o dispositivo pode ter todo seu tráfego analisado. A inspeção tornou-se uma das principais funções da arquitetura NAC, que por sua vez é avaliada de acordo com a eficiência do sistema de prevenção de intrusão (IDS/IPS) adotado.



    "Retroceder Nunca Render-se Jamais !"

    Força e Fé !

    Fortuna Audaces Sequitur !


ID
815554
Banca
FAPERP
Órgão
TJ-PB
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

O Certificado Digital é uma credencial que identifica uma entidade, seja ela empresa, pessoa física, máquina, aplicação ou site na web. Documento eletrônico seguro, permite ao usuário se comunicar e efetuar transações na internet de forma mais rápida, sigilosa e com validade jurídica. Assinale a alternativa correta a respeito da certificação digital:

Alternativas
Comentários
  • Letra D.

    A letra A está errada porque ele poderá ser composto de uma chave criptográfica também. A letra B está errada, sendo a Cifra de César o sistema mais simples e antigo de criptografia (atualmente usamos chaves de até 2048 bits). A letra C está errada, pois chaves simétricas são usadas em assinaturas digitais e os certificados usam chaves simétricas (públicas) e assimétricas (privadas).

  • Acredito que a questão deveria ser anulada, pelo seguinte motivo:

    a letra d) afirma que "...As Autoridades Certificadoras emitem, suspendem, renovam ou revogam certificados, ..."

    Porém no ICP-Brasil, é proibida a suspensão de certificados [1].


    [1] item 2.8.3, documento abaixo:

    file:///C:/Users/L/Desktop/ABIN/3_TI/Seguran%C3%A7a%20da%20Informa%C3%A7%C3%A3o/ICP-Brasil%20%20%20%20%20%20DOC-ICP-01_-_versao_4.3_DPC_DA_AC_RAIZ_DA_ICP-BRASIL_09.10.2013.pdf

  • icp - brasil (infrastrutura de chaves publicas brasileira). É uma cadeia brasileira, hierárquica e de confiança, que viabiliza a emissão de certificados digitais para identificação virtual do cidadão. O ITI desempenha o papel de Autoridade Certificadora Raiz (AC-Raiz) e também exerce as funções de credenciar e descredenciar os demais participantes da cadeia, supervisionar e fazer auditoria dos processos.


ID
820096
Banca
CESGRANRIO
Órgão
CMB
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

O Hash Message Authentication Code (HMAC) pode ser utilizado para autenticar mensagens.

Esse esquema de autenticação combina o algoritmo de resumo de mensagem com a(o)

Alternativas
Comentários
  • Em criptografia, HMAC (Hash-based Message Authentication Code) é uma construção específica para calcular o código de autenticação de mensagem (MAC) envolvendo uma função hash criptográfica em combinação com uma chave secreta.

  • Gabarito letra C.

    Em criptografia, HMAC (Hash-based Message Authentication Code) é uma construção específica para calcular o código de autenticação de mensagem (MAC) envolvendo uma função hash criptográfica em combinação com uma chave secreta. Da mesma forma que em qualquer MAC, este pode ser usado para simultaneamente verificar tanto a integridade como a autenticidade de uma mensagem. Qualquer função hash criptográfica, tal como MD5 ou SHA-1, pode ser usada no cálculo do HMAC; o algoritmo MAC resultante é denominado HMAC-MD5 ou HMAC-SHA1 em conformidade. A força criptográfica do HMAC depende da força da criptográfica da função hash subjacente, do tamanho do hash produzido como saída em bits, e do tamanho e da qualidade da chave criptográfica.

    Uma função hash iterativa quebra uma mensagem em blocos de tamanho fixo e realiza uma iteração sobre eles com uma função de compressão. Por exemplo, MD5 e SHA-1 operam em blocos de 512 bits. O tamanho da saída do HMAC é o mesmo que o da função hash subjacente (128 ou 160 bits no caso do MD5 ou SHA-1, respectivamente), embora este possa ser truncado se desejado.

    A definição e análise da construção HMAC foi publicada inicialmente em 1996 por Mihir Bellare, Ran Canetti, e Hugo Krawczyk,[1] que também escreveu a RFC 2104. Este paper também definiu uma variante chamada NMAC que é raramente usada. FIPS PUB 198 generaliza e normatiza o uso de HMACs. HMAC-SHA1 e HMAC-MD5 são usados dentro dos protocolos IPSec e TLS.

    Fonte:https://pt.wikipedia.org/wiki/HMAC

  • Não entendo! Quando gero um digest, para garantir a autenticidade devo criptografar este digest com a minha chave privada!
  • Existem duas assinaturas digitais: assinatura simétrica e a assinatura assimétrica! Na assinatura simétrica, utilizando-se do pressuposto de que as duas entidades envolvidas na comunicação conhecem a achava simétrica, é enviado anexado à mensagem em claro o hash gerado apartir da concatenação da mensagem com a chave de sessão. H(M+Ks) = digest. M+digest é enviado. No destino H(M+Ks) = digest’. Se digest’ == digest, então mensagem autenticada e integra.
  • Essa foi viajada ein...

  • chave secreta não é o mesmo que chave privada?

  • c-

    O HMAC (Hash Message Authentication Code) pode ser considerado um suplemento do MD5, visto que se trata de um código de autenticação de mensagem criado com base em um valor-chave que é incluído no hash, de maneira que os dados originais e o MAC sofram hash na mesma resenha.


ID
837445
Banca
CESPE / CEBRASPE
Órgão
ANAC
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de certificação digital, julgue os próximos itens.

Assim como pessoas físicas, as micro e pequenas empresas também podem comprovar sua identidade no meio virtual, realizar transações comerciais e financeiras com validade jurídica, participar de pregões eletrônicos e trocar mensagens no mundo virtual com segurança e agilidade com o e-CPF Simples.

Alternativas
Comentários
  • Informações sobre o e-CPF Simples estão aqui: http://www.certisign.com.br/certificado-digital/para-empresa/me-epp/ecpf

  • e-CPF Simples é um tipo de certificado digital que é destinado para para microempresas e empresas de pequeno porte. Ele consiste um certificado do tipo e-CPF A3, com validade de um ano, emitido em token criptográfico específico.

  • GABARITO: CERTO

     

    e-CPF Simples é a versão para as micro e pequenas empresas.

    e-CPF é a versão eletrônica do CPF para a pessoa física.

  • Gabarito: CORRETO

    O e-CPF é a versão eletrônica do CPF para a pessoa física, enquanto o e-CPF Simples é a versão para as micro e pequenas empresas.



    Fonte: ESTRATÉGIA CONCURSOS

  • Nossa! Eu jurava que para as empresas, mesmo as pequenas, era o e-cnpj.


ID
843391
Banca
UFBA
Órgão
UFBA
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Para uma entidade emitir o certificado digital, ela deve gerar um par de chaves criptográficas e um Hash do arquivo da chave privada.

Alternativas
Comentários
  • Criando um certificado digital[editar]

    1. A entidade que deseja emitir o certificado gera um par de chaves criptográficas (uma chave pública e uma chave privada).
    2. Em seguida a entidade gera um arquivo chamado Certificate Signing Request (CSR) composto pela chave pública da entidade e mais algumas informações que a AC requer sobre a entidade e é assinado digitalmente pela chave privada da própria entidade e envia o CSR cifrado pela chave pública da AC.
    3. Então é necessário o comparecimento físico de um indivíduo responsável por aquela identidade em uma Autoridade de Registro (AR) (em alguns casos a AR vai até o cliente) para confirmação dos dados contidos no CSR e se necessário o acréscimo de mais algum dado do responsável pelo certificado e emissão do certificado.
    4. Finalmente o CSR é "transformado" em um certificado digital assinado pela AC e devolvido ao cliente.
    5. Então o browser/aplicativo de gerência de certificados combina o certificado + a chave privada criando o conceito de "Identidade digital", normalmente salvando a chave privada em um cofre protegido por uma frase senha que será necessária para o posterior acesso a chave privada.
    Fonte: WIkipedia
  • Hash, significa resumo da mensagem, é uma função matemática que resume uma mensagem a 20 letras (caracteres), que equivale a 160 bits. Não importa o tamanho da mensagem, o hash terá sempre 20 letras, não sendo proporcional ao tamanho do texto.

    Qual a função do hash? Serve para a garantia da integridade da informação, ou seja, para que a mensagem não seja alterada no percusso pela internet.

    A assinatura digital evita que a mensagem seja alterada. Esta assinatura usa hash, ou seja, escreve-se a mensagem; calcula-se o hash. O hash da mensagem será protegido pelo processo de criptografia, sendo o hash assinado com a chave privada do remetente. Quando a mensagem chega ao destinatário, o hash é desprotegido (libertado) pela chave pública do destinatário; O hash será calculado novamente para que a mensagem possa ser lida pelo destinatário;

    O princípio da integridade versa sobre a não alteração da mensagem durante a sua transmissão.

  • O erro da questão está em afirmar  "e um Hash do arquivo da chave privada."
    Sendo que o hash é gerado com a chave pública, além de outras informações, como os dados do titular do certificado.
  • Comentário para fins de estudo. 

    De maneira resumida, um certificado digital é uma garantia de que aquela pessoa ou entidade é quem de fato diz ser, que aquele documento assinado digitalmente por ela tenha alguma garantia da origem e algum documento destinado a ela seja recebido exclusivamente por ela. 
    Quem emite o certificado é um terceiro, chamado de "Entidade Certificadora" ou "Autoridade Certificadora" (AC).  Para que seu certificado seja publicamente válido, a AC recebe fé pública do Estado (no Brasil, concedida pela ICP Brasil) e, para cada pessoa para quem emite certificado, recebe uma série de documentos para seu cadastro.
    Feito o cadastro, é emitido um certificado pessoal cujo cerne consiste em duas chaves: uma pública, mantida pela AC, e uma privada, que é mantida pelo dono do certificado. 
    Abaixo, uma ideia de como funciona uma AC:

    Fonte: http://www.gta.ufrj.br/ensino/eel879/trabalhos_vf_2011_2/ricardo/chavepublica.html


    Os tipos de certificado existentes no Brasil:


    Fonte: http://www.cartoriobrandao.com.br/index.php?pG=X19wYWdpbmFz&idPagina=51

    Os ceritificados no Brasil seguem o padrão ITU-T X509 v3, com estrutura expressa em Abstract Syntax Notation One (ASN 1 http://www.itu.int/ITU-T/asn1/introduction/) e os seguintes campas básicos: Version Serial Number Algorithm ID Issuer Validity Not Before Not After Subject Subject Public Key Info Public Key Algorithm Subject Public Key Issuer Unique Identifier (optional) Subject Unique Identifier (optional) Extensions (optional) ... Certificate Signature Algorithm Certificate Signature Tradicionalmente, uma infraestrutura de chaves públicas utiliza o algoritmo RSA para gerar chaves. Esse algoritmo se baseia na dificuldade de fatoração de números inteiros grandes. 
  • Para uma entidade emitir o certificado digital, ela deve gerar um par de chaves criptográficas e um Hash do arquivo da chave privada.

    para que um hash na chave privada se ela esta sempre com o proprietario???

    item ERRADO


ID
869572
Banca
VUNESP
Órgão
TJ-SP
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

No contexto da segurança da informação, a certificação digital tem como objetivo garantir alguns aspectos de segurança.
Considere os seguintes aspectos de segurança da informação:

I. Autenticidade.

II. Confidencialidade.

III. Integridade.

De fato, são aspectos garantidos pela certificação digital o contido em

Alternativas
Comentários
  • Cartilha Cert.br

     

    Certificado digital

    Registro eletrônico composto por um conjunto de dados que distingue uma entidade e associa a ela uma chave pública. Pode ser emitido para pessoas, empresas, equipamentos ou serviços na rede (por exemplo, um site Web) e pode ser homologado para diferentes usos, como confidencialidade e assinatura digital.

     

    Assinatura digital

    Código usado para comprovar a autenticidade e a integridade de uma informação, ou seja, que ela foi realmente gerada por quem diz ter feito isso e que ela não foi alterada.

  • Assinatura Digital: Apenas autenticidade e integridade.

    Certificado Digital: Além da autenticidade e integridade, a confidencialidade também.

  • Gabarito: Letra E.

    Apenas para complementar:

    Segurança da Informação visa garantir a DICA - Disponibilidade, Integridade, Confidencialidade e Autenticidade dos ativos de informação.

    Já a certificação digital, que é um mecanismo de segurança, visa garantir a CIA - Confidencialidade, Integridade e Autenticidade.


ID
879382
Banca
FEPESE
Órgão
FATMA
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Identifique as afirmativas corretas a respeito da Certificação digital.

1. A operação de emissão do certificado envolve duas entidades: Autoridade responsável (AR) e Autoridade correspondente (AC).
2. É um documento eletrônico, assinado digitalmente por uma terceira parte confiável, que associa uma pessoa ou entidade a uma chave pública.
3. Um certificado digital normalmente apresenta as seguintes informações de seu titular: nome da pessoa ou entidade a ser associada à chave pública, período de validade do certificado, chave pública, nome e assinatura da entidade que assinou o certificado e número de série.


Assinale a alternativa que indica todas as alternativas corretas.

Alternativas
Comentários
  • Gabarito: D.

     

    AR (Autoridade de Registro)

    AC (Autoridade Certificadora)


ID
880912
Banca
ESAF
Órgão
DNIT
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Um dos campos do certificado digital no padrão X.509 é o de assinatura do certificado. Esta assinatura é realizada pelo(a):

Alternativas
Comentários
  • O certificado digital é emitido por uma Autoridade de Certificação (AC), que pode ser uma empresa, organização ou indivíduo, tanto público quanto privado. A Autoridade de Registro (AR) atua como tabelião para verificar e autenticar a identidade dos usuários de um sistema criptográfico de chave pública. Uma AC, que pode fazer o papel de uma AR, responsabiliza-se pela distribuição da chave pública e pela garantia de que uma determinada chave pública esteja seguramente ligada ao nome de seu dono.
    Fonte: http://www.gta.ufrj.br/grad/07_2/delio/Infra-estruturadeChavesPblicas.html
  • Resposta certa: A

    Um certificado normalmente inclui:

    • Informações refentes a entidade para o qual o certificado foi emitido (nome, email, CPF/CNPJ, PIS etc.)
    • A chave pública referente a chave privada de posse da entidade especificada no certificado
    • O período de validade
    • A localização do "centro de revogação" (uma URL para download da LCR, ou local para uma consulta OCSP)
    • A(s) assinatura(s) da(s) AC/entidade(s) que afirma que a chave pública contida naquele certificado confere com as informações contidas no mesmo
    Fonte: http://pt.wikipedia.org/wiki/Certificado_digital
  • Um certificado digital é usado para ligar uma entidade a uma chave pública. Para garantir digitalmente, no caso de uma Infraestrutura de Chaves Públicas (ICP), o certificado é assinado pela Autoridade Certificadora (AC) que o emitiu.

    Por isso a resposta é a letra A.

    Fonte: https://pt.wikipedia.org/wiki/Certificado_digital


ID
880921
Banca
ESAF
Órgão
DNIT
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Por motivos diversos, pode ser necessário revogar um certificado digital antes da sua expiração. O padrão X.509 define uma estrutura de dados assinada digitalmente, com time-stamping, denominada Certificate Revocation List (lista de certificados revogados), que identifica os certificados revogados por meio do(a):

Alternativas
Comentários
  • A anatomia de um certificado X.509

    Um certificado padrão X.509 contém os seguintes campos:

    Versão - Contem a versão do certificado X.509, atualmente versão 3 Número serial - Todo certificado possui um, não é globalmente único, mas único no âmbito de uma AC, ac LCRs usam o serial para apontar quais certificados se encontram revogados ...
    Fonte: http://pt.wikipedia.org/wiki/Certificado_digital
  • A ESAF e a FGV amam o livro do Nakamura.

    LETRA B.

    Segundo Nakamura(2010,p.323),"O padrão X.509 define um método de revogação de certificados que inclui uma estrutura de dados assinada digitalmente,chamada Certificate Revocation List(CRL)-uma lista com time-stamp,a qual identifica os certificados revogados (por meio do seu número serial.)

    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-2010, EMILIO T. NAKAMURA

  •  Sempre que a AC descobre ou é informada que um certificado não é mais confiável, ela o inclui em uma "lista negra", chamada de "Lista de Certificados Revogados" (LCR) para que os usuários possam tomar conhecimento. 

    A LCR é um arquivo eletrônico publicado periodicamente pela AC, contendo o número de série dos certificados que não são mais válidos e a data de revogação.

    http://cartilha.cert.br/criptografia/


ID
894001
Banca
CESPE / CEBRASPE
Órgão
TRT - 10ª REGIÃO (DF e TO)
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à certificação digital, julgue os itens que se seguem.

As autoridades de registro, que se devem vincular a uma autoridade certificadora, recebem, validam, verificam e encaminham as solicitações de emissão e de revogação dos certificados digitais para as autoridades certificadoras.

Alternativas
Comentários
  • Questão correta!!

    Uma Autoridade de Registro (AR) é responsável pela interface entre o usuário e a Autoridade Certificadora. Vinculada a uma AC, tem por objetivo o recebimento, validação, encaminhamento de solicitações de emissão ou revogação de certificados digitais e identificação, de forma presencial, de seus solicitantes. É responsabilidade da AR manter registros de suas operações. Pode estar fisicamente localizada em uma AC ou ser uma entidade de registro remota.


    Fonte:
    http://www.iti.gov.br/certificacao-digital/autoridades-de-registro
  • A infrasetrutura de chave - ICP pública é composta por 4 elementos

    1- Entidade final -> proprietário do certificado;

    2- Autoridade Certificadora -> responsável por gerenciar e emitir os certificados. É a principal entidade da ICP;

    3- Autoridade de Registro -> usada principalmente para executar processos administrativos (não emite os certificados);

    4- Repositório -> local onde são armazenados os certificados e listas de certificados revogados.

  • AR - Autoridade de Registro 

    Uma Autoridade de Registro (AR) é responsável pela interface entre o usuário e a Autoridade Certificadora. Vinculada a uma AC, tem por objetivo o recebimento, validação, encaminhamento de solicitações de emissão ou revogação de certificados digitais e identificação, de forma presencial, de seus solicitantes. É responsabilidade da AR manter registros de suas operações. Pode estar fisicamente localizada em uma AC ou ser uma entidade de registro remota.

    Bibliografia : http://www.iti.gov.br/index.php/icp-brasil/como-funciona

  • Autoridade de Registro - RA/AR

    - Intermediária entre CA e o usuário final
    - Recebimento, validação, encaminhamento de solicitações de forma presencial
    - Autoridade delegada pela CA
    - Usuário final e CA estabelecem a confiança

  • GABARITO: CORRETO

    A autoridade de registro (AR) verifica a documentação.


ID
894004
Banca
CESPE / CEBRASPE
Órgão
TRT - 10ª REGIÃO (DF e TO)
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à certificação digital, julgue os itens que se seguem.

Um requisito para uma entidade tornar-se uma autoridade de registro é ser uma entidade jurídica, não podendo as pessoas físicas tornarem-se autoridades de registro.

Alternativas
Comentários
  • sempre erro essa questão, pois sem acho que as regras com relação às AR são menos restritas!

    Dammmmm it!

  • As Autoridades de Registro também podem ser tanto entidades públicas ou pessoas jurídicas de direito privado credenciadas pela AC-Raiz e sempre serão vinculadas operacionalmente a determinada AC. Nos termos do art. 70 da MP 2.200-2, compete-lhes "identificar e cadastrar usuários na presença destes, encaminhar solicitações de certificados às AC e manter registros de suas operações".

  • CERTO.

    Conforme a Medida Provisória 2200-2,"Art. 8o Observados os critérios a serem estabelecidos pelo Comitê Gestor da ICP-Brasil, poderão ser credenciados como AC e AR os órgãos e as entidades públicos e as pessoas jurídicas de direito privado."


    http://www.planalto.gov.br/ccivil_03/mpv/Antigas_2001/2200-2.htm



ID
894013
Banca
CESPE / CEBRASPE
Órgão
TRT - 10ª REGIÃO (DF e TO)
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à certificação digital, julgue os itens que se seguem.

Um certificado digital é um documento em que são registradas diversas informações, tais como titular e sua chave pública, assim como nome e assinatura da autoridade certificadora que garantirá a emissão do certificado.

Alternativas
Comentários
  • Certificado Digital
    • Funciona como se fosse um documento digital homologado por uma entidade confiável para as partes, permitindo a vinculação do seu proprietário com uma chave pública.
    • Há vários padrões no mercado, mas predomina o padrão X.509 v3 nas ICPs
    • O padrão X.509 v3 contém as seguintes informações:
      • Versão
      • Número Serial
      • Algoritmo de Assinatura
      • CA Emitente
      • Período de Validade
      • Nome X.500 do Proprietário
      • Algoritmo de Identificação da chave pública
      • Chave pública
      • Identificador do Emitente
      • Identificador do Proprietário
      • Extensão
      • Assinatura Digital da CA
  • Os ceritificados no Brasil seguem o padrão ITU-T X509 v3, com estrutura expressa em Abstract Syntax Notation One (ASN 1 http://www.itu.int/ITU-T/asn1/introduction/) e os seguintes campas básicos: 

    mais em http://4sdrub4l.blogspot.com.br/2013/07/sobre-autoridades-certificadoras-e.html
  • Clique no cadeado ou no " i " que aparece na barra de endereço do site do Qconcusros, e vá em certificado digital, então vc verá todas essa informações;


ID
894016
Banca
CESPE / CEBRASPE
Órgão
TRT - 10ª REGIÃO (DF e TO)
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à certificação digital, julgue os itens que se seguem.

No Brasil, a infraestrutura de chaves públicas foi implantada com o objetivo de prover soluções de criptografia para chaves públicas, sendo o governo brasileiro o único órgão responsável pela emissão e administração de certificados digitais.

Alternativas
Comentários
  • Instituto Nacional de Tecnologia da Informação é a Autoridade Certificadora Raiz. É a autoridade responsável por credenciar ,supervisonar e auditar os participantes da cadeia.
  • Alternativa erradíssima,
    pois afirma que o Brasil é o único órgao responsavel pela emissão e administração de certificados digitais.
    absurdo!!!!!!
  • Nada impede que entidades privadas criem e gerenciem seus próprios certificados (por questões financeiras ou de segurança), sendo assim o governo brasileiro não é o único que pode gerenciar certificados digitais no Brasil. A diferença é que a credibilidade dos certificados do governo são muito mais aceitos.
  • ERRADA. O governo não é o único pois existe varias autoridades certificadoras abaixo do ITI, que são responsáveis pela emissão e administração de seus certificados digitais.

  • A Caixa Econômica é uma AC? Alguém sabe?

  • Prezados,

    Segundo o Art. 8º da MP 2.200-2 , observados os critérios a serem estabelecidos pelo Comitê Gestor da ICP-Brasil, poderão ser credenciados como AC e AR os órgãos e as entidades públicos e as pessoas jurídicas de direito privado.

    Atualmente existem 12 AC credenciadas , algumas entidades privadas e outras órgãos do governo e empresas públicas.


    A alternativa correta é : ERRADO.


  • Sim Rafael, a Caixa é. Segue uma lista no link abaixo.

    Segundo o ITI(2015),"

    CAIXA ECONÔMICA FEDERAL:Única instituição financeira credenciada como Autoridade Certificadora ICP-Brasil, a Caixa Econômica Federal tem trabalhado também para que a certificação digital integre serviços que resultem em melhoras para seus funcionários, clientes e titulares das contas de Fundo de Garantia por Tempo de Serviço - FGTS.

    "

    http://www.iti.gov.br/index.php/icp-brasil/estrutura


  • Tanto a AC-Raiz quanto as AC (subordinadas) podem emitir. Fonte: http://www.meubizu.com.br/

  • AC raiz ⇒ AC1 ⇒ AR ⇒ Certificação Digital


ID
894019
Banca
CESPE / CEBRASPE
Órgão
TRT - 10ª REGIÃO (DF e TO)
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à certificação digital, julgue os itens que se seguem.

O certificado digital revogado deve constar da lista de certificados revogados, publicada na página de Internet da autoridade certificadora que o emitiu.

Alternativas
Comentários
  • No padrao x.509, certificado com a versao 2 nao é certificado, mas sim uma lista de certificados revogados
  • Segundo Nakamura (2010, p. 322), "O padrão x.509 define um método de revogação de certificados que inclui uma estrutura de dados assinada digitalmente, chamada Certificate Revocation List (CRL) - uma lista com time-stamp, a qual identifica os certificados revogados(por meio do seu número serial). Ela deve permanecer disponível livremente em um repositório público, para permitir que sejam feitas consultas."


    Bibliografia:  
    Segurança de Redes em ambientes cooperativos
    Autor: Nakamura
  • Às AC, entidades credenciadas a emitir certificados digitais vinculando pares de chaves criptográficas ao
    respectivo titular, compete emitir, expedir, distribuir, revogar e gerenciar os certificados, bem como colocar à disposição
    dos usuários listas de certificados revogados e outras informações pertinentes e manter registro de suas operações.

     

  • "[...] deve constar da lista de certificados revogados, publicada na página de Internet da autoridade certificadora que o emitiu."

     

    Eu marquei errado pela relação que o enunciado criou entre "deve" e "na página de Internet da autoridade certificadora que o emitiu".

     

    Como Cespe é tudo ao pé da letra, imaginei que, pela possibilidade de essa lista estar em outro site - não necessariamente no site da AC que emitiu o certificado - a afirmação estaria errada.

     

    Essas questões de C ou E criam essa situação: invariavelmente, você procura chifre na cabeça de cavalo e toma pau.

  • recorreeeeeee concurseiro, recorre!

    publicada na lista de certificados revogados (LCR) OK, mas não necessariamente no site da AC, a LCR pode estar sei lá qualquer repositório público não importa, mas a questão restringiu demaaaaais...

    nossa, quanta questão que faltou recurso eu vejo aqui


ID
902314
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

O certificado digital visa a garantir a associação de uma chave pública a uma pessoa, entidade ou host.
Para isso, a Autoridade Certificadora (AC) que emite o certificado digital deve

Alternativas
Comentários
  • Praticamente tirou a questão da Wikipédia (ou da mesma fonte).

    "Um certificado digital é usado para ligar uma entidade a uma chave pública. Para garantir digitalmente, no caso de uma Infraestrutura de Chaves Públicas (ICP), o certificado é assinado pelaAutoridade Certificadora (AC) que o emitiu e no caso de um modelo de Teia de Confiança (Web of trust) como o PGP, o certificado é assinado pela própria entidade e assinado por outros que dizem confiar naquela entidade."
  • Caí na bobagem de colocar a letra "D", também! Mas, a correta é a letra "A". Relembrando o conceito de Certificado digital, o passo que garante a associação de uma entidade com sua chave pública por uma Autoridade Certificadora (AC) é a Assinatura Digital por meio da chave privada desta AC. Isso é suficiente para finalizar o processo de certificação digital. Realmente, não há o passo onde a AC criptografa o certificado emitido por ela mesmo! O certificado é para ser legível e compreendido por qualquer cliente que deseje certificar-se que aquela entidade (certificada digitalmente) é quem diz ser!

    Espero ter ajudado na compreensão!
  • Resposta certa: A

    Uma Autoridade Certificadora (AC) é uma entidade, pública ou privada, subordinada à hierarquia da ICP-Brasil, responsável por emitir, distribuir, renovar, revogar e gerenciar certificados digitais. Tem a responsabilidade de verificar se o titular do certificado possui a chave privada que corresponde à chave pública que faz parte do certificado. Cria e assina digitalmente o certificado do assinante, onde o certificado emitido pela AC representa a declaração da identidade do titular, que possui um par único de chaves (pública/privada).


    Fonte: http://www.iti.gov.br/certificacao-digital/autoridades-certificadoras

ID
927493
Banca
CESPE / CEBRASPE
Órgão
INPI
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação à criptografia, julgue os próximos itens.

Certificado digital é um tipo de registro eletrônico, com chave pública, que contém dados capazes de identificar uma entidade. Além disso, é validado por outra entidade e pode ser emitido para pessoas físicas e jurídicas.

Alternativas
Comentários
  • Emissão por pessoa física?
    alguem explica??
  • Ele pode ser emitido PARA pessoas físicas e jurídicas. A emissão é feita pela Autoridade Ceritificadora.
  • Segue uma definição geral acerca de Certificação Digital...

    A Certificação Digital pode ser vista como um conjunto de técnicas, processos e normas estabelecidas ou adotadas, que visam propiciar mais segurança às comunicações e transações eletrônicas, proporcionando a autenticidade e integridade das informações que tramitam de forma eletrônica. Logo, pode-se dizer que ela é necessária ou recomendada sempre que se deseje aumentar o nível de segurança nos serviços de autenticação de usuários, servidores, aplicações, pois garante as propriedades de confidencialidade, autenticidade, integridade e não repúdio.

    A Certificação digital aplica os conceitos de criptografia e assinatura digital. A sua implantação depende do uso de certificados digitais, sendo que a validade e autenticidade dos certificados devem ser garantidas por uma infraestrutura de chaves públicas (ICP).

    Os certificados de chave pública ou digitais, como são normalmente chamados, consistem em documentos eletrônicos no formato de arquivo, com um conjunto de informações que têm como objetivo associar o nome de uma entidade/pessoa com sua correspondente chave pública (FEGHHI e WILLIAM, 1999). Logo, pode- se dizer que um certificado digital é uma forma de credencial de segurança. Com funcionalidades semelhantes à de um certificado físico, ele inclui chave pública de uma pessoa, que possibilita a verificação por outros usuários se a mesma pertence, ou não, ao seu certificado.

    Ademais, os certificados podem ser emitados para pessoas físicas e juridicas.

    Alternativa: Certa

  • Qualquer um pode emitir, entretanto, um requisito para uma entidade tornar-se uma autoridade de registro é ser uma entidade jurídica, não podendo as pessoas físicas tornarem-se autoridades de registro.

  • Eu li rapidamente a questão e errei. Uma preposição PARA.

    Pessoas físicas e jurídicas podem receber o certificado, contudo os certificados só podem ser emitidos POR pessoas juridicas.

  • Prova: CESGRANRIO - 2011 - FINEP - Analista de Suporte

    Disciplina: Segurança da Informação | Assuntos: Certificação Digital; 

    Um certificado de chave pública (certificado digital) é um conjunto de dados à prova de falsificação e que atesta a associação de uma chave pública a um usuário final. Essa associação é garantida pela Autoridade Certificadora (AC) que emite o certificado digital após a confirmação da identidade do usuário.
    Com relação ao certificado emitido por uma AC, sua integridade e autenticidade são conferidas APENAS de posse da

                  a) assinatura digital presente no certificado

                    b) assinatura digital presente no certificado e da chave pública da AC

                    c) assinatura digital presente no certificado e da chave privada da AC

                    d) assinatura digital presente no certificado e das chaves pública e privada da AC

                e) assinatura digital presente no certificado e do certifica- do e chave privada da AC

    LEtra B

    eu tenho q estar de posso da chave publica da AC

  • Para os colegas não assinantes: Gabarito:Certo.


ID
928627
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Quanto à segurança da informação, julgue os itens de 89 a 95.

Para que uma entidade A use uma infra-estrutura de chaves públicas (PKI) de modo a se comunicar, solicita um certificado digital à autoridade registradora (RA), que confirma a identidade de A. Uma vez confirmada a identidade, o certificado é criado e assinado pela autoridade certificadora (CA). Se B receber o certificado de A, deve avaliar se confia na CA que assinou o certificado de A, em caso afirmativo, pode obter a chave privada de A a partir do certificado recebido.

Alternativas
Comentários
  • Jamais pode obter a chave privada de A!
  • Com o nome já diz, a chave "privada" só é de acesso de seu dono.
  • O certificado recebido contém a chave pública de A e informações adicionais que o identificam.
    Fonte: http://pt.wikipedia.org/wiki/Certificado_digital
  • O colega acima esta enganado, a AC assina o certificado emitido por ela, esta informação faz parte do certificado;
    Um certificado contém as informações essenciais para associar uma entidade a qual pertence o certificado a uma chave pública. Dente as informações mais comumente presentes, podemos citar a identificação do dono do certificado, a sua chave pública, as informações referentes à Autoridade Certificadora que assinou o certificado, e a sua validade. Estes certificados podem tanto ser usados para identificar a entidade como para identificar níveis de permissão ou credenciais. Além disso, os certificados geralmente contêm uma assinatura digital da Autoridade que o assinou e da entidade que possui o certificado, de forma que a integridade dos mesmos possa ser verificada com um nível maior de segurança.
    graphic
  • Quase que eu me deixo levar ...

  • Gab. Errado

    Será a chave pública da Entidade não privada.


ID
932212
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação às normas e à legislação em vigor referentes à
segurança da informação, julgue os itens subsequentes.

O SERPRO é uma das autoridades certificadoras credenciadas pela ICP-Brasil para emitir certificados digitais que busquem garantir a integridade dos dados sigilosos que constam em documentos eletrônicos no âmbito da administração pública federal direta e indireta.

Alternativas
Comentários
  • ICP - BRASIL

    -Modelo Hierárquico: Uma AC não pode certificar outra q não seja imediatamente inferior (hierarquia)
    -AC Raiz no Brasil é o ITI:
     -->É a primeira autoridade da cadeia de certificação;
     -->Executa as Políticas de Certificados e normas técnicas e operacionais aprovadas pelo Comitê Gestor da ICP-Brasil;
     -->Somente a AC Rais pode realizar certificação cruzada com AC raízes em outros países;
     -->emitir, expedir, distribuir, revogar e gerenciar os certificados das autoridades certificadoras DE NÍVEL IMEDIATAMENTE SUBSEQUENTE AO SEU;
     -->encarregada de emitir a lista de certificaados revogados e de fiscalizar e auditar as autoridades certificadoras, autoridades de registro e demais prestadores de serviço habilitados na ICO-Brasil.

     

    Fonte: Itnerante


ID
933256
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de certificação digital, julgue os itens a seguir.

A ICP-Brasil oferece duas categorias de certificados digitais: a A, para fins de identificação e autenticação; e a categoria S, para atividades sigilosas. Os certificados Al e A3 são os mais utilizados, sendo que o primeiro é geralmente armazenado em cartões inteligentes (smartcards) ou tokens protegidos por senha, enquanto o segundo é guardado no computador do solicitante.

Alternativas
Comentários
  • GABARITO: ERRADO

    O enunciado está correto em dizer que os certificados de categoria A são utilizados para fins de identificação e autenticação; e os de categoria S, para atividades sigilosas; e, que os certificados A1 e A3 são os mais utilizados. Contudo, diferentemente do que foi descrito, os certificados que ficam armazenados no computador do usuário são o A1 e o S1, e os certificados A2, A3, A4, S2, S3 e S4 são armazenados em um hardware criptográfico (smart card ou token).

  • Questão safadinha!!! rss

     

    ERRO EM VERMELHO: A ICP-Brasil oferece duas categorias de certificados digitais: a A, para fins de identificação e autenticação; e a categoria S, para atividades sigilosas. Os certificados Al e A3 são os mais utilizados, sendo que o primeiro é geralmente armazenado em cartões inteligentes (smartcards) ou tokens protegidos por senha, enquanto o segundo é guardado no computador do solicitante.

     

    Da até dó esse errinho no final, pq tirando isso, os conceitos anteriores estão perfeitos.

     

     

  • A1: Produzido em SW // Armazenado em SW

    A2: Produzido em SW // Armazenado em HW

    A3 Produzido em HW // Armazenado em HW

    Fonte: AlfaConcursos

  • a questão simplesmente inverteu suas definições!

    1. Certificados A1 Os certificados A1 são aqueles cuja chave privada é gerada em um software, ficando armazenada em um computador ou programa de computador. Além disso, é possível (e recomendado) que o utilizador do certificado faça uma cópia de segurança do certificado. Os dados são protegidos por meio de uma senha de acesso, sendo que apenas por meio dela é possível acessar, mover e copiar a chave privada a ele associada. A validade máxima do certificado A1 é de 1 ano.
    2. Certificados A3 Os certificados A3 são gerados e armazenados em um hardware criptográfico, que pode ser um cartão inteligente ou um token. O titular do Certificado A3 é o único que pode usar a chave privada, de posse da sua senha de acesso. Além disso, as informações não podem ser copiadas ou reproduzidas, e também não é possível fazer cópia de segurança. A validade máxima do certificado A3 é de 3 anos
  • Segue uma tabelinha do material do Estratégia

    Tipo................Armazenamento........................validade (anos)

    A1/S1...............HD e Pen Drive........................................................1

    A2/S2...............SmartCard (com chip) ou Token USB...................2

    A3/S3...............SmartCard (com chip) ou Token USB...................5

    A4/S4...............SmartCard (com chip) ou Token USB...................6

  • Errado.

    Meus resumos...

    Os certificados digitais da Categoria A costumam ser usados para fins de identificação e autenticação.

    A Categoria S é direcionada a atividades sigilosas, como a proteção de arquivos confidenciais.

    Tipo................Armazenamento........................validade (anos)

    A1/S1...............HD e Pen Drive........................................................1

    A2/S2...............SmartCard (com chip) ou Token USB...................2

    A3/S3...............SmartCard (com chip) ou Token USB...................5

    A4/S4...............SmartCard (com chip) ou Token USB...................6

    Qualquer erro, gentileza me informar.

    Fonte Estratégia.

  • < > GABARITO: ERRADO

    • PARA AJUDAR A FIXAR

    O CERTIFICADO A1 É O ÚNICO ARMAZENADO POR SOFTWARE DENTRE TODOS OS OUTROS.

    ATENÇÃO!!! ARMAZENADO

    CASO APAREÇA O A2 ELE É GERADO POR SOFTWARE ASSIM COMO O A1 QUE TAMBÉM É GERADO POR SOFTWARE, PORÉM ESTE TAMBÉM É ARMAZENADO POR SOFTWARE


ID
933259
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de certificação digital, julgue os itens a seguir.

O termo assinatura eletrônica refere-se a qualquer mecanismo, não necessariamente criptográfico, para identificar o remetente de uma mensagem eletrônica, tendo, portanto, um significado diferente de assinatura digital.

Alternativas
Comentários
  • Assinatura eletrônica é aquela que você usa uma mesa digitalizadora e assina, resultando na digitalização da sua assinatura. Assinatura digital é a chave pública do emissor, cifrada com a chave privada da Autoridade Certificadora, disponível para auferir a identidade do remetente. Questão certa.

  •  Assinatura Eletrônica X Assinatura Digital

  • Assinatura digital(mecanismo criptográfico que garante integridade, não repúdio e autenticidade) é diferente de assinatura eletrônica(identifica o remetente de uma mensagem eletrônica, Ex: Att. Fulano).


ID
933262
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de certificação digital, julgue os itens a seguir.

Além de estar digitalmente assinada por uma autoridade certificadora, um certificado digital pode conter diversas outras informações que determinam o nível de confiabilidade do certificado, tais como política de utilização (limites de transação, especificação de produtos etc.), nome, endereço e empresa solicitante, validade do certificado e outras.

Alternativas
Comentários
  • Os certificados digitais aderem por padrão o formato X.509 que contém informações sobre o nome do proprietário, endereço eletrônico do proprietário, data de criação do certificado, data de validade do certificado, número serial único do certificado e assinatura digital sobre o conjunto dos campos anteriores.

     

    fonte:  https://www.devmedia.com.br/gerando-um-certificado-digital-proprio/31506


ID
946879
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens a seguir, referentes à criptografia e assinatura e certificação digitais.

Um certificado digital consiste na cifração do resumo criptográfico de uma chave pública com a utilização da chave privada de uma autoridade certificadora.

Alternativas
Comentários
  • Correto? Segundo a Cespe, está correto. Mas...
    Assinatura digital = criptografia com a chave privada do emissor sobre o hash da mensagem
    Assinatura digital num certificado digital = criptografia com a chave privada da AC sobre o hash de um conjunto de campos (inclusive chave pública) do certificado digital.
  • Questão passível de recurso.
    O certificado digital não cifra apenas a o resumo da chave publica, e sim o resumo da chave publica + nome emissor + periodo validade + número de série.
    Se fosse considerado apenas o resumo da chave publica, seria possivel pegar um certicado digital alterar o nome do emissor  (ou mesmo a validade) e ele continuaria sendo um certificado válido, pois a cifra estaria considerando somente a chave pública (que não foi alterada).
  • O certificado digital é um conjunto ordenado de informações para a identificação de seu portador com a garantia de autenticidade oferecida por um terceiro: no Brasil, é o ICP-Brasil que desempenha esta função. Ele define Certificado Digital como
    "
    uma identidade virtual que permite a identificação segura e inequívoca do autor de uma mensagem ou transação feita em meios eletrônicos, como a web. Esse documento eletrônico é gerado e assinado por uma terceira parte confiável, ou seja, uma Autoridade Certificadora (AC) que, seguindo regras estabelecidas pelo Comitê Gestor da ICP-Brasil, associa uma entidade (pessoa, processo, servidor) a um par de chaves criptográficas. Os certificados contém os dados de seu titular conforme detalhado na Política de Segurança de cada Autoridade Certificadora."

    O formato mais popular utilizado é o ITU-T X509 v3, com estrutura expressa em Abstract Syntax Notation One (ASN 1 
    http://www.itu.int/ITU-T/asn1/introduction/) e os seguintes campas básicos: 


    Assim, tendo definido o que é um Certificado Digital, analisemos a questão:

    "Um certificado digital consiste na cifração do resumo criptográfico de uma chave pública com a utilização da chave privada de uma autoridade certificadora."

    ou seja, a questão informa que um CD é o hash de uma KPub criptografado com a KPriv da AC. Isso é incorreto. Na melhor das hipóteses, essa é uma forma de garantir a autenticidade da KPub examinada no CD, mas isso n é o CD.

    Recurso na banca!


    mais em http://4sdrub4l.blogspot.com.br/2013/07/sobre-autoridades-certificadoras-e.html
    http://www.iti.gov.br/index.php/certificacao-digital/o-que-e
  • Apesar de confusa, pode estar correta. 

    Pois se analisarmos o conteúdo do certificado, temos a assinatura da AC que emitiu o certificado, que nada mais é do que a assinatura digital da AC, o que seria isso: o hash criptografado com a chave privada da AC que emitiu o certificado, para garantir a autenticidade da AC, portanto questão correta.
  • A questão elizeomar é que um certificado é muito mais que a cifração do resumo da chave. Ele possui a chave, mais um monte de campos de cabeçalho, mais um hash dessa mensagem toda criptografado com a chave privada da entidade certificadora para garantir a integridade. É questão ta longe de estar certa. 

  • Foi complicado entender... depois de ler todos os comentários acredito que a resposta esteja no livro do Nakamura.

    Fonte: Segurança de Redes em Ambientes Cooperativos Ed. Novatec Emilio Tissato Nakamura Cáp. 9 pág. 317

    "Quando a criptografia de chave pública é utilizada, as chaves públicas de usuários ou sistemas podem estar assinadas digitalmente por uma autoridade certificadora (Certification Authority - CA) confiável, de modo qua a utilização ou publicação falsa dessas chaves pode ser evitada. As chaves públicas assinadas digitalmente por uma autoridade certificadora confiável constituem, assim, os certificados digitais. A autoridade certificadora, os usuários, os sistemas e seus certificados digitais fazem parte de um modelo de confiança essencial em um ambiente cooperativo, necessário para a identificação, autenticação e acesso seguro aos sistemas críticos"


    Espero ter ajudado...

  • Da entender wue o resumo eh da chave publica

     

    e o resumo tem mais que a chave publica

     

    Resumo 
    Dono Cert
    Extensoes
    Chave Publica

    2014
    A verificação de um certificado digital é feita mediante a decifração, com a chave pública da autoridade certificadora que o assinou, do resumo criptográfico cifrado (que nele consta) e a confrontação deste com o cálculo do resumo da chave pública a que se refere o certificado.
    errada

  • - Comentário do prof. Victor Dalton (ESTRATÉGIA CONCURSOS)

    Um certificado digital pode ter a chave pública de uma entidade cifrada com a chave privada da Autoridade Certificadora. Assim, ao decifrar a chave pública da entidade usando a chave pública da AC, existe a confiança na procedência da chave.



    Gabarito: ERRADO

  • Já encontrei outra questão também dúvidosa, creio que na época ninguém fez um recurso a altura e por isso o gab continua como CORRETO, mas está errada mesmo.

  • questao ERRADAAA!!! cespeeeeeee

  • tá ERRADA!

    próxima


ID
1022293
Banca
IBFC
Órgão
PC-RJ
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

É conhecido como um arquivo eletrônico que contém dados de uma pessoa ou instituição, utilizados para comprovar sua identidade. Este arquivo pode estar armazenado em um computador ou em outra mídia, como um token ou smart card. Estamos falando em:

Alternativas
Comentários
  • Letra: B

    Um certificado digital é um arquivo de computador que contém um conjunto de informações referentes a entidade para o qual o certificado foi emitido (seja uma empresa, pessoa física ou computador) mais a chave pública referente a chave privada que se acredita ser de posse unicamente da entidade especificada no certificado.

    Um certificado padrão X.509 contém os seguintes campos:

    • Versão - Contem a versão do certificado X.509, atualmente versão 3
    • Número serial - Todo certificado possui um, não é globalmente único, mas único no âmbito de uma AC, ac LCRs usam o serial para apontar quais certificados se encontram revogados
    • Tipo de algoritmo - Contem um identificador do algoritmo criptográfico usado pela AC para assinar o certificado juntamente com o tipo de função de hash criptográfica usada no certificado
    • Nome do titular - Nome da entidade para o qual o certificado foi emitido
    • Nome do emitente - Autoridade Certificadora que emitiu/assinou o certificado
    • Período de validade - Mostra o período de validade do certificado no formato "Não antes" e "Não depois" (Ex. "Não antes de 05/03/2006 - 14:35:02" "Não depois de 05/03/2007 - 14:03:20")
    • Informações de chave pública da entidade
      • Algoritmo de chave pública
      • Chave pública
    • Assinatura da AC - A garantia que a AC provê sobre a veracidade das informações contidas neste certificado de acordo com as políticas da AC
    • Identificador da chave do titular - É uma extensão do X.509 que possui um identificador numérico para a chave pública contida neste certificado, especialmente útil para que programas de computador possam se referir a ela
    • Identificador da chave do emitente - A mesma ideia mencionada anteriormente, só que se referindo a chave pública da AC que emitiu o certificado
    • Atributos ou extensões - A vasta maioria dos certificados X.509 possui campos chamados extensões (OID) que proveêm algumas informações extras, como cadastros adicionais do titular e do emitente, especificações de propósito do certificado e etc.
  • A chave pública pode ser livremente divulgada. Entretanto, se não houver como comprovar a quem ela pertence, pode ocorrer de você se comunicar, de forma cifrada, diretamente com um impostor.

    .

    Um impostor pode criar uma chave pública falsa para um amigo seu e enviá-la para você ou disponibilizá-la em um repositório. Ao usá-la para codificar uma informação para o seu amigo, você estará, na verdade, codificando-a para o impostor, que possui a chave privada correspondente e conseguirá decodificar. Uma das formas de impedir que isto ocorra é pelo uso de certificados digitais.

    .

    O certificado digital é um registro eletrônico composto por um conjunto de dados que distingue uma entidade e associa a ela uma chave pública. Ele pode ser emitido para pessoas, empresas, equipamentos ou serviços na rede (por exemplo, um site Web) e pode ser homologado para diferentes usos, como confidencialidade e assinatura digital.

    .

    Um certificado digital pode ser comparado a um documento de identidade, por exemplo, o seu passaporte, no qual constam os seus dados pessoais e a identificação de quem o emitiu. No caso do passaporte, a entidade responsável pela emissão e pela veracidade dos dados é a Polícia Federal. No caso do certificado digital esta entidade é uma Autoridade Certificadora (AC).

  • GABARITO: LETRA B

    Certificado digital é um arquivo eletrônico que serve como identidade virtual para uma pessoa física ou jurídica., e por ele pode se fazer transações online com garantia de autenticidade e com toda proteção das informações trocadas

  • Gab. B

    Os certificados Digitais são geralmente armazenados em :

    • Pen drive
    • Smart Card
    • Pastas do S.O
    • Token

ID
1022299
Banca
IBFC
Órgão
PC-RJ
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Na criação de um certificado digital é gerado um arquivo composto pela chave pública da entidade e mais algumas informações sobre a entidade e é assinado digitalmente pela chave privada da própria entidade. Esse arquivo denomina-se CSR que significa:

Alternativas
Comentários
  • Resposta: B

    Criando um certificado digital

    1. A entidade que deseja emitir o certificado gera um par de chaves criptográficas (uma chave pública e uma chave privada).
    2. Em seguida a entidade gera um arquivo chamado Certificate Signing Request (CSR) composto pela chave pública da entidade e mais algumas informações que a AC requer sobre a entidade e é assinado digitalmente pela chave privada da própria entidade e envia o CSR cifrado pela chave privada da AC.
    3. Então é necessário o comparecimento físico de um indivíduo responsável por aquela identidade em uma Autoridade de Registro (AR) (em alguns casos a AR vai até o cliente) para confirmação dos dados contidos no CSR e se necessário o acréscimo de mais algum dado do responsável pelo certificado e emissão do certificado.
    4. Finalmente o CSR é "transformado" em um certificado digital assinado pela AC e devolvido ao cliente.
    5. Então o browser/aplicativo de gerência de certificados combina o certificado + a chave privada criando o conceito de "Identidade digital", normalmente salvando a chave privada em um cofre protegido por uma frase senha que será necessária para o posterior acesso a chave privada.

    Os browsers existentes hoje em dia como Internet ExplorerFirefox e Opera, conhecidos como o sistema FIOPEX, FI de FIrefox, OP de OPera, e Ex de Internet EXplorer fazem a parte do processo que depende do cliente (até o momento de enviar o CSR à AC) automaticamente. O processo também pode ser feito manualmente usando alguma biblioteca criptográfica como oOpenSSL por exemplo.


ID
1022311
Banca
IBFC
Órgão
PC-RJ
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Uma forma de se evitar fraudes através de ataques conhecidos por man-in-the-middle é certificar-se que, quando acessar um site seguro (Exemplo: Bancos, Lojas de compras, etc) o navegador:

Alternativas
Comentários
  • Resposta: E (acredito que a letra B também responderia a questão)

    man-in-the-middle (pt: Homem no meio, em referência ao atacante que intercepta os dados) é uma forma de ataque em que os dados trocados entre duas partes, por exemplo você e o seu banco, são de alguma forma interceptados, registados e possivelmente alterados pelo atacante sem que as vitimas se apercebam. Numa comunicação normal os dois elementos envolvidos comunicam entre si sem interferências através de um meio, aqui para o que nos interessa, uma rede local à Internet ou ambas.

    HTTPS (HyperText Transfer Protocol Secure), é sobre uma camada adicional de segurança que utiliza o protocolo SSL/TLS. Essa camada adicional permite que os dados sejam transmitidos por meio de uma conexão criptografada e que se verifique a autenticidade do servidor e do cliente por meio de certificados digitais. A porta TCP usada por norma para o protocolo HTTPS é a 443.

    O protocolo HTTPS é utilizado, em regra, quando se deseja evitar que a informação transmitida entre o cliente e o servidor seja visualizada por terceiros, como por exemplo no caso de compras online. A existência na barra de tarefas de um cadeado (que pode ficar do lado esquerdo ou direito, dependendo do navegador utilizado) demonstra a certificação de página segura (SSL). A existência desse certificado indica o uso do protocolo HTTPS e que a comunicação entre o browser e o servidor se dará de forma segura. Para verificar a identidade do servidor é necessário abrir esse certificado com um duplo clique no cadeado para exibição do certificado.

  • letra B tambem responde porém a letra E pode ser considerada "mais completa"

  • Letra B e letra E;

  • Certificado digital protege contra mitm? Ele não só garante autenticidade?
  • Palhaçada.

    IBFC mais uma vez com questões que tem 2 respostas certas.


ID
1044265
Banca
CETRO
Órgão
ANVISA
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Quanto ao Software Livre Servidor Apache, analise as assertivas abaixo.

I. Não oferece suporte a scripts CGI.

II. Oferece suporte a virtual hosting por nome ou endereço IP que impede as páginas de possuírem endereços diferentes no mesmo processo ou usar mais de um processo para controlar mais de um endereço.

III. Oferece suporte à criptografia via SSL e certificados digitais.

É correto o que se afirma em:

Alternativas
Comentários
  • Letra C.

    I - Ele oferece suporte a scripts CGI (shell) sendo necessário carregar o módulo cgi e habilitar no arquivo de configuração.

    II - A segunda parte (que impede as páginas de possuírem...) esta falando exatamente o contrario. Essa é exatamente a função do virtual host, interpretar um ou vários endereços e transformar em um processo para que o servidor possa entender e executar.

    III- Certo o apache oferece suporte tanto a criptografia(SSL) quanto a certificados digitais.


ID
1047184
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Uma empresa cuja matriz está localizada em Brasília possui três filiais localizadas em outras cidades do Brasil. As atribuições da matriz incluem analisar todas as propostas de negócio e autorizar os valores finais da negociação, além de analisar a documentação dos clientes para a liberação do crédito. Como atende a clientes em cidades onde não possui pontos de atendimento, a empresa recebe as propostas e documentos dos clientes eletronicamente e fecha contratos à distância. Os clientes também podem ser atendidos nas filiais, caso em que elas se responsabilizam pela recepção dos documentos e pelo seu envio, por meio eletrônico, para a matriz.

Com base nessa situação hipotética, julgue os seguintes itens.

O uso de certificados autoassinados para assinar eletronicamente os documentos digitais enviados pelos clientes às filiais é suficiente para garantir a autoria do envio desses documentos.

Alternativas
Comentários
  • O certificado digital é um registro eletrônico composto por um conjunto de dados que distingue uma entidade e associa a ela uma chave pública. Ele pode ser emitido para pessoas, empresas, equipamentos ou serviços na rede (por exemplo, um site Web) e pode ser homologado para diferentes usos, como confidencialidade e assinatura digital.
     
    Um certificado digital pode ser comparado a um documento de identidade, por exemplo, o seu passaporte, no qual constam os seus dados pessoais e a identificação de quem o emitiu. No caso do passaporte, a entidade responsável pela emissão e pela veracidade dos dados é a Polícia Federal. No caso do certificado digital esta entidade é uma Autoridade Certificadora (AC).
     
    Alguns tipos especiais de certificado digital que você pode encontrar são:
     
    Certificado autoassinado: é aquele no qual o dono e o emissor são a mesma entidade. Costuma ser usado de duas formas:
     
    Legítima: além das ACs raízes, certificados autoassinados também costumam ser usados por instituições de ensino e pequenos grupos que querem prover confidencialidade e integridade nas conexões, mas que não desejam (ou não podem) arcar com o ônus de adquirir um certificado digital validado por uma AC comercial.
     
    Maliciosa: um atacante pode criar um certificado autoassinado e utilizar, por exemplo, mensagens de phishing (mais detalhes na Seção 2.3 do Capítulo Golpes na Internet), para induzir os usuários a instalá-lo. A partir do momento em que o certificado for instalado no navegador, passa a ser possível estabelecer conexões cifradas com sites fraudulentos, sem que o navegador emita alertas quanto à confiabilidade do certificado.
     
    Certificado EV SSL (Extended Validation Secure Socket Layer): certificado emitido sob um processo mais rigoroso de validação do solicitante. Inclui a verificação de que a empresa foi legalmente registrada, encontra-se ativa e que detém o registro do domínio para o qual o certificado será emitido, além de dados adicionais, como o endereço físico.
      
      
    Um dos níveis de proteção de conexão usada na Internet envolve o uso de certificados autoassinados e/ou cuja cadeia de certificação não foi reconhecida. Este tipo de conexão não pode ser caracterizado como sendo totalmente seguro (e nem totalmente inseguro) pois, apesar de prover integridade e confidencialidade, não provê autenticação, já que não há garantias relativas ao certificado em uso.

    Fonte: http://www.iti.gov.br/

  • O cara falou ... falou e não saiu do canto!

    Resumindo:

    Qualquer um pode "autoatestar" uma certificação fingindo ser outra entidade, para garantir sua autoria o certo é você ser atestado por uma entidade confiável que é a entidade certificadora!

  • "É suficiente".....na CESPE, marca E e corre pro abraço!

     

  • Acho que a pegadinha foi dizer que o certificado foi autoassinado pelo cliente. O blablabla todo foi para induzir que, entre a matriz e filiais o certificado autoassinado bastaria, o que neste contexto intra-organizacional estaria correto. Contudo, a questão aborda o envio dos clientes à filiais. Neste caso as Filiais não tem como garantir a autenticidade dos certificados assinados pelos Clientes.

    "O uso de certificados autoassinados para assinar eletronicamente os documentos digitais enviados pelos clientes às filiais é suficiente para garantir a autoria do envio desses documentos. "

     

  • Certificado autoassinado: é aquele no qual o dono e o emissor são a mesma entidade. Costuma ser usado de duas formas:

    Legítima: além das ACs raízes, certificados autoassinados também costumam ser usados por instituições de ensino e pequenos grupos que querem prover confidencialidade e integridade nas conexões, mas que não desejam (ou não podem) arcar com o ônus de adquirir um certificado digital validado por uma AC comercial.

    Maliciosa: um atacante pode criar um certificado autoassinado e utilizar, por exemplo, mensagens de phishing (mais detalhes na Seção 2.3 do Capítulo Golpes na Internet), para induzir os usuários a instalá-lo. A partir do momento em que o certificado for instalado no navegador, passa a ser possível estabelecer conexões cifradas com sites fraudulentos, sem que o navegador emita alertas quanto à confiabilidade do certificado.

     

    https://cartilha.cert.br/criptografia/


ID
1053940
Banca
CESGRANRIO
Órgão
CMB
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Considerando-se que P seja a chave privada associada ao certificado digital de determinada AC (Autoridade Certificadora) da ICP-Brasil e que não existe consulta a certificados revogados, P é utilizada quando

Alternativas
Comentários
  • Para quem tem acesso restrito: gabarito letra E.

  • Não se assina com certificado! Não se criptografa com certificado! Não se verifica com chave privada, mas com chave pública!

ID
1055074
Banca
CESPE / CEBRASPE
Órgão
BACEN
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de fundamentos de assinatura digital e certificado digital, julgue os itens subsequentes.

A autoridade certificadora é responsável por divulgar informações caso o certificado por ela emitido não seja mais confiável.

Alternativas
Comentários
  • CERTO.

    Segundo Tanenbaum(2011,p.510),"Um primeiro passo nessa direção é fazer cada CA emitir periodicamente uma lista de revogação de certificados, ou CRL(Certificate Revocation List),fornecendo os números de série de todos os certificados que ela revogou."


    Bibliografia:

    TANENBAUM, A. S.; WETHERALL, D. Redes de Computadores. 5. ed. São Paulo: Pearson, 2011.

  • Versao 2

     

    2013

    O certificado digital revogado deve constar da lista de certificados revogados, publicada na página de Internet da autoridade certificadora que o emitiu.

    Certa

     

     

    2013

    Ao acessar um sítio seguro na Internet e receber o certificado digital do servidor, o navegador do cliente faz uma consulta à autoridade certificadora que assinou aquele certificado para verificar, por exemplo, se o certificado é válido ou não está revogado. Essa verificação é feita com o uso do protocolo OCSP (Online Certificate Status Protocol).

    Certa

     

    2004

    Certificados digitais têm normalmente um prazo de validade associado, além de poderem ser revogados por diversos motivos. Uma vez que um certificado tenha perdido sua validade, por tempo ou revogação, as chaves por ele certificadas devem ser destruídas, para evitar que possam ser utilizadas de forma fraudulenta.

    errada

  • GABARITO: CERTO

    Certificado perde a validade ou a sua confiabilidade -> autoridade certificadora revoga.