SóProvas



Questões de Protocolo SSL


ID
7396
Banca
ESAF
Órgão
CGU
Ano
2004
Provas
Disciplina
Segurança da Informação
Assuntos

Existem vários protocolos criptográficos que podem ser usados para garantir a segurança das informações transferidas através de redes TCP/IP. Alguns são para aplicações específicas e outros são para uso geral. O SSL, protocolo criptográfico mais popular da Internet, opera

Alternativas
Comentários
  • "...o que o torna independente dos protocolos de transporte..."
    Ele é realmente independente? O SSL/TLS usam sempre o TCP, podemos dizer que ele é independente do protocolo de transporte?
  • SSL é o protocolo de segurança padrão do setor para codificação de informações confidenciais, tais como seu número de cartão de crédito. O SSL cria uma chave digital compartilhada, que permite que apenas o emissor e o receptor da transmissão codifiquem ou decodifiquem informações. Para todos os outros, mesmo os servidores usados para transmitir a mensagem, a transmissão SSL é indecifrável. A criptografia SSL somente pode ser desfeita se a mensagem criptografada for interceptada, gravada e for usado um computador para tentar todas as combinações possíveis até que a chave seja decifrada. Funciona como uma camada intermediária entre as camadas de transporte e de aplicação.
  • Acho que o colega acima se equivocou sobre SSL, por causa d proximidade da prova. Na pressa ele escreveu APRESENTÇÂO, ao invés de SESSÂO. O protocolo SSL é camada 5, SESSÂO.
  • A pilha de protocolos que está em uso é a TCP/IP, a sequencia aplicação e transporte logo abaixo está correta. Lembrando que se for transpor o uso do TCP/IP e tentar fazer uma comparação com o modelo de referência OSI o camada de transporte do TCP/IP contempla as camadas Aplicação, Apresentação e Sessão do Modelo OSI.
  • O SSL na pilha de protocolos é uma nova camada colocada entre a camada de aplicação e a camada de transporte (conforme a figura), aceitando solicitações do navegador e enviando-as ao TCP para transmissão ao servidor.

    Aplicação (HTTP)
    Segurança (SSL)
    Transporte (TCP)
    Rede (IP)
    Enlace de dados (PPP)
    Física (modem, ADSL, TV a cabo)
    Fonte: TANENBAUM, Andrew S., 2003, p. 865.
  • Camada de API SOCKET 

  • c-

    ssl - camada 6


ID
195481
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Em ano de eleições gerais, é comum haver discussões na
sociedade acerca da possibilidade de se fazer a votação pela
Internet. Na concepção de um sistema hipotético de votação pela
Internet, foram evidenciados os seguintes requisitos relacionados
com a segurança da informação do sistema.

* Cada votante deverá ser autenticado pelo sistema por
certificado digital, cuja chave privada deve ser armazenada
em dispositivo de mídia removível (pendrive) ou smartcard.
O acesso a essa informação deverá ser protegido por uso de
identificador pessoal numérico (PIN), de uso exclusivo de
cada votante e que deve ser mantido secreto pelo votante.
*autoridade certificadora confiável. A lista de autoridades
certificadoras confiáveis aceitas é de conhecimento dos
votantes, que se responsabilizarão pela obtenção do certificado
digital apropriado junto à autoridade de registro/autoridade
certificadora apropriada.
* Os votantes aptos a participar da votação deverão ser
previamente cadastrados no sistema. Não serão recebidos
votos de indivíduos não cadastrados previamente, mesmo que
estes detenham um certificado digital compatível com o
sistema.
* Por questões de economicidade, não será requerido o uso de
pin pad seguro para digitação do PIN no momento da
autenticação do votante. Assim, a entrada do PIN poderá ser
realizada pelo teclado do terminal usado para acesso à
Internet.
* A sessão entre o navegador de Internet usado como interface
de cliente do sistema de votação e o servidor de aplicação que
disponibiliza a aplicação do sistema deverá utilizar protocolo
TLS/SSL com autenticação do cliente e do servidor. Para
autenticação do cliente TLS/SSL, será utilizado o certificado
digital supramencionado.

Com relação à situação descrita acima, julgue os itens que se
seguem.

A confidencialidade dos votos não será violada pela captura de tráfego na Internet, sem que sejam quebradas as proteções oferecidas pelo protocolo TLS/SSL.

Alternativas
Comentários
  • Quebrar a seção TLS/SSL é UMA das condições para que se viole a confidencialidade dos votos.
  • E exatamente isso, uma vez que o uso desses protocolos garante uma sessão segura com a disponibilização dos serviços de :

    autenticação mútua das duas entidades,
    confidencialidade,
    integridade e,
     negociação de parâmetros.

    TANENBAUM 4ª ED

ID
229915
Banca
UFF
Órgão
UFF
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação ao protocolo SSL, são características desse protocolo as abaixo relacionadas, EXCETO:

Alternativas
Comentários
  • HTTPS (HTTP seguro com SSL) usa por 443 por padrão

  • eupa

  • HTTP + SSL = HTTPS, porta 443.

    Gabarito: E

  • GABARITO (E)

    Sempre cobram:

    80 HTTP

    443 HTTPS

    587 SMTP

    110 POP3

    143 IMAP

    20 / 21 FTP

    23 TELNET

    ______________________

    69 TFTP

    161 SNMP

    53 DNS

    -----------------------------------


ID
771148
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de sistemas de criptografia e tipos de criptografia utilizados em sistemas de segurança de rede, julgue os itens a seguir.

O algoritmo AES (advanced encryption standard) permite, entre outras funcionalidades, a utilização de cifras assimétricas durante o uso de uma sessão SSL/TLS.

Alternativas
Comentários
  • AES é algoritmo simétrico e não assimétrico.

  • ERRADO.

    "...a utilização de cifras assimétricas..."

    AES é algoritmo SIMÉTRICO.

  • Gabarito Errado

    O AES é um algoritmo SIMÉTRICO.

     

    Vamos na fé !

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Como os amigos já disseram, o AES é simétrico. Apenas complementando, o protocolo SSL faz o uso de algoritmos simétricos na encriptação dos dados durante a conexão, logo, pode utilizar algoritmos assimétricos para o estabelecimento de sessão (handshake) e autenticação. Lembrando que uma sessão pode englobar várias conexões.

  • EVOLUÇÃO: DES > 3DES > AES


ID
977398
Banca
CETRO
Órgão
ANVISA
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação ao TLS, marque V para verdadeiro ou F para falso e, em seguida,assinale a alternativa que apresenta a sequência correta.

( ) Foi embutido na versão 2 do SSL.
( ) Habilita computadores que executam o Windows Server 2008 (ou superior) a acessar recursos em servidores de arquivos da classe Unix.
( ) Sua chave de sessão ficou mais difícil de ser violada por criptoanálise.
( ) A versão 3 do SSL e o TLS não conseguiram interoperar.

Alternativas
Comentários
  • (F ) Foi embutido na versão 2 do SSL.

    Segundo Tanenbaum(2011,p.536),"O TLS foi embutido no SSL versão 3."


    (F ) Habilita computadores que executam o Windows Server 2008 (ou superior) a acessar recursos em servidores de arquivos da classe Unix. **Marquei como falso,contudo não encontrei uma fonte confiável do motivo do erro;portanto não vou postar nada.


    (V ) Sua chave de sessão ficou mais difícil de ser violada por criptoanálise.

    Segundo Tanenbaum(2011,p.536),"Por exemplo,o modo como a chave de sessão é derivada da chave pré-mestre e dos nonces mudou para tornar a chave mais forte(isto é,mais difícil de ser violada por criptoanálise)."

    (V ) A versão 3 do SSL e o TLS não conseguiram interoperar

    Segundo Tanenbaum(2011,p.536),"As mudanças feitas no SSL foram relativamente pequenas,mas suficientes para o SSL versão 3 e o TLS não conseguirem interoperar."

    Bibliografia:

    TANENBAUM, A. S.; WETHERALL, D. Redes de Computadores. 5. ed. São Paulo: Pearson, 2011.

  • A B é uma informação totalmente genérica, fora de contexto, mas que objetivamente não pode ser declarada como falsa.

  • A B não tem nada a ver com nada...como um protocolo de rede vai habilitar a comunicação entre diferentes sistemas de arquivos de diferentes sistemas operacionais?


ID
1022284
Banca
IBFC
Órgão
PC-RJ
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Os protocolos criptográficos que conferem segurança de comunicação na Internet para serviços como email (SMTP), navegação por páginas (HTTP) e outros tipos de transferência de dados são caracterizados pela sigla:

Alternativas
Comentários
  • Letra: C

    Transport Layer Security - TLS (em português: Segurança da Camada de Transporte) e o seu antecessor, Secure Sockets Layer - SSL (em português: Protocolo de Camada de Sockets Segura), são protocolos criptográficos que conferem segurança de comunicação na Internet para serviços como email (SMTP), navegação por páginas (HTTPS) e outros tipos de transferência de dados. Há algumas pequenas diferenças entre o SSL 3.0 e o TLS 1.0, mas o protocolo permanece substancialmente o mesmo. O termo "SSL" usado aqui aplica-se a ambos os protocolos, exceto se disposto em contrário. O protocolo SSL 3.0 também é conhecido como SSL3, e o TLS 1.0 como TLS1 ou ainda SSL3.1.


  • Essa banca é uma piada.

  • Por quê?

    Vamos na fé.

  • Também seriam respostas:
    TLS,
    TLSA(TLS autoritativa)
    Starttls
     

  • é sério que essa prova é pra perito?


ID
1099192
Banca
COPEVE-UFAL
Órgão
ALGÁS
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Dadas as afirmações a seguir,

I. A principal limitação da tecnologia Zope/Plone é a impossibilidade de utilizar comunicação segura com criptografia SSL.

II. Zope é um servidor de aplicação Web configurável e totalmente construído em Java, além de ser compatível com servidores de aplicação JBoss.

III. Enquanto o Zope é um servidor de aplicação, o Plone é um gerenciador de conteúdo que pode ser hospedado em servidores Zope.

IV. Apesar de sua facilidade em editar conteúdo, a principal limitação do Plone é a impossibilidade de gerenciar usuários, com diferentes níveis de permissões de edição.

verifica-se que somente

Alternativas
Comentários
  • A que me consta Zope é construido em Python e não Java. É possível usar Zope com SSL. Plone tem sim gerenciamento de usuários. Faz mais sentido para mim a letra C como correto.

  • ZOPE é um servidor de aplicações web de código aberto escrito na linguagem Python, em cima do qual o Plone funciona. É através da interface de gerência desse servidor que o administrador faz as alterações estruturais do site.

    FONTE: http://www.ufrgs.br/tutorial-plone4/dicas-iniciais/configuracao-do-site/interface-de-gerencia-do-zope

     

    Resposta: c

  • Dadas as afirmações a seguir,

    I - A principal limitação da tecnologia Zope/Plone é a impossibilidade de utilizar comunicação segura com criptografia SSL. ERRADA! PLONE PERMITE A COMUNICAÇÃO SEGURA COM SSL

    II - Zope é um servidor de aplicação Web configurável e totalmente construído em Java, além de ser compatível com servidores de aplicação JBoss. ERRADA! ZOPE NÃO É CONSTRUÍDO EM JAVA, MAS SIM, NA SUA MAIOR PARTE, EM PYTON.

    III - Enquanto o Zope é um servidor de aplicação, o Plone é um gerenciador de conteúdo que pode ser hospedado em servidores Zope. CORRETA

    IV - Apesar de sua facilidade em editar conteúdo, a principal limitação do Plone é a impossibilidade de gerenciar usuários, com diferentes níveis de permissões de edição. ESSA AFIRMAÇÃO VAI TOTALMENTE CONTRA ÀS FUNCIONALIDADES DE UM CMS – CONTENT MANAGEMENT SYSTEM.

    SOMENTE A AFIRMATIVA III É VERDADEIRA.


ID
1160626
Banca
FUMARC
Órgão
AL-MG
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

O acesso a sites com segurança depende do protocolo SSL. Para que a conexão entre navegador e servidor Web seja estabelecida, é necessária a troca de um certificado digital. Em relação a este recurso de segurança, NÃO é correto o que se afirma em:

Alternativas
Comentários
  • Gabarito: C
    "Para autenticar o servidor Web, o navegador da Web verifica o armazenamento de certificados em seu computador. Se a autoridade de certificação que emitiu o certificado para o servidor Web for confiável, a transação prosseguirá e o certificado do servidor Web será colocado no armazenamento de certificados."

    https://technet.microsoft.com/pt-br/library/cc728388%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396

    O navegador NÃO se conecta à certificadora cada vez que se depara com um certificado novo.
  • Um dos dados que já vem dentro do certificado é a sua VALIDADE. Sendo assim ele não precisa consultar a certificadora para ter essa informação.

    Em um certificado digital, poderão ser encontradas as seguintes informações:
    Dados que identificam quem emitiu o certificado
    Dados que identificam o dono do certificado.
    Validade do certificado.
    Chave pública do dono do certificado (a chave privada fica apenas com o dono).
    Algoritmo de assinatura.

  • Entraria com recurso: "certificado novo" não deixa claro se é o mesmo certificado que só foi reenviado ou se é um certificado diferente.


ID
1339663
Banca
PR-4 UFRJ
Órgão
UFRJ
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Considere as opções abaixo, referentes à configuração de um servidor Web IIS 7.0:

I – Para que um site aceite conexões SSL é necessário que seja feita a instalação de um certificado.

II – No IIS 7.0, ao contrário das versões anteriores, não é possível customizar as páginas de erro, por motivos de segurança.

III – Na opção “Default Document”, o administrador pode relacionar a lista de arquivos aceitos pelo servidor para aquele site. Nenhum arquivo fora dessa lista poderá ser exibido por um navegador cliente.
Marque a alternativa correta:

Alternativas
Comentários
  • II - Um benefício que acompanha o IIS 7.0 são os erros detalhados. Quando acontece um erro web, em um servidor Windows 2008 com IIS 7.0, é apresentado uma nova página de erro padrão, quando acessado do servidor com muito mais detalhes, incluindo modulo, caminho, url requisitada, código do erro, passos para correção, links de referência. Já se o usuário acessando a página é remoto, o erro aparece básico, sem detalhamento das informações.

     

    III - Por padrão, quando uma solicitação chega ao diretório-raiz do seu site ou aplicativo, o IIS 7 envia uma resposta ao navegador com base nos nomes de arquivo definidos no < defaultDocument >elemento. O IIS tenta retornar os arquivos corretos na ordem em que aparecem no < defaultDocument >elemento. Se o arquivo Default.htm existir, o IIS o enviará ao navegador do cliente. Se o arquivo default.htm não existir, o IIS tenta enviar o arquivo default.asp para o navegador e se o arquivo default.asp não existir, o IIS tenta enviar o arquivo index.htm para o navegador. O IIS continua dessa maneira até tentar enviar cada arquivo de documento padrão para o navegador do cliente.

  • I – Para que um site aceite conexões SSL é necessário que seja feita a instalação de um certificado. [CORRETO, mas mal explicada. O correto seria "...instalação de um certificado no SERVIDOR"]


ID
1530955
Banca
FGV
Órgão
AL-MT
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação às políticas de Segurança da Informação, analise as afirmativas a seguir.

I. O serviço NAT é usado para ligar de forma segura dois pontos por meio de uma rede pública.

II. A autenticidade de um documento pode ser obtida através do uso de certificação digital.

III. Para garantir a integridade e confidencialidade da informação que transita em uma rede, pode-se utilizar o protocolo SSL, que opera no nível de enlace.

Assinale:

Alternativas
Comentários
  • Gabarito E

    Em redes de computadores, NATNetwork Address Translation, também conhecido como masquerading é uma técnica que consiste em reescrever, utilizando-se de uma tabela hash, os endereços IP de origem de um pacote que passam por um router ou firewall de maneira que um computador de uma rede interna tenha acesso ao exterior ou Rede Mundial de Computadores (rede pública).

    O protocolo SSL trabalha na camada de aplicação.

     

    Vamos na fé !

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

     

  • O SSL opera na camada de API Socket, localizada entre a camada de aplicação e a de transporte

     

    @papirobizurado

  • SSL usa a camada de transporte e a Transport Layer Security (TLS) é a evolução disso.

    tudo isso aqui se passa na camada de transporte:

    TCP, UDP, SSL, TLS, SPX


ID
1729027
Banca
FGV
Órgão
DPE-RO
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de criptografia simétrica, analise as afirmativas a seguir:
I. Exemplo de algoritmos de criptografia simétrica são o AES, Blowfish e RC4.
II. Para ser considerada segura nos padrões atuais, o tamanho mínimo de chave simétrica deve ser 1024 bits.
III. O protocolo SSL utiliza essa forma de criptografia para cifragem dos dados, pois demanda menos poder de processamento.
Está correto somente o que se afirma em:

Alternativas
Comentários
  • I-CERTA.

    II - ERRADA. Esse seria o tamanho mínimo para chave assimétrica.

    III-CERTO. O SSL utiliza algoritmos como o RSA (assimétrico) formando o canal seguro e o RC4 (simétrico) sendo usado para o sigilo das informações. Os algoritmos simétricos são mais rápidos no processamento.

  • I - correta.

    II - Errada. Basta usar como contra exemplo o algoritmo RC4 que possui 1024 bits e não é considerado seguro.

    III - Correta.

    Gabarito: E.

     

     

  • Gabarito E

    Apenas a alternativa II está errada, pois esse tamanho mínimo seria para chave assimétrica.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • O 3DES, por exemplo, só tem 168 bits e é considerado seguro.

  • E. I e III; correta

    I. Exemplo de algoritmos de criptografia simétrica são o AES, Blowfish e RC4.

    III. O protocolo SSL utiliza essa forma de criptografia para cifragem dos dados, pois demanda menos poder de processamento.


ID
1740517
Banca
FCC
Órgão
TRE-AP
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

O SSL é um protocolo para a transferência segura de informação que utiliza ambas as técnicas de criptografia, a assimétrica e a simétrica. Uma conexão segura SSL é estabelecida em duas fases, a fase de sessão e a fase de conexão. Na fase de conexão, o gerenciamento da transmissão e recepção de dados é gerenciada pelo protocolo SSL

Alternativas
Comentários
  • SSL é composto por duas camadas: SSL Record Protocol  (responsável pela encriptação dos dados) e SSL Handshake Protocol (responsável pela negociação de diversos parâmetros).

  • O SSL utiliza um protocolo de handshake denominado SSL Handshake Protocol para estabelecer uma conexão segura baseada em estados de sessão. No estado inicial, denominado estado de sessão, o cliente e o servidor trocam uma sequência padronizada de mensagens com a finalidade de estabelecer parâmetros comuns que serão utilizados na criptografia dos dados. Nessa fase, informações como chaves públicas e algoritmos suportados são intercambiadas entre os hosts. É gerada também uma chave mestra de sessão, que será usada para criptografar os dados durante a fase de conexão. Tendo sido concluídas com sucesso as tarefas referentes à fase de sessão, o SSL Handshake Protocol muda seu estado para conexão. Com a conexão estabelecida, a transmissão e recepção dos dados será gerenciada pelo SSL Record Protocol. Na fase de conexão, o SSL Record Protocol executará a reformatação dos dados, de modo a facilitar as operações subsequentes. Ele poderá executar também uma compactação opcional. Os dados serão criptografados ou decriptografados com o uso da chave mestra e dos parâmetros definidos na fase de sessão. 

    FONTE: https://goo.gl/cY4ag3

  • Nessa eu me ferrei!


  • fui seco em Handshake, nunca tinha ouvido falar de SSL Record Protocol

  • O Handshake Protocol é responsável pelo estabelecimento da sessão e para que seja trocada a chave simétrica que será usada na troca dos dados pelo Record Protocol. A sessão ocorre primeiro. Uma conexão é feita baseada em uma sessão já estabelecida, inclusive pode haver várias conexões dentro de uma sessão. Só tem que tomar cuidado que algumas bancas usam a palavra conexão de forma genérica, se referindo tanto à sessão como conexão propriamente dito.

  •  Esse protocolo recebe os dados abertos da camada superior, encapsula, encripta e/ou adiciona o Message Authentication Codes (MACs) para garantir a segurança


ID
1826935
Banca
FGV
Órgão
TJ-PI
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação à criptografia, analise as afirmativas abaixo:

I. A criptografia simétrica é a ideal para ser usada para a finalidade de autenticação.

II. O protocolo SSL utiliza uma mistura de criptografia simétrica e assimétrica.

III. Uma das vantagens da criptografia simétrica sobre a assimétrica é a velocidade de processamento.

Está correto somente o que se afirma em:

Alternativas
Comentários
  • I - criptografia simétrica não permite autenticação.

    II - correta

    III - correta

    Vamos na fé.

     

  • I. A criptografia simétrica é a ideal para ser usada para a finalidade de autenticação.

    O que ele quis dizer com ideial ? Pq é possível autentica usando a message authentication code (MAC)

    II. O protocolo SSL utiliza uma mistura de criptografia simétrica e assimétrica.

    OK. A criptografia assimétrica é usada para negociar a chave secreta (simétrica).

    III. Uma das vantagens da criptografia simétrica sobre a assimétrica é a velocidade de processamento.

    OK

    Prof Almeida Junior

    www.meubizu.com.br

  • I. A criptografia assimétrica de chaves públicas é a ideal para autenticação.

  • i- está errada pq A e B compartilham da mesma chave, assim não é possível reconhecer quem por ventura venha alterar os dados.


ID
1872163
Banca
CESPE / CEBRASPE
Órgão
Telebras
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o item a seguir, referente a firewallsproxies e sistemas de detecção de intrusão.


Se determinada comunicação for realizada por meio de uma conexão SSL, os sistemas de detecção de intrusão serão ferramentas inadequadas para a identificação de ataques.

Alternativas
Comentários
  • As ferramentas de IDS baseadas em rede fazem suas monitorações nos cabeçalhos dos pacotes e também em seu campo de dados, possibilitando a verificação de ataques no nível de aplicação (para pacotes TCP e UDP).

    Entretanto a necessidade de sigilo e privacidade nas transações pela Web ou em redes privadas torna o uso de sistemas de criptografia cada vez mais comuns e necessários.

    A criptografia como elemento de segurança do tráfego de informações, acaba por prejudicar outros elementos como os sistemas de detecção de intrusos (IDS). Uma vez que em algumas tecnologias o campo de dados é criptografado, em outras o pacote inteiro o é (cabeçalhos e dados). Neste ambiente uma ferramenta de IDS não será efetiva, pois os dados de um ataque podem ser encobertos pela criptografia existente no ambiente.

     

  • Questão mal formulada.

    Se a questão estiver tratando de um IDS de rede, ela está correta. Entretanto, se for um IDS de host, ela está errada. Afinal, IDS/IPS de host consegue analisar os dados que inicialmente estavam criptografados.

  • Complementando, existem técnicas utilizadas por IDS/IPSs para interceptar o tráfego cifrado.

  • A ferramenta Mcafee Web Gateway é um proxie do tipo application-level-gateway que pode analisar trafego cifrado.

  • A banca foi infeliz nesta tentativa. Para afirmar isso ela realmente precisa definir se está referindo-se a um IDS de Host ou de Rede.

  • Esta aberração não foi anulada?

  • Questão absurda !

    Além de muitas empresas realizarem o estabelecimento da sessão SSL com o IDS, com este inspecionando o tráfego em texto claro, e estabelecendo uma nova sessão SSL com o usuário interno há ainda um outro recurso. Por heurística, ainda que não veja o conteúdo do tráfego, é possível concluir que se trata de um ataque. Ex: Em um range /24, um IDS que identifique tentativas de conexões na porta 22, em todas as máquinas do range, pode muito bem concluir que se trata de uma tentativa indevida de conexão SSH.

  • pfffffffffffffffffffff, que isso, então no pacote de rede não tem como o firewall saber se o solicitante está fora ou dentro da própria rede? KKKKKKKKKKKKKKKKK

    Essa UNB essa UNB... o que esses professores fazem lá? dão aula do quê? dá o nome de quem fez essa questão! kkkk

  • RARAMENTE UM PROFESSOR DO QC COMENTA UMA QUESTÃO POLÊMICA...

    AJUDA AÍ !!!

  • GABARITO: CERTO.

  • CORRETO

    Segundo o Cespe:

    (CESPE - 2013 - INPI)

    Um sistema de detecção de intrusão tem a função de identificar se determinado tráfego entre dois servidores ocorre sem criptografia, e é capaz de utilizar mecanismos para criptografar esse tráfego com SSL.Errado!

    Uma solução seria utilizar um proxy reverso o proxy reverso faria essa função ,porém o IDS não a faz .

    (CESPE - 2013 - Polícia Federal)

    O uso de criptografia SSL (Secure Socket Layer) como item de segurança nas transmissões de dados via Internet dificulta o monitoramento realizado por sistemas de detecção de intrusos (IDS) de redes. Uma solução para esse problema é o uso de proxies reversos, que permite retirar o processo de criptografia do servidor web e, consequentemente, possibilita ao IDS o monitoramento do tráfego.Certo!

    Proxy reverso :

    Criptografia SSL otimizada:

    Criptografar e decodificar pedidos SSL/TLS para cada cliente pode ser altamente tributário para o servidor de origem. Um proxy reverso pode assumir esta tarefa para liberar os recursos do servidor de origem para outras tarefas importantes, como servir conteúdo.

    Outra vantagem de descarregar a criptografia e descriptografia SSL/TSL é reduzir a latência para clientes que estão geograficamente distantes do servidor de origem.

    ( CESPE - 2010 - SERPRO )

    Em uma rede de comunicação, um sistema de detecção de intrusos monitora os cabeçalhos e o campo de dados dos pacotes, a fim de detectar possíveis invasores no sistema, além de acessos que podem prejudicar o desempenho da rede. Esse processo não fica prejudicado com a implantação de criptografia, via SSL, IPSec, entre outras, como elemento de segurança nas transmissões de dados.

    Errado!

  • Corta pra cá!!!

    [1]

    Outra vantagem do HIDS é sua capacidade de inspecionar o tráfego criptografado do computador, já que, uma vez que o pacote chegue ao computador, ele é descriptografado e então, analisado pelo sistema.

    (...)

    A principal desvantagem de um sistema NIDS é que ele é incapaz de analisar o tráfego criptografado, como é o caso de VPNs

    Questão tinha q ter sido anulada!!!

    Fonte:

    [1] https://www.gta.ufrj.br/grad/16_2/2016IDS/tipos.html

  • entendi nada


ID
2488690
Banca
FGV
Órgão
IBGE
Ano
2017
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a IDS, analise as afirmativas a seguir:


I. NIDS baseados em assinaturas determinam tráfego malicioso a partir dos endereços IP contidos nos cabeçalhos das mensagens interceptadas.

II. NIDS são mais eficientes do que HIDS para evitar ataques em locais onde o tráfego de rede é baseado em SSL.

III. IDS baseados em detecção de anomalias sofrem com maior ocorrência de falsos positivos.


Está correto somente o que se afirma em:

Alternativas
Comentários
  • I - "NIDS baseados em assinaturas determinam tráfego malicioso a partir dos endereços IP contidos nos cabeçalhos das mensagens interceptadas." ( IDS baseado em assinatura comparam tráfegos suspeitos com um padrão pré-determinado) 

    II - " NIDS são mais eficientes do que HIDS para evitar ataques em locais onde o tráfego de rede é baseado em SSL." (Nada a ver.) 

    III - "IDS baseados em detecção de anomalias sofrem com maior ocorrência de falsos positivos."  (Certo.)

  • Letra C

    Apenas complementando...

    Network IDS (NIDS)

    Host IDS (HIDS)

    II. NIDS são mais eficientes do que HIDS para evitar ataques em locais onde o tráfego de rede é baseado em SSL.

    Errado. NIDS não são capazes de lidar com tráfego SSL. Apenas os HIDS conseguem lidar com a criptografia.

     

     

  • Sinceramente fiquei em dúvida a respeito da I. UM NIDS limitado ao cabeçalho IP, conforme fontes abaixo, também verifica os endereços IP contidos nesse cabeçalho. Ele não se limita a isso, mas isso ele faz. A questão não restringiu, ele também pode fazer isso.

     

    UM NIDS baseado em assinaturas utiliza um banco de dados com os ataques já conhecidos e compara-os com as ações, utilizando algoritmos estatísticos para reconhecer algum desses ataques. Alguns exemplos de assinatura são:

    Tentativa de conexão a um endereço de IP reservado. Facilmente identificado verificando o campo de endereço de origem em um cabeçalho IP.

    Pacote com uma combinação de flags TCP ilegal. Pode ser encontrado comparando flags definidos em um cabeçalho TCP com boas e más combinações conhecidas de flags.

    E-mail contendo um vírus em particular.

    Ataque de negação de serviço em um servidor que ofereça um serviço específico, causado pelo mesmo comando sendo repetido milhares de vezes. Um tipo de assinatura para esse ataque seria guardar quantas vezes um comando foi repetido e alertar quando esse número passa de um certo limite.

    Ataque de acesso de arquivos em um servidor FTP, emitindo comandos de acesso a arquivos e de listagem de diretório sem fazer login. Uma assinatura de rastreamento de estado poderia ser desenvolvida, monitorando o tráfego para um login FTP bem-sucedido e alertando se determinados comandos fossem emitidos antes da autenticação do usuário.

    https://www.gta.ufrj.br/grad/16_2/2016IDS/tipos.html

     

    A maioria dos NIDS comerciais decodificam protocolos até a camada de aplicação, porém, ainda que se trate de um NIDS limitado ao cabeçalho IP, ele também realiza decodificação de protocolos da camada de rede, não se limitando apenas à análise do IP contido no cabeçalho:

    Every NIDS does some type of protocol decode, even if it is limited to just the IP header. Many of the commercial NIDS decode most Layer 7 protocols and perform regular expression inspection on only a subset of the entire packet.

    https://www.cisco.com/en/US/products/hw/vpndevc/ps4077/prod_technical_reference09186a0080124525.html

     

     

  • I. NIDS baseados em assinaturas determinam tráfego malicioso a partir dos endereços IP contidos nos cabeçalhos das mensagens interceptadas.

    Errada. A detecção é realizada com a captura e anĺálise dos cabeçalhos e conteúdo dos pacotes, que são comparados com padrões ou assinaturas conhecidos. Nâo é capaz de monitorar tréfego cifrado.

    II. NIDS são mais eficientes do que HIDS para evitar ataques em locais onde o tráfego de rede é baseado em SSL.

    Errada. Ataques que utilizam criptografia podem não ser notados pela rede, mas podem ser descobertos por HIDS, pois os SO primeiramente decifram os pacotes que chegam na rede,

    III. IDS baseados em detecção de anomalias sofrem com maior ocorrência de falsos positivos.

    Certa.

    Fonte:

    [1] Segurança de Redes em Ambientes Cooperativos, Emilio Tissato Nakamura, Paulo Lício de Geus


ID
2488693
Banca
FGV
Órgão
IBGE
Ano
2017
Provas
Disciplina
Segurança da Informação
Assuntos

A opção correta em relação ao protocolo SSL é:

Alternativas
Comentários
  • Gabarito B

    SSL é composto de dois protocolos:
    SSL Handshake protocol: antes de comunicar, os dois programas SSL negociam chaves e protocolos de criptografia em comum.
    SSL Record protocol: Uma vez negociados, eles criptografam todas as informações trocadas e realizam vários testes.
    O aperto de mão SSL (“handshake”)
    No início da comunicação o cliente e o servidor trocam:
    A versão SSL com a qual eles querem trabalhar, a lista de métodos de criptografia (simétrico e assimétrico) e de assinatura que todo mundo conhece (com comprimentos de chaves), métodos de compressão que todo mundo conhece números aleatórios,certificados.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • a) dada a importância do tráfego Web, foi criado para aumentar especificamente a segurança do protocolo HTTP;

    Errado.O SSL não é aplicado apenas no HTTP, mas tbém em FTP, SSH...

     

    b) combina criptografia assimétrica e simétrica para garantir segurança no tráfego de dados;

    Certinho. A simétrica é responsável pela criptografia dos dados e a assimétrica para realizar a autenticação por meio de certificados digitais e troca de chaves (Diffie-Hellman ou RSA, por ex.)

     

    c) garante a autenticação através da utilização necessária de certificados digitais X.509 em ambos os lados da comunicação; 

    Errado. A autenticação não é obrigatória do lado cliente, por exemplo, no caso dele não possuir um certificado.

     

    d) o lado cliente é quem define unilateralmente os algoritmos de criptografia a serem usados na comunicação;

    Errado. O cliente apresenta suas opções de segurança e o servidor define com base nas opções apresentadas pelo cliente.

     

    e) nem todos os protocolos de roteamento de tráfego são suportados pelo SSL.

    Errado. O cabeçalho do SSL não está dentro do pacote cifrado pelo protocolo de registro e é anexado aos dados transferidos pela camada de transporte.


ID
2518360
Banca
FCC
Órgão
TRE-PR
Ano
2017
Provas
Disciplina
Segurança da Informação
Assuntos

Batizada de Drown, a séria vulnerabilidade descoberta afeta HTTPS e outros serviços que dependem de SSL e TLS, alguns dos protocolos mais essenciais para segurança na internet. O Drown aproveita que na rede, além de servidores que usam TLS por padrão, há outros que também suportam ........ e, explorando a vulnerabilidade do protocolo antigo, podem quebrar a criptografia do padrão TLS. Em testes realizados pelos pesquisadores, um PC normal foi capaz de quebrar a criptografia TLS em um servidor vulnerável em menos de 1 minuto. Durante um período, os pesquisadores realizaram uma ampla varredura na internet e descobriram que 33% de todo tráfego HTTPS pode estar vulnerável ao ataque Drown. É importante ressaltar que a quebra da criptografia depende também da capacidade de monitorar o tráfego TLS, mas isto é facilmente realizável em redes públicas ou a partir da invasão da rede tanto no lado do cliente como do lado do servidor. Como a vulnerabilidade está do lado do servidor, não há nada que possa ser feito no lado do cliente, que nem fica sabendo que o ataque está acontecendo.

(Disponível em: https://blog.leverage.inf.br/2016/03/01/drown-attack-nova-vulnerabilidade-no-tls/. Acessado em: 03 jul. 2017)


Ao ler esta notícia, da qual foi omitido o protocolo de segurança, um Analista Judiciário concluiu, corretamente, que 

Alternativas
Comentários
  • Os pontinhos no texto devem ser completados com "SSL v2" conforme referência abaixo.

     

    (A) [ ERRADO ] tudo bem não usar SSL v1, mas isso não resolve o problema conforme comentário na letra (D)

     

    (B) [ ERRADO ] chutou o balde, dispensa comentários

     

    (C) [ ERRADO ] a referência fala de um problema com SSL v2 conforme comentário na letra (D)

     

    (D) [ GABARITO ] http://idciber.eb.mil.br/index.php?option=com_content&view=article&id=881:drown-attack-nova-vulnerabilidade-no-ssl&catid=17&Itemid=121

    "A solução definitiva passa por desabilitar o suporte a SSLv2 nos servidores, o que você provavelmente deveria ter feito a mais tempo dado que o protocolo é notoriamente vulnerável. O SSLv2 já vem desabilitado por padrão em servidores IIS 7.0 ou superiores. Há o risco também com servidores diferentes que compartilhem a mesma chave pública, o que é comum em certificados wildcard. Neste caso se um deles usar SSLv2, os demais servidores que usem somente TLS também podem ser atacados."

     

    (E) [ ERRADO ] usar o SSL v2 é justamente o problema conforme comentário na letra (D)

  • O link do enunciado da prova tá errado...

    Segue link: https://blog.leverage.inf.br/2016/03/01/drown-attack-nova-vulnerabilidade-no-ssl/

     

    Batizada de Drown, a séria vulnerabilidade descoberta afeta HTTPS e outros serviços que dependem de SSL e TLS, alguns dos protocolos mais essenciais para segurança na internet. Estes protocolos permitem que você navegue, acesse seu banco, compre, use email e mensagens instantâneas sem que terceiros possam ler as comunicações.

    Atualmente a maioria dos sites e aplicações seguras usa TLS e não SSLv2, que é um padrão defasado desenvolvido nos anos 90. O Drown aproveita que alguns servidores que usam TLS por padrão também suportam SSLv2 e explorando a vulnerabilidade do protocolo antigo, podem quebrar a criptografia do padrão TLS. Em testes realizados pelos pesquisadores, um PC normal foi capaz de quebrar a criptografia TLS em um servidor vulnerável em menos de 1 minuto.


ID
2694022
Banca
FADESP
Órgão
BANPARÁ
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre protocolos de redes de computadores utilizados para trocar informações de forma segura, analise as afirmativas a seguir:


I PGP (Pretty Good Privacy) é um esquema de criptografia de e-mails que utiliza MD5/SHA para verificar o checksum da mensagem, CAST/triple-DES/IDEA para criptografia com chave simétrica e RSA para criptografia com chave pública.

II O algoritmo de criptografia RSA é utilizado para trocar chaves simétricas em aplicações do e-commerce.

III TLS (Transport Layer Security) e predecessor do SSL (Secure Sockets Layer) são usados por servidores de páginas para comunicação segura entre seus servidores e Web Browsers.


Está(ão) correto(s) o(s) item(ns)

Alternativas

ID
2769787
Banca
IF-RS
Órgão
IF-RS
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre o SSL (Secure Sockets Layer), é CORRETO afirmar que:

Alternativas
Comentários
  • Letra D.

    Quando o HTTP é usado sobre SSL, ele se denomina HTTPS (Secure HTTP).

  • HTTP ➜ porta 80

    HTTPS ➜ porta 443

     

    .

    .

     

    At.te

    Foco na missão 

  • ⋄SSL -> significa Secure Sockets Layer, um tipo de segurança digital que permite a comunicação criptografada entre um site e um navegador.

    • HTTP + SSL ou TLS -> HTTPS

ID
2947042
Banca
IADES
Órgão
AL-GO
Ano
2019
Provas
Disciplina
Segurança da Informação
Assuntos

Esse protocolo [aperto de mão] permite que o servidor e o cliente se autentifiquem e negociem chaves que serão usadas para proteger os dados enviados em um registro TLS.

STALLINGS, W. Cryptography and network security: principles and practice. Londres: Pearson, 2017. Tradução livre.


Acerca das mensagens trocadas no protocolo TLS, assinale a alternativa correta.

Alternativas
Comentários
  • Alternativa correta: C.

    Etapas de um handshake SSL/TLS: (versão resumida)

    1. hello do cliente + informa as cifras suportadas + informações criptográficas

    2. hello do servidor + cifra escolhida + envio do certificado do servidor e, opcionalmente, o servidor requisita o certificado do cliente (neste caso o servidor envia uma lista de certificados suportados)

    3. cliente verifica o certificado do servidor e verifica também os parâmetros criptográficos

    4. troca de chaves: cliente envia a chave simétrica usando uma conexão assimétrica que foi aberta usando a chave pública do servidor

    5. cliente envia seu certificado, caso tenha sido solicitado

    6. servidor verifica o certificado do cliente, caso o tenha solicitado

    7. cliente concluído

    8. servidor concluído

    9. fim do handshake, a partir daqui eles começam a troca de mensagens

  • Handshake ou aperto de mão é o processo pelo qual duas ou mais máquinas estão prontas para iniciar a comunicação. O handshake é utilizado em protocolos de comunicação, tais como: FTP, TCP, HTTP, SMB, SMTP, POP3 etc.

    Quando um sistema inicia um aperto de mão, há três resultados possíveis:

    1. Sem resposta - Se o sistema que recebe o handshake não estiver disponível ou não suportar o protocolo usado pelo sistema inicial, ele poderá não responder à solicitação.
    2. Ligação recusada - O sistema que recebe o handshake está disponível e entende a solicitação, mas nega a conexão.
    3. Conexão aceita - O sistema que recebe o handshake está disponível, recebe a solicitação e aceita a conexão.

    O terceiro resultado listado acima é o único em que o aperto de mão é concluído. Se um handshake for bem-sucedido, os dois sistemas podem começar a se comunicar e transferir (dados) pelo protocolo estabelecido. Exemplos de protocolos que usam handshaking incluem TCP, TLS e SSL.


ID
2984272
Banca
Aeronáutica
Órgão
CIAAR
Ano
2019
Provas
Disciplina
Segurança da Informação
Assuntos

Em 1996, a Netscape Communications Corp. submeteu o SSL à IETF para padronização. O resultado foi o TLS (TransportLayer Security).


Em relação a esse contexto de padronização, é correto afirmar que

Alternativas
Comentários
  • "Em 1996, a Netscape Communications Corp. submeteu o SSL à IETF para padronização. O resultado foi o TLS 

    (Transport Layer Security), descrito na RFC 5246.

    O TLS foi embutido no SSL versão 3. As mudanças feitas no SSL foram relativamente pequenas, mas suficientes para o SSL versão 3 e o TLS não conseguirem interoperar. Por exemplo, o modo como a chave de sessão é derivada da chave pré-mestre e dos nonces mudou para tornar a chave mais forte (isto é, mais difícil de ser violada por criptoanáli- se). Devido à incompatibilidade, a maioria dos navegadores implementa os dois protocolos, com o TLS passando para SSL durante a negociação, se for necessário."

    FONTE: Rede de Computadores, Tanembaum. Cap. 8 (5o Ediçao)


ID
2990389
Banca
CESPE / CEBRASPE
Órgão
SLU-DF
Ano
2019
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o item seguinte, a respeito de segurança e criptografia.

Os protocolos criptográficos TLS e SSL conferem segurança de comunicação na Internet para serviços do tipo navegação por páginas (HTTPS) e e-mail (SMTP).

Alternativas
Comentários
  • Gab CERTO

    O TLS (Segurança da Camada de Transporte) e o SSL (Protocolo de Camada de Sockets Segura) são protocolos criptográficos que conferem segurança de comunicação na Internet para serviços como email (SMTP), navegação por páginas (HTTPS) e outros tipos de transferência de dados.

    Obs.: O S do HTTPS é de segurança (TLS;SSL) porém o do SMTP é de simple (simples) .. O certo mesmo seria SMTPS, mas é cespe né então paciência..

  • Os protocolos criptográficos TLS e SSL conferem segurança de comunicação na Internet para serviços do tipo navegação por páginas (HTTPS) e e-mail (SMTPS). Para mim está errada. Uma vez que você coloca o S no HTTP para informar que há protocolo SSL/TLS nele, deverá colocá-lo no SMTP do mesmo modo. Erro da BANCA.

  • Marquei certo apesar de saber que é errado pois ssl não é mais serguro e bancas (cespe principalmente)contratam qualquer zé mané pra elaborar questões.

  • Respondi como Certo, mas concordo com o Lucian Gomes.

  • No HTTPS, o "S" indica que é uma conexão HTTP segura, que implementa TLS/SSL.

    No SMTP, há uma "pegadinha". A porta padrão do protocolo é a 25 (SMTP puro). Mas é possível implementar SSL e utilizar a porta 465. Daí nasce o SMTPS. Mas a "pegadinha" vem aqui: uma implementação alternativa é usar o SMTP na porta 587 (com TLS). Ainda assim ele, o SMTP, continua com o mesmo nome, ou seja, sem o "S".

    Então...

    HTTP + SSL/TLS = HTTPS

    SMTP + SSL( porta 465) = SMTPS

    SMTP + TLS (porta 587) = SMTP

    Questão Certa.

  • Ok, agora vou fazer anotação no meu material, porque isso não está escrito na minha apostila,rsrs.

    Eu só sabia que implementa o protocolo HTTP e acho que em todo material de estudo está assim também,rsrs

  • JUSTIFICATIVA - CERTO. Os dois principais certificados de segurança para sítios são o TLS (Segurança da Camada de Transporte) e o SSL (Protocolo de Camada de Sockets Segura). Esses dois certificados são protocolos criptográficos que conferem segurança de comunicação na Internet para serviços como e-mail (SMTP), navegação por páginas (HTTPS) e outros tipos de transferência de dados.

  • Com essas questões de informática nem precisa nomear TI, basta inserir nas atribuições dos Téc. Judi. área Admin. Não vou nem dar ideia.
  • Gabarito Certo para os não assinantes.

    Agregando conhecimento:10 principais Protocolos usados na internet

    1) IP (INTERNET PROTOCOL ou PROTOCOLO DE INTERNET)

    É o protocolo pelo qual os dados são enviados a partir de um computador para outro na Internet. É responsável pelo envio e endereçamentos dos pacotes TCP.

    2) TCP/IP PROTOCOLO DE CONTROLE DE TRANSMISSÃO / PROTOCOLO INTERNET

    Forma padronizada de comunicação para os computadores na internet. O TCP faz a divisão dos dados que será enviada em segmentos de dados.

    3) HTTP E HTTPS- HYPERTEXT TRANSFER PROTOCOL / PROTOCOLO DE TRANSFERÊNCIA DE HIPERTEXTO

    Usado para fazer o acesso à WWW (WORLD WIDE WEB) como protocolo de cliente/servidor. Se na barra de endereços do navegador não se especificar outro recurso, o este protocolo será tido como padrão.

    HYPERTEXT TRANSFER PROTOCOL SECURE / PROTOCOLO DE TRANSFERÊNCIA DE HIPERTEXTO SEGURO

    É uma implementação do protocolo HTTP sobre uma camada adicional de segurança que utiliza o protocolo SSL/TLS. Muito utilizado hoje em dia pela maioria dos sites.

    4) FTP - FILE TRANSFER PROTOCOL / PROTOCOLO DE TRANSFERÊNCIA DE ARQUIVO

    Recurso utilizado para transferências de arquivos pela internet. Este protocolo permite apenas o envio e o recebimento dos arquivos, no entanto para a leitura serão necessários outros programas.

    5) SSL  - SECURE SOCKETS LAYER / CAMADA DE PORTAS DE SEGURANÇA

    Este é um protocolo de segurança que permite a confirmação da identidade de um servidor, verificando o nível de confiança.

    6) ICMP - INTERNET CONTROL MESSAGE PROTOCOL / PROTOCOLO DE MENSAGENS DE CONTROLE DA INTERNET

    Autoriza a criação de mensagens relativas ao IP, mensagens de erro e pacotes de teste.

    7) SMTP - SIMPLE MAIL TRANSFER PROTOCOL / PROTOCOLO PARA TRANSFERÊNCIA DE E-MAIL SIMPLES

    Usado para envios de mensagem em rede funcionando como roteador do correio eletrônico.

    8) IMAP - INTERNET MESSAGE ACCESS PROTOCOL / PROTOCOLO DE ACESSO AO CORREIO DA INTERNET

    Permite a manipulação de caixas postais remotas como se fossem locais, permitindo a organização da forma que melhor convier.

    9) POP  - POST OFFICE PROTOCOL ou PROTOCOLO DOS CORREIOS

    Usado para receber mensagens de e-mail. Permitem apenas o acesso a uma caixa de e-mail, já o IMAP permite o acesso a várias.

    10) MIME - MULTIPURPOSE INTERNET MAIL EXTENSIONS / EXTENSÕES MULTIFUNÇÃO PARA MENSAGENS DE INTERNET

    Se refere a um padrão da internet para o formato das mensagens de correio eletrônico. Permite ao usuário a utilização do e-mail trabalhando em multimídia.

    https://www.gabarite.com.br/dica-concurso/121-conheca-os-10-principais-protocolos-usados-na-internet

  • O SSL (Secure Sockets Layer) e seu sucessor TLS (Transport Layer Security) são protocolos de criptografia projetados para internet.

    Permitem a comunicação segura entre os lados cliente e servidor de uma aplicação web e conferem segurança de comunicação na Internet para serviços do tipo navegação por páginas (HTTPS) e e-mail (SMTP).

    O SSL foi substituído pelo TLS há um bom tempo e manteve o seu nome popular, podemos dizer que sim.

    É caracterizado assim porque seria muito complicado para popularizar o nome TLS, visto que o SSL começou a se tornar um pré-requisito de segurança na internet apenas em meados de 2015.

    E mesmo que tenha mais de um modo de começar a conexão com o servidor, se for uma conexão segura ela será processado pela criptografia TLS.

    Mas isso só é possível quando o servidor tem um certificado emitido por uma terceira parte confiável, que são as certificadoras como , , e .

    fonte :

  • O SSL (Secure Sockets Layer) e seu sucessor TLS (Transport Layer Security) são protocolos de criptografia projetados para internet.

    Permitem a comunicação segura entre os lados cliente e servidor de uma aplicação web e conferem segurança de comunicação na Internet para serviços do tipo navegação por páginas (HTTPS) e e-mail (SMTP).

    O SSL foi substituído pelo TLS há um bom tempo e manteve o seu nome popular, podemos dizer que sim.

    É caracterizado assim porque seria muito complicado para popularizar o nome TLS, visto que o SSL começou a se tornar um pré-requisito de segurança na internet apenas em meados de 2015.

    E mesmo que tenha mais de um modo de começar a conexão com o servidor, se for uma conexão segura ela será processado pela criptografia TLS.

    Mas isso só é possível quando o servidor tem um certificado emitido por uma terceira parte confiável, que são as certificadoras como , , e .

    fonte :

  • TLS e SSL conferem segurança de comunicação na Internet para serviços do tipo navegação por páginas (HTTPS) e e-mail (SMTP).

    GAB: CERTO

  • Gabarito: CERTO. Fontes:

    Conferem: atribuem.

    Prof. Renato Costa do Estratégia. Posso combinar o TLS com o SMTP, o que resultará no SMTPS.

    Qndo a gente configura a nossa conta de e-mail, no outlook ou no Thunderbird, temos a opção de utilizar o SSL. Além disso, se combinarmos por ex. o FTP com o TLS eu vou ter o FTPS. O que eu quero dizer com isso? O SSL é uma camada adicional de criptografia, ela pode ser combinada com outro protocolo já existente.

    Eu me questionei se a questão não deveria ter escrito SMTPS. Mas a questão não está dizendo que o SMTP é seguro. Se cair na prova perguntando se o SMTP é seguro marque não, o correio é um serviço inseguro. Mas é possível combinar segurança com correio eletrônico? sim. O e-mail não é um canal seguro, mas se eu implementar o TLS ou SSL no SMTP ai fica seguro entre o cliente e o servidor.

    Segundo Forouzan (p. 1008): O SSL foi desenvolvido para oferecer serviços de segurança e de compressão para dados gera dos na camada de aplicação. Tipicamente, o SSL pode receber dados de qlqr protocolo da camada de aplicação, mas, normalmente, o protocolo é HTTP. Os dados recebidos da aplicação são comprimidos (serviço opcional), assinados e criptografados. Os dados são, em seguida, passados para um protocolo da camada de transporte confiável, como TCP. 

  • CESPE - 2013

    Os protocolos TLS (Transport Layer Security) e SSL (Secure Sockets Layer) possuem propriedades criptográficas que permitem assegurar a confidencialidade e a integridade da comunicação. CERTO

  • Gabarito Certo

    TLS (Transport Layer Security)

    SSL (Secure Sockets Layer)

    A maior dos protocolos que possuem a letra S são considerados seguros.

  • Galera, o correto não seria o protocolo SMTPS? Pois a porta é diferente do SMTP

  • Questão comum da Cespe, se souber demais... Erra. O certo seria SMTPS, não?

  • (CESPE / CNJ – 2013) Se o endereço de página inicia com HTTPS, então os dados serão transmitidos por meio de uma conexão cifrada e a autenticidade do servidor e do cliente ser verificada com o uso de certificados digitais. CERTO

    O HTTPS nada mais é que o HTTP com uma camada adicional de segurança que utiliza outro protocolo chamado SSL/TLS (possuem criptografia), que atuam na camada de aplicação e transporte, garantindo uma autenticação mútua entre cliente e servidor. 

    . Os protocolos FTP e http possibilitam a transferência de arquivos do computador de uma faculdade para o computador do aluno.

    você pode ter o FTPS = SLL

    SFTP= SSH

  • então, faltou um S, "meRmo."

    ai fui no certo. kkkkk

    o nosso errado: é o certo da banca.

    dormiu na praça, jacaré abraça.

  • Gab certo.

    não confundir  e-mail (SMTP). com SFTP

    O SMTP: Simple mail transfer protocolo atua com transferencia de emails, e pode ocorrer a criptografia, assim como o FTP (que atua com transferencia de arquivos, porém com dowload e upload)

  • HTTPS e SMTPS

  • Que preguiça desses caras que fazem essas provas da CESPE ein? Será que eles não revisam nenhuma vez? Vergonhoso demais o tanto de erro crasso que aparece.

  • Questão capciosa.

    A questão diz que os protocolos SSL e TLS conferem segurança na comunicação em serviços de navegação web e também de email. Não diz que o SMTP é seguro ou que nele está adicionada a camada adicional de criptografia.

    De fato, o SSL e o TSL podem ser combinados com diversos outros protocolos, quando isso ocorre, geralmente, adiciona-se o "S" no final. Ex: HTTPS, FTPS, SMTPS.

  • G-C

    (Tanenbaum, Redes de Computadores. pág 609) a SSL não se limita ao uso apenas com navegadores da Web, mas essa é sua aplicação mais comum.

  • Rapaz, cadê o SMTPS???? KKK


ID
3114748
Banca
CESPE / CEBRASPE
Órgão
TJ-AM
Ano
2019
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de geração de chave e assinatura digital com o uso do OpenSSL, julgue o item a seguir.


O comando openssl genpkey -out myprivkey.pem -algorithm rsa 2048 gera uma chave privada no arquivo myprivkey.pem.

Alternativas
Comentários
  • Calma colega concurseiro, é prova para analista de sistemas kkkkkkkk

  • Dica: não se desespere, você pode deixar em branco ou chutar consciente

    O chute consciente seria: Observe a palavra "key" (chave) e "rsa" : algoritmo assimétrico

  • Gab: CERTO

    genpkey - é um comando padrão passado à ferramenta openssl que tem a função de GERAÇÃO DE CHAVE PRIVADA ou parâmetros.

    O comando em questão gera uma chave privada usando o algoritmo RSA de tamanho 2048.

  • Bem pra começo de conversa, levei 1 pipoco...tomei no meio do copo, nessa questão!!!

    Mas, veja, ainda acho q essa questão tá errada. Pelo menos eu testei aqui e não funcionou. Copiei e colei o comando exatamente como este e dá o erro:

    "genpkey: Use -help for summary."

    Tenho o openssl instalado e atualizado. Aparentemente o erro tá no parâmetro genpkey, mas ele tá ok...inclusive, ao começar a digita-lo, o linux autocompleta.

    Alguém pode confirmar isso?

  • RSA: 2048 ou 4096 bits

  • Como diria alguns colegas: Questão boa para deixar em branco.

  • Se tiver que chutar faça essas associações:

    openssl genp(privado)key -out mypriv(privado)key(key = chave).pem -algorithm rsa 2048

    e reze até gabarito preliminar dois dias depois.

  • A ordem dos parâmetros está errada. Para funcionar, o correto é:

    openssl genpkey -algorithm rsa -out myprivkey.pem


ID
3114751
Banca
CESPE / CEBRASPE
Órgão
TJ-AM
Ano
2019
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de geração de chave e assinatura digital com o uso do OpenSSL, julgue o item a seguir.


O comando openssl dgst -sha256 file.txt gera a assinatura digital do usuário dgst com saída no arquivo file.txt.

Alternativas
Comentários
  • dgst faz parte da sintaxe do comando, não é o usuário.

    Sintaxe: $ openssl dgst [hash function] [display options] -out file.dgst file.input

    Fonte:https://www.iit.comillas.edu/palacios/seguridad/openssl.pdf

  • NUNCA NEM VI.....!

  • Essa foi um chute à moda Arrascaeta kkkkk

  • Que deCESPEro resolver essa questão.

    kkkkk

  • Gabarito: ERRADO

    Não existe usuário dgst, conforme descrito na questão.

    #pertenceremos

  • Imagino que a sintaxe por sí já está errada,pois deveria ter um maior (>) que antes do nome do arquivo.

    Bons estudos e boa sorte!

  • GAB: ERRADO

    openssl dgst -sha256 file.txt

    openssl é uma ferramenta de linha de comando que usa muitas funções criptográficas da biblioteca openssl crypto.

    dgst - Message Digest Calculation

    sha256 - Message Digest Command

    Message Digest - é utilizada para verificar a integridade da mensagem transmitida através de um canal inseguro. A mensagem é passada através de uma função criptográfica hash. Esta função cria uma imagem comprimida da mensagem chamada DIGEST

    Exemplo 

    # openssl dgst -sha256 teste.txt 

    SHA256(teste.txt)= e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855

  • Errado

  • Diego, não tem nada de errado (muito cuidado com essas escorregadas no quiabo). O comando tá certo, a questão é que tá errada. Explico:

    openssl: Ferramenta opensource de criptografia que implementa segurança SSL/TLS.

    dgst: cálculo digest

    -sha256: método de assinatura utilizado

    file.txt: arquivo algo

    Ou seja, dgst não é o usuário e sim o calculo digest efetuado.

    Fonte:

    [1] Man do Linux.

  • Questão serviu pra lembrar que estou com fome!! estou lendo filé

  • Marquei errado, pq a assertiva embstalhpu muita coisa falando de txt, 256 - lembrei da quantidade de caracteres, etc

  • essa eu não sei nem errar

  • O argumento dgst vai gerar o Digest/Hash, ou Resumo Criptográfico, resultante de uma operação de Hashing. O segundo argumento indica a utilização da função sha256, Secure Hash Algorithm com 256 bits, uma função de hash criptográfico. O hash é o mecanismo que garante a integridade no sistema de assinatura digital.

  • Respondi como se fosse um estagio sem remuneração: Só pelo aprendizado. kkk

  • Deus me defenda.

  • que isso banca, vamos tomar uma agua

  • Uma questão dessa eu deixo em branco, sem peso na consciência.

  • valha minha nossa senhora

  • passa pelomenos uma vaselina cespe

  • Pelo visto, não fui só eu

  • errei por desatenção, dgst não seria o usuário e sim o resumo de hash usado na assinatura digital!

  • e-

    dgst nao é usuario

    The generic name, openssl dgst, may be used with an option specifying the algorithm to be used. The default digest is sha256. A supported digest name may also be used as the sub-command name.

    https://www.openssl.org/docs/manmaster/man1/openssl-dgst.html


ID
3137575
Banca
VUNESP
Órgão
Prefeitura de Itapevi - SP
Ano
2019
Provas
Disciplina
Segurança da Informação
Assuntos

O Secure Sockets Layer (SSL) e o seu sucessor Transport Layer Security (TLS) têm o objetivo de proteger a comunicação realizada pelos serviços na Internet. Considerando a arquitetura do conjunto de protocolos TCP/ IP, o SSL/TLS pertencem à camada de

Alternativas
Comentários
  • Assertiva A

    A

    Aplicação

  • Eles não operam entre as camadas 4 e 5?

  • Por isso que é bom conhecer a banca. Vunesp entende que é Aplicação.

  • Deve caber recurso, pois deveria ser a camada 6 de apresentação, conforme a teoria é onde é usado criptografia e descriptografia:

    Para aumentar a segurança, pode-se usar algum esquema de criptografia neste nível, sendo que os dados só serão descodificados na camada 6 do dispositivo receptor, como exemplo o TLS

  • Rodrigo, não poderia ser camada 6 de apresentação, porque a questão deixa claro que é considerando a arquitetura TCP/IP.

  • Para outras bancas fica entre a camada de Apresentação/Aplicação entretanto para a VUNESP ela fica na camada Aplicação por isso é sempre bom saber qual a "jurisprudência da banca".

  • Esse ponto ai é um trabalho entre camadas. acredito que seria algo entre aplicação e transporte


ID
3191128
Banca
COMPERVE
Órgão
UFRN
Ano
2019
Provas
Disciplina
Segurança da Informação
Assuntos

O protocolo SSL (Secure Sockets Layer) é muito útil na proteção do canal de comunicação, sendo bastante utilizado para fornecer uma camada adicional de segurança às aplicações web. Sobre as características do SSL, analise as afirmativas abaixo.

I O SSL opera entre as camadas de Transporte e Aplicação, segundo o modelo TCP/IP.

II TLS (Transport Layer Security) é uma especificação de outro padrão para suportar o SSL em redes TCP/IP e é definido na RFC 5246.

III O protocolo SSL fornece serviços básicos de confidencialidade e integridade a entidades de aplicação. É o caso do HTTP (Hypertext Transfer Protocol) que utiliza o SSL para fornecer navegação segura na Web, sendo então referenciado como HTTPS.

IV Por padrão, para o HTTPS é utilizada a porta 8080.

Em relação ao SSL, estão corretas as afirmativas

Alternativas
Comentários
  • Apenas os itens I e III estão corretos. Portanto, a alternativa é a letra A. Creio que o erro da alternativa II seria ele dizer que o TLS é um outro padrão para suportar o SSL. Isso está correto em partes. De fato o TLS é um outro padrão mais seguro, entretanto, ele é uma atualização do SSL. Já o erro do alternativa IV é informar que a porta padrão do HTTPS é 8080, sendo que na verdade é a 443.

  • Acho que o erro da alternativa II está em " suportar o SSL" , O TLS não suporta SSL, ou seja, não se usa os dois ao mesmo tempo.

  • TLS e SSL são incompatíveis

  • RESPONDENDO COM QUESTÕES E RESUMOS:

    I - (Q570458 - FUNCAB) - Entre quais camadas do conjunto de protocolos TCP/IP atua o SSL? A - Aplicação e Transporte.

    • O SSL está posicionado entre a camada de transporte e a camada de aplicação da pilha TCP/IP (camada “API SOCKET”) e independe de protocolo de aplicação e de protocolo de Transporte.

    II - Como os colegas já mencionaram, O TLS é o sucessor do SSL. Oferece serviço de segurança ponto a ponto

    III - (CESPE - Q105719) Quando se realiza o acesso a um sítio que utiliza o protocolo HTTPS e, no navegador, existe a indicação de que se trata de um sítio seguro, os dados do sítio são enviados de forma criptografada. CERTO

    (CESPE - Q353473) Os protocolos TLS (Transport Layer Security) e SSL (Secure Sockets Layer) possuem propriedades criptográficas que permitem assegurar a confidencialidade e a integridade da comunicaçãoCERTO

    • Diferente do HTTP, o HTTPS é seguro. Ele insere uma camada extra (protocolo SSL ou TLS), desta forma garantindo a confidencialidade e criptografia na troca de informações.

    IV - (CESPE - Q756452) O HTTPS, um protocolo seguro para a transmissão de hipertextos, é executado sobre uma camada que usa o protocolo SSL/TSL e utiliza a porta 443. CERTO

    • O HTTP quando combinado com o protocolo SSL/TLS = HTTPS utiliza a porta 443.

    gab.: A


ID
3524884
Banca
INSTITUTO AOCP
Órgão
UFFS
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

O SSL (Secure Sockets Layer) foi desenvolvido pela Netscape em 1995 e define um protocolo de comunicação seguro para as aplicações, em especial as WEB. Em qual camada do modelo TCP/IP esse protocolo de segurança trabalha e qual tipo de criptografia ele utiliza?

Alternativas
Comentários
  • Kurose: Redes De Computadores e a Internet 6ª Ed: "embora o SSL resida tecnicamente na camada de aplicação, do ponto de vista do desenvolvedor, ele é um protocolo de transporte que provê serviços do TCP aprimorados com serviços de segurança."

    Wikipedia (sei que não é uma fonte das mais confiáveis, mas segue para nosso aprendizado): Os protocolos TLS e SSL não se encaixam perfeitamente em nenhuma camada dos modelos OSI ou TCP/IP. O TLS é implementado "sobre um protocolo de comunicação confiável (por exemplo, o TCP)", o que implica que ele está acima da camada de transporte. Ele serve para criptografar as camadas superiores, o que normalmente seria função da camada de apresentação. Contudo, as aplicações geralmente fazem uso do TLS como se fosse uma camada de transporte, mesmo que essas aplicações devam controlar ativamente o início dos procedimentos de handshake e o gerenciamento dos certificados de autenticação compartilhados.

  • GABARITO: C

    O SSL/TLS utiliza:

    • Chave simétrica: criptografia dos dados;
    • Chave assimétrica: autenticação e troca de chaves;

    Atua na camada de aplicação;


ID
3721465
Banca
INSTITUTO AOCP
Órgão
UFPB
Ano
2019
Provas
Disciplina
Segurança da Informação
Assuntos

O pacote de segurança SSL (Secure Sockets Layer) surgiu para atender a demanda das operações financeiras realizadas na internet, principalmente com a grande expansão dos e-commerces e dos serviços bancários oferecidos on-line. Assinale a alternativa que NÃO apresenta uma informação sobre o que inclui a conexão segura construída com SSL entre dois soquetes.

Alternativas
Comentários
  • Alternativa E . O TLS veio como uma evolução do SSL.

  • TLS/SSL é usado para fazer o handshake. A encriptação é feita com uma chave de sessão

  • O cliente e o servidor usam as chaves de sessão para criptografar e descriptografar os dados que enviam para o outro e para validar a sua integridade.

  • São objetivos do SSL:

    -Autenticação entre clientes e servidores;

    -Garantia da integridade dos dados; e

    -Garantia da confidencialidade. (criptografia simétrica e pública)

    O SSL é um conjunto de protocolos auxiliares que atuam em conjunto e são divididos em camadas, sendo:

    -Camada de segurança e integridade de dados; (SSL Record)

    -Camada de conexão SSL(Hadsshake, ChangerCipher, Spec e Alert)


ID
4834090
Banca
Exército
Órgão
EsFCEx
Ano
2020
Provas
Disciplina
Segurança da Informação
Assuntos

Os protocolos SSL (Secure Socket Layer) e TLS (Transport Layer Security) permitem o tráfego seguro em conexões TCP por meio de encriptação de dados e outros mecanismos de segurança. Uma diferença entre o SSLv3 e o TLS é

Alternativas
Comentários
  • Algumas diferenças entre TLS e SSL:

    •          TLS é padronizado pelas RFC 2246 (v1.0) e RFC 4346 (v1.1)
    •          TLS usa o algoritmo keyed-Hashing for Message Authentication Code (HMAC) enquanto o SSL apenas Message Authentication Code (MAC). O algoritmo HMAC produz hashes mais seguros que o algoritmo MAC
    •          No TLS nem sempre é necessário recorrer à raiz de uma AC (Autoridade de Certificação) para usar uma certificação. Pode ser usada uma autoridade intermediária
    •          Novas mensagens de alerta
    •          O algoritmo Fortezza de criptografia não é suportado, pois não é aberto ao público. (Política da IETF)
    •          Diferenças em alguns campos dos cabeçalhos

    Fonte: https://www.gta.ufrj.br/grad/06_1/ssl/introducao.htm

  • Trata-se de uma questão sobre segurança da informação.

    O comando da questão pergunta qual a diferença entre o SSLv3 e o TLS.

    Bom, SSL e TLS são ambos protocolos de criptografia que provem autenticação e criptografia entre servidores e máquinas. 

    Os 2 protocolos são bem semelhantes, tento algumas diferenças, das quais destaco:

    - O SSL possui o alerta "No certificate", enquanto o TLS remove o alerta e substitui com outros alertas.
    - O SSL usa "Message Authentication Code" (MAC)  após criptografar cada mensagem enquanto o TLS usa "hash-based message authentication" (HMAC).
    - No SSL o hash calculado também contempla uma chave mestra e pad, enquanto no TLS o hash é calculado sobre a mensagem do handshake.


    Gabarito do Professor: Letra B.

ID
5036599
Banca
CESPE / CEBRASPE
Órgão
CODEVASF
Ano
2021
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de balanceamento de carga, julgue o item seguinte.


Para atuarem como terminadores SSL, os balanceadores de carga possuem capacidade de suportar certificados do tipo wildcard, o que evita o uso de uma grande quantidade de certificados.

Alternativas
Comentários
  • WildCard é um certificado de segurança SSL premium, ele possibilita a proteção de subdomínios ilimitados dentro de um único domínio através do protocolo HTTPS, em apenas um único certificado. 

    Wildcard = curinga

  • "Cada certificado tem suas particularidades, o Positive SSL para 1 domínio, o SSL Wildcard para domínios e subdomínios e também temos o SSL EV para validação estendida."

    https://blog.saninternet.com/certificado-ssl-wildcard

  • Os certificados Single domain são utilizados para certificar 1 domínio, seja ele um E-commerce, site institucional, aplicações, entre outros, já o WildCard certifica todos os subdomínios do domínio pai, ou seja, se o seu domínio é www.meudominio.com.br você tem como opção certificar os subdomínios meublog.meudominio.com.br, empresa.meudominio.com.br, etc.

    Antes do Wildcard era necessário contratar planos single para cada subdomínio, com esse novo recurso é possível economizar e manter o domínio e os subdomínios com HTTPS://

  • CERTO. CERTIFICADO PREMIUM.
  • "E o que eu disse? E como é?" - El chavo del ocho


ID
5041603
Banca
CESPE / CEBRASPE
Órgão
TCE-RJ
Ano
2021
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de segurança em redes de computadores e criptografia, julgue o item seguinte.


O algoritmo criptográfico RC4, cifra de fluxo com tamanho de chave variável, é utilizado nos padrões SSL/TLS (secure socket layer / transport layer security) definidos para a comunicação entre programas navegadores e servidores web.

Alternativas
Comentários
  • "O Algoritmo RC4 é uma cifra de fluxo com tamanho de chave variado e orientada a byte.

    Dentre os produtos que usam atualmente a cifra RC4 pode-se citar os protocolos SSL/TLS (Secure Sockets Layer / Transport Layer Security), WEP (Wired Equivalent Privacy) e WPA2 (WiFi Protected Access). Dentre os fatores determinantes para o sucesso do RC4 pode-se citar a simplicidade do código e o alto desempenho das operações de criptografia e descriptografia."

    Fonte: https://www.lasca.ic.unicamp.br/media/publications/1WEP.pdf

  • O RC4 é considerado um algoritmo de chave simétrica de cifra de fluxo ("stream cypher") pelo fato de o processo de encriptação e decriptação serem independentes do tamanho da mensagem de entrada.

    Fonte: https://www.gta.ufrj.br/ensino/eel879/trabalhos_vf_2011_2/rodrigo_paim/wep.html

  • Certo!

  • Complementando...

    ► Chave Simétrica (1chave) entre os pares de comunicação

    • ex: AES, BLOWFISH, RC4, 3DES, IDEA

    -

    ► Chave ASSimétrica (2chaves, uma pública e outra privada

    • ex: RSA, DSA, ECC, DIFFIE-HELLMAN

    [...]

    PROTOCOLO

    TLS Total segurança

    Projetado para fornecer segurança nas comunicações sobre uma rede de computadores.

    _______

    Bons Estudos.

  • CERTO

    Algoritmo RC4: é uma cifra de fluxo com tamanho de chave variado e orientada a byte. 

    Protocolos que usam RC4: SSL/TLS, WEP e WPA 2.

    RC4 é um código simples, mas com alto desempenho das operações de criptografia e descriptografia

    Questão do Cespe que tem a definição do RC4:

    Ano: 2004 Banca: CESPE / CEBRASPE Órgão: Polícia Federal Prova: CESPE - 2004 - Polícia Federal - Perito Criminal Federal - Informática

    O algoritmo criptográfico RC4 tem como princípio de funcionamento o segredo criptográfico perfeito, em que a chave criptográfica deve ter o mesmo tamanho que a mensagem. Desse modo, no RC4, a chave de criptografia é a semente de uma sequência pseudo-aleatória que é usada para chavear os bytes cifrados em uma operação linear. A mensagem cifrada pode ser tão longa quanto o período da sequência gerada.

    CERTO

  • Agora buguei aqui. Se alguém puder me ajudar.

    O RC4 não é Chave Simetrica? E para segurança web não é usado chave ASSimetrica? Não entendi viu

  • Simétricos: AES, Twofish, Serpent, Blowfish, CAST5, RC4, 3DES, IDEA, DES, AES, CAST-128, RC5, OTP.

    Assimétricos: RSA, Diffie-Hellman, Elgamal, DSA.

  • Cuidado para não confundir:

    TELNET --> Não, não tem criptografia.

    SSH --> Sim, tem criptografia.

  • O comentário da Rosa Diaz contém um equívoco. O WPA2 não usa o RC4 (cifra de fluxo), e sim o AES (cifra de bloco). Quem utiliza RC4, além do WEP, é o WPA, em conjunto com o TKIP.

  • Olá, Carmela Coelho, o RC4 em si é simétrico(usa uma so chave para criptografar e descriptografar). Essa chave, no entanto, é usada para inicializar um vetor de estado, e varia de tamanho, indo de 1 a 256 bytes.

    Já para segurança WEB são usadas as duas modalidades de criptografia(simetrica e assimetrica); a assimetrica pra compartilhar a chave e a simetrica para a criptografia/descriptografia em si.

    Fonte:

    [1] Stallings

  • Partiu bateu eeeee GOOOOOOL

  • Basicamente, RC4 e OTP são as cifras de fluxo de chave simétrica, ou seja, cada bit é cifrado. Por curiosidade: o OTP é dito matematicamente inviolável.

    Gabarito Certo!

  • CERTO

    Em criptografia, RC4 era o algoritmo simétrico de criptografia de fluxo mais usado no software e era utilizado nos protocolos mais conhecidos, como Secure Socket Layers (SSL, hoje conhecido como TLS) (para proteger o tráfego Internet) e WEP

    Fonte: https://pt.wikipedia.org/wiki/RC4#:~:text=Em%20criptografia%2C%20RC4%

    20(ou%20ARC4,seguran%C3%A7a%20de%20redes%20sem%20fios%2C

  • RC4 é uma cifra de fluxo criada em 1987 por Ron Rivest para a RSA Security de tamanho de chave variável

    com operações orientadas a byte.

    O algoritmo é baseado no uso de uma permutação aleatória. A análise mostra que o período da cifra muito provavelmente é maior que 10^100 [ROBS95a]. De oito a dezesseis operações de máquina são necessárias por byte de saída, e a cifra pode executar muito rapidamente em software. RC4 é usado nos padrões Secure Sockets Layer/Transport Layer Security (SSL/TLS), que foram definidos para a comunicação entre navegadores e servidores Web.

    Criptografia e Segurança de Redes - 6ª Ed. 2014 - William Stallings

  • Certo.

    Complementando os excelentes comentários:

    O algoritmo RC4 possui duas funcionalidades básicas: uma para gerar um "código" que será usado para encriptar e decriptar (KSA) e outra para realizar a criptografia propriamente dita da mensagem com o uso deste código (PRGA).

    O RC4 é considerado um algoritmo de chave simétrica de cifra de fluxo ("stream cypher") pelo fato de o processo de encriptação e decriptação serem independentes do tamanho da mensagem de entrada. Em contrapartida aos algoritmos de cifra de fluxo, existem os de cifra em bloco, cujo funcionamento requer mensagens de tamanho fixado, geralmente com o comprimento sendo uma potência de 2. A grande vantagem daquele sobre este é a sua simplicidade de implementação, requerendo poucas operações. Contudo, ele peca no quesito segurança, pelo fato de cada bit de saída ser uma função apenas do bit de entrada, enquanto no outro é uma função de todos os bits do bloco original.

    Fonte:https://www.gta.ufrj.br/ensino/eel879/trabalhos_vf_2011_2/rodrigo_paim/wep.html

  • Quase erro, pois sei que o RCA deixa o arquivo grande por causa do algoritmo. Pensei que ele era incompatível com aplicações Web pelo grande fluxo de dados. Na prova deixaria em branco.

  • Gabarito: Certo.

    RC4 é um algoritmo simétrico de fluxo, muito utilizado em softwares e protocolos de rede, como SSL, WEP e WPA. Sua chave é de tamanho variável entre 0 e 256 bytes (2048 bites). Foi o primeiro algoritmo disponível em redes sem fio.

  • Essas questões é nível PF e PCDF?

    Estou perdido na hora de filtrar as questões de informática!

    Ajude-me, por favor

    • ALGORITMO

    O algoritmo criptográfico RC4, cifra de fluxo com tamanho de chave variável, é utilizado nos padrões SSL/TLS (secure socket layer / transport layer security) definidos para a comunicação entre programas navegadores e servidores web.

    Na criptografia simétrica ou de chave única ou chave compartilhada ou de chave secreta significa que a mesma chave para criptografar é usada para decriptar (descriptografar). 

    Desvantagem: como a internet é o meio que envia o documento criptografado e a chave, então fica fácil decriptar.

    Vantagem: a velocidade para criptografar e decriptar é muito superior a da chave assimétrica. Outras palavras: a performance é superior em cifrar e decifrar. 

    BLOCO e FLUXO são tipos de chave simétrica.

    1. Bloco – toda vez que for realizar a criptografia de bloco vai se juntar aos bytes. Vai ser o bloco de bytes e o bloco encriptografado. 

    Quais algoritmos trabalham assim?

    AES; Twofish; Serpent; Blowfish; DES; 3DES; IDEA; RC5

    2. Fluxo – conforme o fluxo de bytes for passando vai dando o resultado de encriptografação.

    Quais trabalham assim? One time pad (OTP) e RC4. 

    FONTE: aulas do professor Jósis Alves, grancursos.

  • Obrigado nishimura

  • o que diabos é isso, tomara que nõ caia na PF. Mds

  • GAB:C

    Eu errei, pois achei q RC4 por ser simetrico não se aplicaria ao SSL que é assimetrico.

    Informatica: quanto mais estuda menos se sabe.

  • Muito errada. Rc4 é uma cifra vulnerável que não se utiliza mais.

    https://www.ibm.com/support/pages/security-bulletin-vulnerability-rc4-stream-cipher-affects-ibm-sterling-connectdirect-microsoft-windows-cve-2015-2808

  • Gabarito para os não assinantes: Correto!

    A questão traz alguns trechos apresentados por Stallings (2015) com relação ao algoritmo RC4. Desmembrando um pouco mais a questão...

    Cifra de fluxo de tamanho variado...

    Cifra de fluxo é aquela que, conforme o referido autor, realiza a encriptação de um byte de texto claro por vez... Ela também pode operar sobre um bit ou em maiores unidades, desde que projetada para isso. Em síntese, ela "cifra de pouquinho em pouquinho... Pedaço por pedaço...". Aqui já se pode diferenciar da cifrar de blocos, que trata como um todo o texto claro e produz um texto cifrado de mesmo tamanho.

    utilizado nos padrões SSL/TLS (secure socket layer / transport layer security) definidos para a comunicação entre programas navegadores e servidores web.

    Esse trecho foi extraído literalmente do livro. (pág.173)

    Fonte: Stallings, W. Criptografia e segurança de redes: princípios e práticas. 6. ed. – São Paulo: Pearson Education do Brasil, 2015.

    _______________

    Equívocos, me reportem.

    Bons estudos.

  • Trata-se de uma questão sobre segurança da informação.

    O comando da questão afirma que o algoritmo RC4 é utilizado nos padrões SSL/TLS.

    Pessoal, não há nada de errado nessa afirmação, o RC$ é de fato um algoritmo de cifra de fluxo, com tamanho de chave variável, e é utilizado nos padrões SSL/TLS.


    Gabarito do Professor: CERTO.
  • RC4 não é mais usado com TLS por questões de segurança:

    "There is consensus across the industry that the RC4 cipher is no longer cryptographically secure, and therefore RC4 support is being removed with this update. With this change, Microsoft Edge and Internet Explorer 11 are aligned with the most recent versions of Google Chrome and Mozilla Firefox."

     

    https://support.microsoft.com/en-us/topic/rc4-cipher-is-no-longer-supported-in-internet-explorer-11-or-microsoft-edge-f8687bc1-1f88-9abe-5c81-b00c26290f36


ID
5330395
Banca
Exército
Órgão
EsFCEx
Ano
2020
Provas
Disciplina
Segurança da Informação
Assuntos

Os protocolos SSL (Secure Socket Layer) e TLS (Transport Layer Security) permitem o tráfego seguro em conexões TCP por meio de encriptação de dados e outros mecanismos de segurança. Uma diferença entre o SSLv3 e o TLS é

Alternativas
Comentários
  • A principal diferença entre os dois protocolos/certificados é o nível de segurança de um e de outro, ou seja o SSL (é mais antigo e possui a criptografia MAC), já o TLS (é mais atual usando uma criptografia HMAC que usa outro algoritmo). Atenção os dois ainda utilizam o HASH como forma de checagem da integridade da mensagem.

    B) o escopo do cálculo do MAC (Message Authentication Code), que é distinto nos dois protocolos.

    Correto pois os algoritmos de criptografia são diferentes entre si.


ID
5459230
Banca
Aeronáutica
Órgão
CIAAR
Ano
2021
Provas
Disciplina
Segurança da Informação
Assuntos

Avalie o que se afirma sobre uma versão estendida do protocolo SSL adotada como padrão da Internet com o nome de protocolo TLS.

I. É suportado pela maioria dos navegadores e é amplamente usado no comércio da Internet.
II. Após uma chave pública compartilhada ter sido estabelecida no protocolo, cada troca é obrigatória e sucedida de uma negociação.
III. Utiliza uma comunicação cifrada para trocas iniciais e finais, depois é usada criptografia de chave privada e, finalmente, troca para criptografia de chave pública.
IV. Foi projetado de modo que os algoritmos usados para criptografia e autenticação sejam negociados entre os processos nas duas extremidades da conexão.

Está correto apenas o que se afirma em

Alternativas
Comentários
  • R: B

    I: O TLS é o sucessor do SSL, protocolos usados para criptografia na camada de aplicação

    IV: Por esse motivo, o TLS usa criptografia assimétrica para gerar e trocar com segurança uma chave de sessão. A chave de sessão é então usada para criptografar os dados transmitidos por uma parte e para descriptografar os dados recebidos na outra extremidade. Assim que a sessão termina, a chave da sessão é descartada.

  • GABARITO B

    Uma versão estendida do SSL foi adotada como padrão da Internet com o nome de protocolo TLS (Transport Layer Security), descrito no RFC 2246 [Dierks e Allen 1999]. O TLS é suportado pela maioria dos navegadores e é amplamente usado no comércio da Internet.

    O TLS foi projetado de modo que os algoritmos usados para criptografia e autenticação sejam negociados entre os processos nas duas extremidades da conexão, durante um contato inicial (handshake).

    É usada uma comunicação não cifrada para as trocas iniciais, depois é usada criptografia de chave pública e, finalmente, troca para criptografia de chave secreta, após uma chave secreta compartilhada ter sido estabelecida. Cada troca é opcional e precedida de uma negociação

    FONTE: Sistemas Distribuídos - 5ed: Conceitos e Projeto