SóProvas

Questões de SSL

ID
7396
Banca
ESAF
Órgão
CGU
Ano
2004
Provas
Disciplina
Segurança da Informação
Assuntos

Existem vários protocolos criptográficos que podem ser usados para garantir a segurança das informações transferidas através de redes TCP/IP. Alguns são para aplicações específicas e outros são para uso geral. O SSL, protocolo criptográfico mais popular da Internet, opera

Alternativas
Comentários
  • "...o que o torna independente dos protocolos de transporte..."
    Ele é realmente independente? O SSL/TLS usam sempre o TCP, podemos dizer que ele é independente do protocolo de transporte?
  • SSL é o protocolo de segurança padrão do setor para codificação de informações confidenciais, tais como seu número de cartão de crédito. O SSL cria uma chave digital compartilhada, que permite que apenas o emissor e o receptor da transmissão codifiquem ou decodifiquem informações. Para todos os outros, mesmo os servidores usados para transmitir a mensagem, a transmissão SSL é indecifrável. A criptografia SSL somente pode ser desfeita se a mensagem criptografada for interceptada, gravada e for usado um computador para tentar todas as combinações possíveis até que a chave seja decifrada. Funciona como uma camada intermediária entre as camadas de transporte e de aplicação.
  • Acho que o colega acima se equivocou sobre SSL, por causa d proximidade da prova. Na pressa ele escreveu APRESENTÇÂO, ao invés de SESSÂO. O protocolo SSL é camada 5, SESSÂO.
  • A pilha de protocolos que está em uso é a TCP/IP, a sequencia aplicação e transporte logo abaixo está correta. Lembrando que se for transpor o uso do TCP/IP e tentar fazer uma comparação com o modelo de referência OSI o camada de transporte do TCP/IP contempla as camadas Aplicação, Apresentação e Sessão do Modelo OSI.
  • O SSL na pilha de protocolos é uma nova camada colocada entre a camada de aplicação e a camada de transporte (conforme a figura), aceitando solicitações do navegador e enviando-as ao TCP para transmissão ao servidor.

    Aplicação (HTTP)
    Segurança (SSL)
    Transporte (TCP)
    Rede (IP)
    Enlace de dados (PPP)
    Física (modem, ADSL, TV a cabo)
    Fonte: TANENBAUM, Andrew S., 2003, p. 865.

  • Camada de API SOCKET 

  • c-

    ssl - camada 6

ID
12115
Banca
CESPE / CEBRASPE
Órgão
Polícia Federal
Ano
2004
Provas
Disciplina
Segurança da Informação
Assuntos

As aplicações web que necessitam de segurança criptográfica dos dados transmitidos entre o navegador (cliente) e o servidor web utilizam o protocolo SSL/TLS para o estabelecimento de sessões seguras. Acerca do SSL/TLS e suas aplicações, julgue os itens a seguir.

Para o estabelecimento de uma sessão SSL, é necessário que o servidor e o cliente tenham um certificado digital válido. Esses certificados devem ser trocados e reconhecidos pelos destinatários como certificados confiáveis.

Alternativas
Comentários
  • Uma sessão SSL é estabelecida por uma seqüência de handshake entre cliente e servidor, a qual pode variar, dependendo do servidor estar configurado para fornecer um certificado ao cliente, ou exigir um certificado dele. Há também casos onde etapas adicionais são necessárias para o gerenciamento de informações criptográficas. Em situações gerais a seqüência de eventos no processo de estabelecimento de uma conexão SSL é:

    1. Cliente e servidor trocam mensagens de saudação (Hello) que contém dados randômicos;
    2. O servidor envia ao cliente sua chave pública, junto a um certificado assinado;
    3. O cliente gera dados randômicos para usar como um "segredo compartilhado", enviando em seguida estes dados ao servidor, criptografados com a chave pública dele, em uma mensagem denominada Client Key Exchange;
    4. Cliente e servidor utilizam uma combinação dos dados randômicos trocados e dos dados secretos gerados pelo cliente para gerar as chaves criptográficas que serão utilizadas;
    5. O cliente envia uma mensagem denominada Change Cypher Spec para determinar o serviço de criptografia a ser utilizado, e uma mensagem de fim de estabelecimento de conexão (Finished);
    6. O servidor responde com o envio de ambos o Change Cypher Spec e a mensagem Finished.
  • É necessário que existam certificados válidos de ambas as partes, mas não é obrigatório que o servidor envie o seu certificado. Isso só ocorre no 2-WAY SSL.
  • O Secure Sockets Layer V3 pode utilizar os certificados digitais do servidor bem como os do cliente. Como explicado anteriormente, os certificados digitais do servidor são obrigatórios para uma sessão SSL, enquanto os certificados digitais do cliente são opcionais, dependendo dos requisitos de autenticação do cliente. [Fonte: http://publib.boulder.ibm.com/tividd/td/TRM/GC32-1323-00/pt_BR/HTML/admin231.htm]
  • ERRADO

    O erro está na informação 'é necessário que o servidor e o cliente tenham um certificado digital válido', pois é necessário o servidor ter o certificado, para o cliente, o certificado é opcional.

    Um bom exemplo disso é quando você vai declarar seu imposto de renda no site da Receita, você não tem obrigação de ter um certificado digital para fazer a declaração do IR, é opcional. Já o servidor da Receita tem que ter um certificado digital válido.


  • Willian Stalings, Criptografia e Segurança de Redes, págs 420 e 421

    (Protocolo de Handshake)

    Fase 2. autentiCação de serVidor e troCa de CHaVe

    (...)
    O servidor inicia essa fase enviando seus certificados, se precisar ser autenticado; a mensagem contém
    uma ou uma cadeia de certificados X.509. A mensagem de certificado é exigida para qualquer método e troca
    de chave combinado, exceto Diffie-Hellman anônimo.
     

    fase 3. autentiCação de Cliente e troCa de CHaVe

    (...)
    Se o servidor tiver solicitado um certificado, o cliente inicia essa fase enviando uma mensagem de certificado. Se nenhum certificado apropriado estiver disponível, o cliente envia um alerta no_certificate em vez disso.
     

     

    Moral da história, não é necessário que cliente e servidor tenham certificados válidos. 

ID
12127
Banca
CESPE / CEBRASPE
Órgão
Polícia Federal
Ano
2004
Provas
Disciplina
Segurança da Informação
Assuntos

As aplicações web que necessitam de segurança criptográfica dos dados transmitidos entre o navegador (cliente) e o servidor web utilizam o protocolo SSL/TLS para o estabelecimento de sessões seguras. Acerca do SSL/TLS e suas aplicações, julgue os itens a seguir.

Para se definir os algoritmos de criptografia simétrica que serão usados em uma sessão SSL, cliente e servidor trocam uma mensagem informando qual é a suíte de algoritmos que cada um suporta. Cabe ao servidor a escolha do algoritmo que será usado, tendo como critério o algoritmo que suporte a maior chave simétrica, em número de bits.

Alternativas
Comentários
  • Quem ler muito rápido a questão passa batido na casca de banana.. Numa sessão SSL é o servidor a entidade responsável pela eleição da melhor suíte de algorítimos, e esta escolha é baseada no algorítimo de criptografia simétrico mais forte existente em comum entre cliente e servidor, e não na maior chave.
  • O estabelecimento de uma seção SSH ocorre da seguinte maneira:


    O Servidor SSH anuncia ao cliente uma lista de médotos de autenticação. O cliente tenta se autenticar com algum dos métodos que é capaz, geralmente escolhendo o menos intrusivo para o usuário.

    Fonte: http://winscp.net/eng/docs/ssh
    http://docstore.mik.ua/orelly/networking_2ndEd/ssh/index.htm

  • O handshake da sessão SSL:

    1) O cliente entra em contato com o servidor e solicita uma conexão segura. O servidor responde com a lista de conjuntos de cifras compatíveis. O cliente compara isso com sua própria lista de conjuntos de cifras suportados, seleciona um, e permite que o servidor saiba que ambos estarão usando.

    O CLIENTE QUE SELECIONA O ALGORITMO PARA A CONEXÃO. Não é o servidor, como fala de forma errada a questão.

    2) O servidor então fornece seu certificado digital. O cliente confirma a autenticidade do certificado.

    3) Usando a chave pública do servidor, o cliente e o servidor estabelecem uma chave de sessão que ambos usarão para o resto da sessão para criptografar a comunicação. A partir daqui, conexões podem ser estabelecidas com segurança sobre a sessão.

    Qualquer coisa complementem ou me corrijam. Grato!

ID
17830
Banca
CESGRANRIO
Órgão
BNDES
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Um dos objetivos do SSL nas conexões HTTPS é garantir o(a)

Alternativas
Comentários

  • SSL ( Secure Sockets Layer) é uma tecnologia de segurança que é comumente utilizada para codificar os dados trafegados entre o computador do usuário e um Website. O protocolo SSL, através de um processo de criptografia dos dados, previne que os dados trafegados possam ser capturados, ou mesmo alterados no seu curso entre o navegador (browser) do usuário e o site com o qual ele está se relacionando, garantindo desta forma informações sigilosas como os dados de cartão de crédito.

    Como identificar um site que utiliza SSL

    Quando um visitante de um web site se conecta a um servidor que está utilizando o protocolo SSL, eles irão notar na barra de endereços, que o protocolo passa a ser https:// ( no lugar do http:// padrão). Aliado a isto, a maioria dos browsers (como o internet explorer por exemplo) mostram no browser um tradicional cadeado (como ilustrado na imagem abaixo). Quando este cadeado está sendo mostrado, o usuário passa a ter a tranquilidade de saber que as informações fornecidas aquele Website não poderão ser interceptadas no seu trajeto

     

  • O SSL constrói conexão segura incluindo:
    – Negociação de parâmetros entre cliente e servidor.
    – Autenticação mútua de cliente e servidor. (certificação digital)
    – Comunicação secreta. (criptografia simétrica)
    – Proteção da integridade dos dados. (hash)
    Alternativa: E

  • LETRA E.(SÓ REPETI PARA INDICAR A FONTE QUE O COLEGA ESQUECEU DE CITAR, O QUE PARA NÓS CONCURSEIROS É DE EXTREMA IMPORTÂNCIA!)

    Segundo Tanenbaum(2011,p.534),"O SSL constroi uma conexão segura entre dois soquetes, incluindo:

    1. negociação de parâmetros entre cliente e servidor.

    2. autenticação mútua de cliente e servidor.

    3. comunicação secreta.

    4. proteção da integridade dos dados."

    Bibliografia:

    TANENBAUM, A. S.; WETHERALL, D. Redes de Computadores. 5. ed. São Paulo: Pearson, 2011.

ID
70303
Banca
FCC
Órgão
TRT - 3ª Região (MG)
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

O SSL é um pacote de segurança (protocolo de criptografia) que opera, no modelo TCP/IP, entre as camadas de

Alternativas
Comentários
  • O protocolo SSL roda sobre o protocolo de transporte (TCP), porém abaixo dos protocolos de aplicação como (HTTP, LDAP e IMAP).http://www.cryptoheaven.com/Security/Presentation/SSL-protocol.htm
  • O SSL está posicionado entre a camada de transporte e a camada de aplicação da pilha TCP/IP (camada “API SOCKET”) e independe de protocolo de aplicação e de protocolo de Transporte.
    Gabarito: B

    Fonte: Aulas provas de TI

  • GABARITO: B

    [...]Efetivamente, trata-se de uma nova camada colocada entre a camada de aplicação e a camada de transporte, aceitando solicitações do navegador e enviando-as ao TCP para transmissão ao servidor.

    FONTE: Tanenbaum

ID
110728
Banca
CESGRANRIO
Órgão
IBGE
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Um analista de segurança, durante uma apresentação abordando aspectos relacionados à segurança da informação, fez os seguintes comentários:

I - IDS (Intrusion Detection System) baseados em rede monitoram os cabeçalhos e o campo de dados dos pacotes a fim de detectar possíveis invasores no sistema, além de acessos que possam prejudicar a performance da rede. A implantação de criptografia (implementada via SSL, IPSec e outras) nas transmissões de dados como elemento de segurança prejudica esse processo de detecção. O SSL é executado entre a camada de transporte e de aplicação do TCP/IP, criptografando assim a área de dados dos pacotes e, desta forma, sistemas IDS não terão como identificar, através do conteúdo dos pacotes, tentativas de ataque;
II - nos sistemas de segurança da informação existem métodos que avaliam se uma mensagem em trânsito foi alterada. Esses métodos visam garantir o não- repúdio. O DES é um algoritmo de chave simétrica baseado na cifragem de blocos de 64 bits, que pode ser utilizado para garantir o não-repúdio;
III - os procedimentos de segurança aplicados na empresa devem ser complexos e sigilosos para que um possível invasor tenha dificuldade em entender os procedimentos, tornando assim o ambiente mais seguro. Além disso, a política de segurança das empresas deve sofrer o mínimo possível de alterações ao longo do tempo, não sendo sensível a mudanças na infraestrutura organizacional.

Está(ão) correta(s) o(s) comentário(s)

Alternativas
Comentários
  • II - erradaDES (Data Encryption Standard) é um algoritmo de chave simétrica de 56 bits, criado em 1977 pela IBM. Já ultrapassado nos dias atuais;III - erradaOs procedimentos de segurança não devem ser, necessariamente, complexos. A política de segurança DEVE SER ATUALIZADA periodicamente, e DEVEM estar alinhadas às mudanças na infraestrutura organizacional.

  • Os NIDs podem ter dificuldade em processar todos os pacotes em uma rede que possua um grande tráfego de dados.

    Eles não podem analisar o tráfego de informações criptografadas. Esse problema vem aumentando em função da utilização de VPNs pelas organizações (e pelos atacantes também).

    Já os HIDS podem operar em um ambiente onde o tráfego de rede é criptografado, a informação é analisada antes de ser criptografada na origem, ou depois de ser decriptada no destino.

  • No DES a chave é de 56 bits, mas a mensagem é de 64 bits(56 da mensagem + 8 bits de paridade)
  • I - CORRETO. A implantação de criptografia na comunicação prejudica o processo de detecção do IDS pois ele analisa precisa analisar o campo de dados do pacote para identificar alguma anomalia, e os dados estando criptografados ele não consegue fazer essa análise.

    II - INCORRETO. Há dois erros nessa alternativa, o primeiro é que se o sistema de segurança está avaliando se a mensagem em trânsito foi alterada, então esse método visa garantir a integridade da mensagem, e não o não-repúdio. O outro erro é que no DES a chave é de 56 bits.

    III - INCORRETO. Os procedimentos de segurança devem ser simples e não complexos como informado nessa questão, e a política de segurança da informação deve ser sempre revisada e alterada sempre que necessário, e mudanças na infraestrutura organizacional refletem na política de segurança da informação.
  • CORRETO
    I - IDS (Intrusion Detection System) baseados em rede monitoram os cabeçalhos e o campo de dados dos pacotes a fim de detectar possíveis invasores no sistema, além de acessos que possam prejudicar a performance da rede. A implantação de criptografia (implementada via SSL, IPSec e outras) nas transmissões de dados como elemento de segurança prejudica esse processo de detecção. O SSL é executado entre a camada de transporte e de aplicação do TCP/IP, criptografando assim a área de dados dos pacotes e, desta forma, sistemas IDS não terão como identificar, através do conteúdo dos pacotes, tentativas de ataque; 

    ERRADO
    II - nos sistemas de segurança da informação existem métodos que avaliam se uma mensagem em trânsito foi alterada. Esses métodos visam garantir o não-repúdio (integridade). O DES é um algoritmo de chave simétrica baseado na cifragem de blocos de 64 bits (64 bits de bloco, 56 bits de chave efetiva + 8 bits paridade), que pode ser utilizado para garantir o não-repúdio 
     
    III - os procedimentos de segurança aplicados na empresa devem ser complexos (simples) e sigilosos para que um possível invasor tenha dificuldade em entender os procedimentos, tornando assim o ambiente mais seguro. Além disso, a política de segurança das empresas deve sofrer o mínimo possível de alterações ao longo do tempo, não sendo sensível a mudanças na infraestrutura organizacional
ID
150286
Banca
FCC
Órgão
TJ-PA
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Para manter a segurança das comunicações via Internet, o protocolo SSL (Secure Sockets Layer) utiliza sistemas criptográficos

Alternativas
Comentários

  •  

    A chave de sessão é uma chave de cifração simétrica, por definição. O SSL utiliza tanto chaves simétricas como assimétricas, na seguinte ordem:

    Primeiramente assimétrica, na definição da conexão com o cliente (handshake SSL). Uma vez conectado, toda comunicação é realizada através de criptografia simétrica (uso de chaves de sessão), por esta ser muito mais veloz.

  • Tanto o cliente como o servidor utilizam o segredo principal para gerar as chaves de sessão, que são chaves simétricas utilizadas para encriptar e desencriptar as informações trocadas durante a sessão SSL e para verificar a respectiva integridade (isto é, para detectar alterações ocorridas nos dados durante o período de tempo em que foram enviados e recebidos através da ligação SSL).
ID
163939
Banca
FCC
Órgão
TJ-PI
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Em TI, uma política de segurança adequada deve conter recomendações de filtros que permitam o bloqueio de portas e protocolos no firewall para os serviços que mais são explorados em tentativas de invasão. Todavia, essa tarefa deve levar em conta o cuidado de não paralisar os serviços necessários no ambiente de rede privado. Nesse sentido, os bloqueios podem ser implementados

I. nos pacotes originários do ambiente exterior, com origem em endereços internos previstos na RFC 1918 (redes privadas) e endereços IP 127.

II. nas portas de DNS para todas as máquinas que não sejam servidores de DNS e também para as que sejam servidores de DNS secundária.

III. nos protocolos HTTP e SSL, exceto para servidores que provêm serviços Web para acesso externo, bem como as portas altas utilizadas por serviços HTTP como Proxy.

IV. nas requisições de echo request, de saída de echo replies, time exceeded, e mensagens do tipo unreachable.

É correto o que consta em

Alternativas
Comentários
  •  nas portas de DNS para todas as máquinas que não sejam servidores de DNS e também para as que sejam servidores de DNS secundária.
  • Acho que o amigo acima se confundiu no erro do item II:
    BLOQUEIO ...
    II) nas portas de DNS para todas as máquinas que não sejam servidores de DNS e também para as que NÃO sejam servidores de DNS secundária.

    Não faz sentido bloquear a porta de DNS(53) de uma máquina que é servidor de DNS. Caso isso ocorra, a mesma não poderá mais responder a nenhuma solicitação DNS de seus clientes, já que ficará impossibilidade de escutar na porta 53 por conexões de seus clientes.
  • Concordo com o comentário do Fábio e foi exatamente por pensar assim que descartei o segundo item.

  • Considerações do colega lhmachado do timasters:

    I- Evita Spoofing. Alguém externo poderia enviar requisições com o IP de um
    servidor interno. O roteador iria responder à requisição encaminhando-a ao
    servidor interno, pois ele pensa que foi este quem a enviou.
    II- Para que ficar bloquenado porta DNS (53) de máquina que não tem DNS
    rodando? ERRADO
    III-Se você hospeda um site que tem visibilidade externa, não vai querer
    bloqueá-lo. E o HTTP Proxy usa como padrão a porta alta 3128. Se você tiver
    um Squid, por exemplo, funcionando como proxy transparente você tem que
    liberar acesso externo à respectiva porta.
    III-Não é interessante seus servidores internos ficarem perdendo tempo
    respondendo a PING externos. Além de ser arriscado pois poderiam enviar um
    ping da morte ou mesmo usar o ping para explorar a rede (traceroute usa
    ping). Por isso, é comum, o firewall dropar (drop) pings.

ID
222838
Banca
CESGRANRIO
Órgão
IBGE
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A SSL (Secure Sockets Layer), um pacote de segurança que fornece criptografia de dados e autenticação entre um cliente e um servidor Web,

Alternativas
Comentários

  • Descrição

    O protocolo SSL provê a privacidade e a integridade de dados entre duas aplicações que estejam se comunicando pela Internet. Isto ocorre através da autenticação das partes envolvidas e da criptografia dos dados transmitidos entre as partes. Esse protocolo ajuda a prevenir que intermediários entre as duas pontas da comunicação tenham acesso indevido ou falsifiquem os dados sendo transmitidos.

    Funcionamento

    O servidor do site que está sendo acessado envia uma chave pública ao browser, usada por este para enviar uma chamada secreta, criada aleatoriamente. Desta forma, fica estabelecida a trocas de dados criptografados entre dois computadores.
    Baseia-se no protocolo TCP da suíte TCP/IP e utiliza-se do conceito introduzido por Diffie-Hellman nos anos 70 (criptografia de chave pública) e Phil Zimmerman (criador do conceito PGP).

    • O SSL está posicionado entre a camada de transporte e a camada de aplicação da pilha TCP/IP e funciona provendo serviços de autenticação do servidor, comunicação secreta e integridade dos dados.

    A) Não é necessário que o cliente use certificado digital;
    B) entre a camada de transporte e a camada de aplicação da pilha TCP/IP ;
    C) Garante a  integridade dos dados;
    D) Não tem lógica
    E) Correto.

    Fonte: João Antônio.

  • @Lorival:

    .

    Complementando a D: SSL não é específico de navegadores, outras aplicações podem fazer uso dele também. SMTP é um protocolo que usa SSL para dar segurança às suas mensagens.

ID
230578
Banca
FUNCAB
Órgão
PRODAM-AM
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Para garantir que intrusos não possam comprometer uma conexão, qual o tipo de criptografia o protocolo SSLutiliza?

Alternativas
Comentários
  • SSL e TLS: Oferecem suporte de segurança criptográfica para os protocolos NTTP, HTTP, SMTP e Telnet. Permitem utilizar diferentes algoritmos simétricos, message digest (hashing) e métodos de autenticação e gerência de chaves (assimétricos).

    Fonte: http://www.training.com.br/lpmaia/pub_seg_cripto.htm
  • SSL utiliza algoritmo de chave asimetrica para a troca de chaves e depois algoritmos simetricos para a transferencia de dados.
ID
237073
Banca
CESPE / CEBRASPE
Órgão
ABIN
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os próximos itens com relação a SMTP (simple mail transfer
protocol), HTTP (hypertext transfer protocol), DHCP (dynamic
host configuration protocol) e DNS (domain name system).

Quando o HTTP é usado sobre a SSL (secure sockets layer), ele é denominado HTTPS (secure HTTP), embora seja o mesmo HTTP padrão.

Alternativas
Comentários
  • O que altera é a camada de transporte,
    HTTP -> TCP (porta 80)
    HTTPS -> SSL (porta 443)

  • CORRETO. SÓ PARA CONSULTA SEGUE A PÁGINA DA QUAL RETIRARAM A QUESTÃO.

    Segundo Tanenbaum(2011,p.534),"Quando o HTTP é usado sobre SSL (secure sockets layer), ele se denomina HTTPS (Secure HTTP), embora seja o protocolo HTTP padrão. Às vezes, ele está disponível em uma nova porta(443), em lugar da porta-padrão (80)."

    Bibliografia:

    TANENBAUM, A. S.; WETHERALL, D. Redes de Computadores. 5. ed. São Paulo: Pearson, 2011.

  • Olha só: o que ele quis dizer é diferente do que ele disse...o https não é o mesmo protocolo http, pois é seguro, certo?

    O que ele quis dizer é que mesmo o http sobre o socket layer, trabalha como o http padrão (mas com segurança!)

  • Prezados,

    O TLS/SSL opera em dois níveis de camadas, uma situada logo acima da camada de transporte, que encapsula todos os serviços de segurança presentes na conexão, e outras três situadas acima dela, que controlam seu comportamento. O HTTPS é chamado assim mas não é um protocolo novo , basicamente é o HTTP rodando sobre o SSL.




    Portanto a questão está correta.


ID
328612
Banca
FUNIVERSA
Órgão
SEPLAG-DF
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Assinale a alternativa que apresenta a tecnologia que torna possível a existência de portais de comércio eletrônico com acesso seguro por parte do consumidor.

Alternativas
Comentários

  • HTTP com SSL, pois garantem autenticidade e integridade dos dados no browser

  • Gabarito D

    O SSL (Secure Sockets Layer) usa um sistema de criptografia que utiliza duas chaves para criptografar os dados, uma chave pública conhecida por todos e uma chave privada conhecida apenas pelo destinatário. O SSL é a única e eficaz maneira de obter segurança de dados em comércio eletrônico. Quando um SSL – Certificado Digital está instalado no website, um icone de um cadeado aparece no navegador e o endereço começa com https:// ao invés de http:// informando que os dados serão criptografados.

    "Retroceder Nunca Render-se Jamais !"

    Força e Fé !

    Fortuna Audaces Sequitur !

ID
332842
Banca
CESPE / CEBRASPE
Órgão
Correios
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de algoritmos de criptografia e protocolos, julgue os itens subsecutivos.

O protocolo SSL, muito utilizado na camada física do protocolo TCP/IP, foi desenvolvido para a segurança entre aplicações.

Alternativas
Comentários
  • Errado - não é utilizado na camada física.
    O protocolo SSL é executado acima do TCP/IP e abaixo do nível superior de outros protocolos, entre a camada de transporte e a camada de aplicativos, como o HTTP ou IMAP.
  • O SSL está posicionado entre a camada de transporte e a camada de aplicação da pilha TCP/IP (camada “API SOCKET”) e Independe de protocolo de aplicação e de protocolo de Transporte.
    Alternativa: Errada

    Fonte: Aulas provas de TI
  • A.western:visited { }A.cjk:link { }A.ctl:link { }

    O protocolo SSL, muito utilizado na camada física do protocolo TCP/IP, foi desenvolvido para a segurança entre aplicações.

    RESPOSTA: E

    Errado. O protocolo Secure Sockets Layer – SSL (Camada Segura de Sockets) não é utilizado na camada física do TCP; ele reside tecnicamente na camada de aplicação e é utilizado por suas aplicações, mas na perspectiva do desenvolvedor, ele é um protocolo de transporte que provê serviços do TCP aprimorados com serviços de segurança. Ele foi desenvolvido para prover segurança em transações que ocorrem através do HTTP; como o SSL protege o TCP, oferecendo-lhe sigilo, integridade dos dados e autenticação do ponto final, ele pode ser empregado por qualquer aplicação que execute o TCP; portanto, somente a segunda parte desse item está correta.

  • ERRADO.

    Segundo Stallings(2008,p.380),"Outra solução de uso relativamente geral é implementar a segurança logo acima do TCP. O exemplo principal dessa técnica é o Secure Sockets Layer(SSL) e seu padrão de Internet correspondente, conhecido como Transport Layer Security(TLS)."

    CRIPTOGRAFIA E SEGURANÇA DE REDES-4 EDIÇÃO- WILLIAN STALLINGS

  • O protocolo SSL, muito utilizado na camada física (Errado. O SSL reside acima camada de transporte e abaixo da camada de aplicação) do protocolo TCP/IP, foi desenvolvido para a segurança entre aplicações (O restante está correto).


    Bons estudos!

  • O protocolo SSL posiciona-se na pilha de protocolos em uma nova camada

    colocada entre a camada de aplicação e a camada de transporte.

    Gabarito: Errado.

  • Se fosse no modelo OSI seria camada 6, apresentação

  • o SSL se posiciona em uma camada intermediária entre as camadas de aplicação e transporte da arquitetura TCP/IP.

ID
651388
Banca
PaqTcPB
Órgão
Prefeitura de Patos - PB
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

_________ é uma tecnologia de segurança, que é comumente utilizada para codificar (criptografar) os dados trafegados entre o computador do usuário e um Website. O melhor termo que completa a frase é:

Alternativas
Comentários

  • SSL ( Secure Sockets Layer) é uma tecnologia de segurança que é comumente utilizada para codificar os dados trafegados entre o computador do usuário e um site. O protocolo SSL, através de um processo de criptografia dos dados, previne que os dados trafegados possam ser capturados, ou mesmo alterados no seu curso entre o navegador do usuário e o site com o qual ele está se relacionando. Desta forma, garantimos informações sigilosas como os dados de cartão de crédito.

     

    Fonte: https://www.rudge.com.br/institucional/politica-de-seguranca

ID
699355
Banca
FCC
Órgão
TRE-SP
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Ao criar uma conta de webmail no Windows Live Mail, é possível definir se o servidor, sendo configurado, necessita de conexão segura. Isso é feito, na tela de adição da conta, pela opção:

Alternativas
Comentários

  • TSL e SSL é um protocolo que conferem segurança de comunicação na Internet para serviços como email (SMTP), navegação por páginas (HTTPS) e outros tipos de transferência de dados.

    Ai fica a dúvida na questão, tem duas alternativas corretas  ?

  • ainda perdi tempo lendo esta questão ....

  • e escrevendo um comentário...

  • com uma banca dessas, o sabidão que não perde tempo lendo, erra  na proxima questão, se não errar nessa!

  • Como configurar uma conta webmail (HTTP) no Windows Live Mail - https://support.microsoft.com/pt-br/kb/973856

  • Para quem quer o gabarito, alternativa A.

  • A questão está correta confira abaixo:

     

    https://www.homehost.com.br/blog/e-mail/configurando-windows-live-mail-com-ssl

  • Com uma banca dessas! ótimo para quem passa noites e noites estudando e chega nesse tipo de questão e erra!

  • Pedir comentário do professor.

ID
703102
Banca
AOCP
Órgão
BRDE
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre TLS, analise as assertivas e assinale a alternativa que aponta a(s) correta(s).

I. O TLS foi embutido no SSL na versão 3.

II. A maioria dos sites de comércio eletrônico na Web utiliza SSL/TLS para estabelecer sessões autenticadas e seguras entre cliente e servidor.

III. A partir da criação do TLS o SSL continua sendo forte no mercado, embora o TLS provavelmente o substituía aos poucos.

IV. A limitação do TLS é a de ser uma tecnologia fechada, desta forma a compatibilidade com outras aplicações fica comprometida.

Alternativas
Comentários
  •  I. Na versão 3 do SSL foi incluida a compatibilidade com o TLS 1.0 (Porém com perda de segurança).
    "TLS 1.0 does incorporate a mechanism by which a TLS implementation can back down to SSL 3.0"
    Referência: RFC: http://tools.ietf.org/html/rfc2246
    II. O HTTPS usado pelos sites de comercio nada mais é do que a camada de aplicação do conjunto de protocolos SSL/TLS.
    "Hypertext Transfer Protocol Secure (HTTPS) is a widely used communications protocol for secure communication over a computer network, with especially wide deployment on the Internet. Technically, it is not a protocol in itself; rather, it is the result of simply layering theHypertext Transfer Protocol (HTTP) on top of the SSL/TLS protocol, thus adding the security capabilities of SSL/TLS to standard HTTP communications."
    Referência: http://en.wikipedia.org/wiki/HTTP_Secure
    III. O SSL 3.0 data de 1996 enquanto o TLS 1.2 data de 2008. O TLS usa SHA-256 e AES, que são algoritmos mais seguros que o MD5 e SHA-1 usados pelo SSL. Dessa forma, é natural que o TSL substitua o SSL com o passar do tempo.
    Referência: http://en.wikipedia.org/wiki/Transport_Layer_Security#TLS_1.2
    IV Errado. O TLS é aberto assim como o SSL e é descrito na RFC 5246.
    Referência:http://tools.ietf.org/html/rfc5246

  • questão mal formulada cabível de recurso, jamais o TLS é fechado.....

  • O Secure Sockets Layer (SSL) e o seu sucessor Transport Layer Security (TLS) têm o objetivo de proteger a comunicação realizada pelos serviços na Internet.

  • TLS (Transport Layer Security)

    • Definido na RFC 2246.

    • Criado para ser o sucessor do SSL.

    • O formato do registro TLS e seus campos de cabeçalho são idênticos e com mesmo significado do SSL.

    • Tendo como diferença os valores de versão.

    • O TLS tem a capacidade de trabalhar em portas diferentes

    • E usa algoritmos de criptografia mais fortes como o HMAC enquanto o SSL apenas o MAC.

    • O TLS pode ser utilizado por uma autoridade intermediária, não sendo sempre necessário recorrer à raiz de uma Autoridade de Certificação.

    !FFF

  • Mas veja bem, no artigo 307, o Juiz, se no exercício de suas funções, pode dar auto de prisão igual aos poliça. Então, muito cuidado com essa de que juiz nunca poderá dar voz de prisão igual aos poliça.

    Claro que nesse caso o juizão tava apenas dando uma banda de busão pra curtir.

ID
774019
Banca
UFLA
Órgão
UFLA
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A Camada de Segurança de Sockets SSL (Secure Sockets Layer) é a implementação de criptografia no protocolo TCP. Analise as seguintes proposições sobre SSL.

I. SSL é amplamente utilizado por aplicações que requerem segurança na comunicação, tal como nos serviços de correio eletrônico, transações bancárias e conexões remotas de rede.

II. As camadas de segurança SSL e TLS (Transport Layer Secure) são idênticas e por isso não são usadas ao mesmo tempo.

III. SSL é suportado por todos os browsers Web e servidores Web sendo usado pelos sites mais populares de transações comerciais.

Marque a alternativa CORRETA.

Alternativas
Comentários

  • II: O TLS pode operar em portas diferentes e usa algoritmos de criptografia mais fortes, como o Keyed - Hashing for Message Authentication Code (HMAC). Já o SSL utiliza apenas o algoritmo Message Authentication Code (MAC).

    A grande vantagem desses protocolos é garantir a segurança nos protocolos de comunicação na internet (TCP/IP). Ou seja, comumente se vê nas barras de navegação as terminações “http” e o “https”, no primeiro caso os dados trafegam livremente e o segundo criptografa as informações com SSL/TLS. É possível operar com ou sem SSL ou TLS, basta que o usuário indique se quer ou não configurar uma conexão segura.

ID
776527
Banca
CESGRANRIO
Órgão
Chesf
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

O SSL consiste num aperfeiçoamento do TCP para o oferecimento de serviços de segurança processo a processo.

Por conta disso, é(são) cifrado(s) em um registro SSL o(s) campo(s)

Alternativas
Comentários
  • Para o transporte real, é usado um segundo subprotocolo, como mostra a F igura 8.52. Primeiro, as
    mensagens do navegador sãodivididasem unidadesde até 16 KB.Se a compactação estiver ativa,
    cada  unidade  será   então  compactada  separadamente.  Depois  disso,  uma  chave  secreta   derivada
    dos   dois   nonces   e   da   chave   pré-mestre   é   concatenada   com   o   texto   compactado,   e   o   resultado
    passa   por   um   hash   com   o   algoritmo   de   hash   combinado   (normalmente,   o   MD5).   Esse   hash   é
    anexado   a   cada   fragmento   como   o   MAC.   O   fragmento   compactado   somado   ao   MAC   é   então
    codificado com o algoritmo de criptografia simétrica estabelecido de comum acordo (em geral, por
    uma  operação   XOR  entre   ele   e   o   fluxo   de   chaves   do   RC4).   Por   fim,   é   anexado   um   cabeçalho   de
    fragmento eo fragmento é transmitido pela conexão TCP . (trecho retirado do livro de rede - Tanenbaum)
  • O registro consiste em um campo de tipo, campo de versão, campo de comprimento, campo de dados e um campo de MAC (Cód. de autenticação de mensagem). Os três primeiros não estão cifrados.
    Kurose, 5ª edição. Página 524.

    resposta letra C
  • pessal, ve se eu to viajando. o colega mesmo acima falou que o comprimento não é criptografado. vi também no livro do staling e realmente o comprimento não é criptografado, isso torna a questao D correta...

  • a questão pede os campos cifrados. logo, comprimento não entra neste quesito.

    reposta certa: C

  • c-

    em um registro SSL o(s) campo(s) Dados e MAC, apenas

    In the case of HTTPS, any data that would have been sent had the connection not been secure, will be sent as encrypted application data. Additionally, for historical reasons, the MAC and Padding will also be encrypted.

    https://www.rfc-editor.org/rfc/rfc5246

ID
813010
Banca
AOCP
Órgão
TCE-PA
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre o Secure Sockets Layer, é correto afirmar que

Alternativas
Comentários

  • Trata-se do SSL (Secure Socket Layer). Ele permite que aplicativos cliente/servidor possam trocar informações em total segurança, protegendo a integridade e a veracidade do conteúdo que trafega na Internet. Tal segurança só é possível através da autenticação das partes envolvidas na troca de informações.

  • Gabarito A

    Transport Layer Security (TLS), assim como o seu antecessor Secure Sockets Layer (SSL),é um protocolo de segurança que protege as telecomunicações via internet para serviços como e-mail (SMTP), navegação por páginas (HTTPS) e outros tipos de transferência de dados.

    Existem algumas pequenas diferenças entre o SSL 3.0 e o TLS 1.0, mas o protocolo permanece substancialmente o mesmo. O termo "SSL" aqui usado aplica-se a ambos os protocolos, exceto se disposto em contrário. O protocolo SSL 3.0 também é conhecido como SSL3 e o TLS 1.0 como TLS1 ou ainda SSL3.1.



    "Retroceder Nunca Render-se Jamais !"

    Força e Fé !

    Fortuna Audaces Sequitur !

ID
885112
Banca
CESPE / CEBRASPE
Órgão
ANP
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito dos mecanismos de segurança da informação, julgue
os próximos itens.

No acesso a um sítio da web que utilize protocolo HTTP, no momento da transferência dos dados para autenticação utilizando usuário e senha, pode-se agregar o TLS/SSL para que os dados sejam criptografados ao serem enviados.

Alternativas
Comentários
  • CERTO.
    Pergunta capciosa!!! Malvada até.
    Cita o HTTP que não é um procotolo seguro e sugere a agregação do TLS/SSL para que os dados sejam criptografados. Só que a gente sabe que o procolo seguro é o HTTPS. Ou seja, é o HTTPS que requer uma outra camada de protocolos (TLS/SSL) pra criptografia dos dados. Por que está certa então? Porque ele meio que contou uma historinha: a gente acessa um site via HTTP, e na hora de enviar uma senha por exemplo, inclui o TLS/SSL pra cuidar da criptografia. Aí acabou a história dele. Faltou contar que a partir daí o HTTP vira HTTPS. Ele não contou isso. Deixou no ar. Mas isso não faz da história dele uma história falsa. É incompleta. Capciosa. Mas verdadeira.
  • Caro Jayme,
    A resposta da questões é CORRETA. Porém, sua conclusão não foi boa.

    O HTTPS é a nomenclatura para descrever o uso do HTTP + TLS/SSL. O HTTP utilizado é o mesmo protocolo padrão utilizado para transferência de hyper texto, a única diferença que que foi adicionado uma camada de segurança que implementa a criptografia.
  • Luis Octávio, vale lembrar que as portas em que os protocolos operam são diferentes também, http opera na 80 enquanto o https opera na 443.
  • O SSL/TLS cria uma camada de segurança entre a camada de aplicação (onde se encontra o HTTP) e a camada de transporte (onde está o TCP), de maneira que a aplicação fique segura:




    O uso desse protocolo ocorre de maneira transparente ao usuário (ou quase, visto que o browser tem indicadores de comunicação segura), no qual uma seção HTTP estabelece, antes, uma seção SSL/TLS com um cliente (browser) que tenha essa capacidade:


    O campo HTML onde o usuário inserirá seu usuário e senha, portanto, trafega sobre um canal seguro.

    Fontes:
    http://technet.microsoft.com/en-us/library/cc781476(v=ws.10).aspx
    http://technet.microsoft.com/en-us/library/cc784450(v=ws.10).aspx
    http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_1-1/ssl.html
    http://markgamache.blogspot.com.br/
ID
927517
Banca
CESPE / CEBRASPE
Órgão
INPI
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de segurança de redes de comunicação, julgue os itens
que se seguem.

Um sistema de detecção de intrusão tem a função de identificar se determinado tráfego entre dois servidores ocorre sem criptografia, e é capaz de utilizar mecanismos para criptografar esse tráfego com SSL.

Alternativas
Comentários

  • Resposta errada

    A função primária do IDS é identificar acessos não autorizados em uma rede, seja ela de um cracker ou até mesmo de um funcionário mal intencionado.

    http://pt.wikipedia.org/wiki/Sistema_de_detec%C3%A7%C3%A3o_de_intrusos


  • O IDS é um sistema de detecção de intrusão, sua natureza é passiva. O IDS é capaz de detectar uma invasão, registrar logs e notificar o administrador da rede através de alertas.


    Já o IPS é um sistema de prevenção de instrusão. Este sim, é capaz de atuar preventivamente, como é o caso da questão. A medida de criptografar um canal inseguro é uma medida preventiva, com propósito de evitar um possível ataque à confidencialidade do tráfego de informação.

  • Sim, identifica tráfego sem criptografia.

    No NIDS, não detecta tráfego com criptografia.

    Não existe função de criptografar tráfego.

  • Corroborando

    PF 2012- Julgue os itens subsequentes, acerca de segurança da informação.

    Os sistemas IDS (intrusion detection system) e IPS (intrusion prevention system) utilizam metodologias similares na identificação de ataques, visto que ambos analisam o tráfego de rede em busca de assinaturas ou de conjunto de regras que possibilitem a identificação dos ataques.

    CERTO

ID
933250
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação à segurança da informação, julgue os seguintes itens.

Em uma rede de comunicação, um sistema de detecção de intrusos monitora os cabeçalhos e o campo de dados dos pacotes, a fim de detectar possíveis invasores no sistema, além de acessos que podem prejudicar o desempenho da rede. Esse processo não fica prejudicado com a implantação de criptografia, via SSL, IPSec, entre outras, como elemento de segurança nas transmissões de dados.

Alternativas
Comentários
  • Prejudica sim. Nesse caso, seria necessário fazer interceptação dos dados criptografados (“man in the middle não malicioso”).

  • Assertiva ERRADA.

    .

    .

    Se você implementar algum tipo de criptografia ponta-a-ponta, o IDS fica impossibilitado de analisar o conteúdo e cabeçalho dos pacotes para determinar se são maliciosos ou não. Por isso que a questão está errada.

    .

    Há, no entanto, uma ressalva: o HIDS (IDS baseado em Host). Eles têm a capacidade de analisar o tráfego criptografado, uma vez que ficam instalados nos hosts finais muitas vezes.

  • Para analisar pacotes e detectar possíveis ataques, é necessário que eles não

    estejam criptografados, logo o processo fica prejudicado.

    Gabarito: Errado.

  • ERRADO

    Segundo o Cespe :

    ( CESPE - 2013 - INPI )

    Um sistema de detecção de intrusão tem a função de identificar se determinado tráfego entre dois servidores ocorre sem criptografia, e é capaz de utilizar mecanismos para criptografar esse tráfego com SSL.Errado!

    ( CESPE - 2013 - Polícia Federal)

    O uso de criptografia SSL (Secure Socket Layer) como item de segurança nas transmissões de dados via Internet dificulta o monitoramento realizado por sistemas de detecção de intrusos (IDS) de redes. Uma solução para esse problema é o uso de proxies reversos, que permite retirar o processo de criptografia do servidor web e, consequentemente, possibilita ao IDS o monitoramento do tráfego.Certo!

    Proxy reverso :

    Criptografia SSL otimizada:

    Criptografar e decodificar pedidos SSL/TLS para cada cliente pode ser altamente tributário para o servidor de origem. Um proxy reverso pode assumir esta tarefa para liberar os recursos do servidor de origem para outras tarefas importantes, como servir conteúdo.

    Outra vantagem de descarregar a criptografia e descriptografia SSL/TSL é reduzir a latência para clientes que estão geograficamente distantes do servidor de origem.

  • De fato fica prejudicado, mas, nesse caso, pode-se utilizar um proxy reverso para conter tal empecilho.

ID
1015975
Banca
Marinha
Órgão
CAP
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Que protocolo fornece criptografia dos dados e autenticação entre um cliente e um servidor WEB?

Alternativas
Comentários

  • Gabarito B

    O SSL é um protocolo que fornece privacidade e integridade entre os dois aplicativos de comunicação, utilizando TCP/IP. O Hypertext Transfer Protocol (HTTP) para a World Wide Web utiliza SSL para executar comunicações seguras.

    Os dados que vem e voltam entre o cliente e o servidor são criptografados utilizando um algoritmo simétrico, como DES ou RC4. Um algoritmo de chave pública -normalmente RSA- é utilizado para trocar as chaves criptografadas e para as assinaturas digitais. O algoritmo utiliza a chave pública no certificado digital do servidor. Com o certificado digital do servidor, o cliente pode verificar a identidade do servidor. As versões 1 e 2 do protocolo SSL fornecem somente autenticação de servidor. A versão 3 inclui autenticação de cliente, utilizando os certificados digitais do servidor e do cliente.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • •        WEP significa Wired Equivalent Privacy, e foi introduzido na tentativa de dar segurança durante o processo de autenticação, proteção e confiabilidade na comunicação entre os dispositivos Wireless. Wired Equivalent Privacy (WEP) é parte do padrão IEEE 802.11 (ratificado em Setembro de 1999), e é um protocolo que se utilizava para proteger redes sem fios do tipo Wi-Fi.

     

    •         ARP (Adress Resolution Protocol) – é um protocolo usado para encontrar um endereço da camada de enlace (Ethernet, por exemplo) a partir do endereço da camada de rede (como um endereço IP). O ARP permite que o endereço IP seja independente do endereço Ethernet, mas apenas funciona se todos os hosts o suportarem. O ARP foi implementado em vários tipos de redes; não é um protocolo restrito a redes IP ou Ethernet e pode ser utilizado para resolver endereços de diferentes protocolos de rede. Os dados nos pacotes ARP não possuem um cabeçalho de formato fixo.

     

    •          TCP – Protocolo de controle de transmissão. Controle de congestionamento. Projetado para oferecer um fluxo de bytes fim a fim confiável

    Os datagramas podem chegar fora de ordem mas o TCP se encarrega de reorganizá-los.

     

    •        FTP (File Transfer Protocol) – Serviço padrão de transferência de arquivo na internet. FTP passivo utiliza uma conexão de controle com porta fixa, e a cada nova transferência de dados, é criada outra conexão com porta negociada dinamicamente. É um protocolo fora da banda. É um protocolo não persistente. Com estado. Utiliza o protocolo TCP na porta 20 para transferência de dados e 21 para controle.

ID
1053982
Banca
CESGRANRIO
Órgão
CMB
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

O método SSL (Secure Sockets Layers) tem como objetivo garantir a segurança das informações que trafegam na internet por meio de

Alternativas
Comentários

  • A camada SSL (Secure Sockets Layers) é um método de segurança das transações efetuadas via Internet. O padrão SSL foi criado pela Netscape, em parceria com a Mastercard, o Bank of America, MCI e Silicon Graphics. Ela se baseia em um método de criptografia por chave pública para proteger a transmissão de dados na Internet. O seu princípio é estabelecer um canal de comunicação protegido (codificado) entre duas máquinas (cliente e servidor) após uma etapa de autenticação. 

    Fonte: http://br.ccm.net/contents/143-criptografia-secure-sockets-layers-ssl

  • Letra E

    Ressaltando que o SSL não está restrito ao uso apenas de criptografia assimétrica, mas tbém utiliza a criptografia simétrica concomitantemente nos processos envolvidos.

    A Criptografia simétrica é utilizada para cifrar os dados, e criptografia assimétrica é utilizada para o compartilhamento da chave secreta.

ID
1055698
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca do uso e das características do OpenSSL 1.0.x relacionado a algoritmos suportados e funções, julgue os itens subsequentes.

O OpenSSL usa o padrão AES com chaves de 128, 192 e 256 bits.

Alternativas
Comentários

  • OpenSSL suporta um número de diferentes algoritmos de criptografia:

    Cifras
    AES, Blowfish, Camellia, SEED, CAST-128, DES, IDEA, RC2, RC4, RC5, Triple DES, GOST 28147-89 [8]

    __________________________________________________

    Para AES, NIST selecionou três membros da família Rijndael, cada uma com um tamanho de bloco de 128 bits, mas três diferentes comprimentos de chave: 128, 192 e 256 bits.
    __________________________________________________

    https://translate.google.com.br/translate?hl=pt-BR&sl=en&u=https://en.wikipedia.org/wiki/OpenSSL&prev=search
    https://translate.googleusercontent.com/translate_c?depth=1&hl=pt-BR&prev=search&rurl=translate.google.com.br&sl=en&u=https://en.wikipedia.org/wiki/Advanced_Encryption_Standard&usg=ALkJrhimqoKhe13ICbgUqD0l3xqHiJrFxA

ID
1055701
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca do uso e das características do OpenSSL 1.0.x relacionado a algoritmos suportados e funções, julgue os itens subsequentes.

O OpenSSL usa algoritmos de hash, como o SHA1 e MD5.

Alternativas
Comentários

  • OpenSSL suporta um número de diferentes algoritmos de criptografia:

    Cifras AES, Blowfish, Camellia, SEED, CAST-128, DES, IDEA, RC2, RC4, RC5, Triple DES, GOST 28147-89  Funções hash criptográficas MD5, MD4, MD2, SHA-1, SHA-2, RIPEMD-160, MDC-2, GOST R 34,11-94  Criptografia de chave pública RSA, DSA, Diffie-Hellman, curva elíptica, GOST R 34.10-2001 


    https://translate.google.com.br/translate?hl=pt-BR&sl=en&u=https://en.wikipedia.org/wiki/OpenSSL&prev=search

  • complementando... O OpenSSL é um kit de ferramentas robusto, de nível comercial e completo para os protocolos TLS (Transport Layer Security) e SSL (Secure Sockets Layer). É também uma biblioteca de criptografia de uso geral. 

     

    https://www.openssl.org/

ID
1055704
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca do uso e das características do OpenSSL 1.0.x relacionado a algoritmos suportados e funções, julgue os itens subsequentes.

O OpenSSL não suporta S/MIME, o qual é utilizado para assinar e cifrar mensagens de email.

Alternativas
Comentários

  • OpenSSL é uma biblioteca que implementa alguns protocolos, incluindo algumas versões de PKCS # 7 e CMS e S / MIME.



    https://translate.googleusercontent.com/translate_c?depth=1&hl=pt-BR&prev=search&rurl=translate.google.com.br&sl=en&u=http://security.stackexchange.com/questions/41399/openssl-pkcs7-vs-s-mime&usg=ALkJrhi7etNjFWk5l-o2MUAby6k1nQ6pqQ

ID
1055716
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de criptografias simétrica e assimétrica em uma sessão TLS, julgue os itens subsecutivos.

O RC4 é um algoritmo simétrico suportado tanto no TLS 1.2 quanto no SSL 3.0.

Alternativas
Comentários

  • Amigos não encontrei informações a respeito das versões do TLS e do SSL. Quem encontrar posta aí. Mas encontrei o seguinte.

    Segundo Stallings(2008,p.133),"O RC4 é usado nos padrões SSL/TLS (Secure Sockets Layer/Transporte Layer Security),definidos para a comunicação entre navegadores Web e servidores."

    Bibliografia:

    CRIPTOGRAFIA E SEGURANÇA DE REDES-4 EDIÇÃO 2008-WILLIAM STALLINGS

  • RFC 7465 a partir de fevereiro de 2015 é proibido utilizar TLS com RC4.

  • Como a prova é de 2013, então não havia impedimentos com relação ao RC4. A RFC 5246 - The Transport Layer Security (TLS) Protocol Version 1.2, de 2008 previa a utilização do RC4.


    TLS_RSA_WITH_RC4_128_MD5 RSA RC4_128 MD5 


    TLS_RSA_WITH_RC4_128_SHA RSA RC4_128 SHA

  • Apesar de na época a questão ter sido considerada correta, atualmente o TLS

    está na versão 1.3 (RFC8446 de 2018) e entre os algoritmos descontinuados

    nessa versão estão: RC4 Steam Cipher, RSA Key Transport, SHA-1 Hash

    Function, CBC Mode Ciphers, MD5 Algorithm, vários grupos Diffie-Hellman,

    EXPORT-strength ciphers, DES e 3DES.

    Gabarito: Certo.

  • Certo.

    O RC4 é considerado um algoritmo de chave simétrica de cifra de fluxo ("stream cypher") pelo fato de o processo de encriptação e decriptação serem independentes do tamanho da mensagem de entrada.

    Obs.: Não vou entrar no mérito das versões mencionadas na questão, isso os colegas já explicaram bem.

    Fonte:https://www.gta.ufrj.br/ensino/eel879/trabalhos_vf_2011_2/rodrigo_paim/wep.html

  • Algoritmo RC4 → é uma cifra de fluxo com tamanho de chave variado e orientada a byte. 

    Protocolos que usam RC4: SSL/TLS, WEP e WPA 2.

ID
1141402
Banca
FUNRIO
Órgão
INSS
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Analise as três afirmações seguintes sobre as características do protocolo SSL (Secure Sockets Layer).

I – Autenticação do servidor SSL: permite que um usuário confirme a identidade de um servidor.
II – Autenticação do cliente SSL: permite que um servidor confirme a identidade de um cliente.
III – Sessão SSL criptografada: toda informação enviada entre browser e servidor é criptografada pelo software remetente.

Quais dessas afirmações estão corretas?

Alternativas
Comentários

  • Gabarito E

     

    Todas estão corretas.

ID
1181968
Banca
COPEVE-UFAL
Órgão
UFAL
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

. Recentemente foi reportada e amplamente divulgada a vulnerabilidade HeartBleed que potencialmente atingia inúmeros serviços que utilizam a biblioteca OpenSSL. Essa vulnerabilidade explora a função heartbeat do OpenSSL, que é utilizada para que o cliente teste se o servidor está ativo. A respeito dessa vulnerabilidade, é correto afirmar:

Alternativas
Comentários

  • Heartbleed (o nome significa Sangramento no Coração), um bug que existe em diversos sites que operam com o software OpenSSL, projeto que atua com os protocolos de segurança. 

    Hackers que saibam como explorar a falha podem interceptar o tráfego de dados, fingindo ser o servidor e dificultando que qualquer um saiba que existe algum problema no meio do caminho.

    O criminoso que consegue se aproveitar do bug pode puxar até 64 k de informações da memória do servidor. O hacker normalmente não tem como saber o que virá nesses dados, mas de vez em quando é possível coletar alguns dados privados. É importante ressaltar que é possível repetir esse processo inúmeras vezes.

     

    Resposta: a

     

    Fonte: http://www.tecmundo.com.br/internet/53683-como-funciona-o-heartbleed-a-maior-ameaca-atual-da-internet.htm

     

    Complementando...

     

    buffer overrun - em segurança computacional e programação, um transbordamento de dados ou estouro de buffer (do inglês buffer overflow ou buffer overrun) é uma anomalia onde um programa, ao escrever dados em um buffer, ultrapassa os limites dobuffer e sobrescreve a memória adjacente.

     

    Fonte: https://pt.wikipedia.org/wiki/Transbordamento_de_dados

  • Gabarito A

    Heartbleed é um bug na biblioteca de software de criptografia open-source OpenSSL, que permite a um atacante ler a memória de um servidor ou de um cliente, permitindo a este recuperar chaves SSL privadas do servidor. [1][2][3] Os logs que foram examinados até agora, levam a crer que alguns hackers podem ter explorado a falha de segurança pelo menos cinco meses antes da falha ser descoberta por equipes de segurança.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
1248754
Banca
CESPE / CEBRASPE
Órgão
ANS
Ano
2005
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere à segurança em redes de computadores, julgue o item subseqüente.

O protocolo secure sockets layer (SSL) fornece uma funcionalidade de criptografia seletiva de campos da informação trocada entre o cliente e o servidor de uma sessão SSL.

Alternativas
Comentários

  • Gabarito Errado

    O sistema SSL é independente do protocolo utilizado, o que significa que ele pode proteger tanto as transações feitas na web pelo protocolo HTTP quanto as conexões pelo protocolo FTP, POP ou IMAP. Na verdade, o SSL age como uma camada adicional, que permite proteger os dados situados entre a camada 'application' e a camada ‘transport’ (como o protocolo TCP, por exemplo).

    Desta maneira, o SSL é transparente para o usuário (isto é, ele pode ignorar que utiliza o sistema SSL). Por exemplo, um usuário que utiliza um navegador para se conectar a um site de e-commerce, protegido pelo SSL, enviará dados codificados sem nenhuma manipulação necessária de sua parte. 

    Atualmente, quase todos os navegadores suportam o protocolo SSL. O Netscape Navigator exibe, por exemplo, um cadeado fechado para indicar a conexão a um site protegido pelo SSL e aberto no caso contrário, enquanto que o Internet Explorer só mostra um cadeado durante a conexão a um site protegido pelo SSL.

     

    Um servidor web protegido pela camada SSL possui um URL que começa por https:// onde o ssignifica secured (protegido). 

    Em meados de 2001, a patente do SSL, que até então pertencia à Netscape, foi comprada pela IETF (Internet Engineering Task Force) e rebatizada para TLS (Transport Layer Security). 

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • A redação ta um pouco confusa... o que me pareceu é que os algoritmos de criptografia podem ser selecionados (encriptação e hash), com o cliente mandando o hello e o servidor selecionando os algoritmos suportados. Isso seria correto. Bem, meu entendimento foi errado e acabei errando :(

    O que a questão ta querendo dizer é que o SSL não seleciona o que deve ou não ser criptografado, ele simplesmente encripta todo o texto em claro (compactado ou não, isso é opcional) anexado ao MAC (autenticador). Por fim o cabeçalho é acrescentado ao pacote SSL.

    Questão ERRADA.

  • Quando estabelecida uma conexão SSL, todo o conteúdo das mensagens é

    criptografado, ou seja, não há como fazer uma criptografia seletiva de campos

    da informação trocada.

    Gabarito: Errado.

ID
1311817
Banca
CESPE / CEBRASPE
Órgão
Polícia Federal
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os seguintes itens, relativos à segurança em redes de computadores.

O uso de criptografia SSL (Secure Socket Layer) como item de segurança nas transmissões de dados via Internet dificulta o monitoramento realizado por sistemas de detecção de intrusos (IDS) de redes. Uma solução para esse problema é o uso de proxies reversos, que permite retirar o processo de criptografia do servidor web e, consequentemente, possibilita ao IDS o monitoramento do tráfego.

Alternativas
Comentários

  • Correto.

    Os proxies são servidores que avaliam a solicitação e liberam ou bloqueiam o acesso. O proxy reverso decodifica o pedido, informando ao IDS os dados para monitoramento.

  • Questão comentada em:

    http://www.itnerante.com.br/group/seguranadainformao/forum/topics/ano-2013banca-cespe-rg-o-pol-cia-federalprova-perito-criminal?xg_source=activity


    Rafael Eduardo Barão

    http://www.itnerante.com.br/profile/RafaelBarao

    http://www.provasdeti.com.br/por-professor/rafael-barao.html

  • Complemento que achei pertinente.

    Segundo Nakamura(2010,p.273-274),"Os pontos negativos que podem ser encontrados em NIDS(sistema de detecção de intrusão baseado em rede) são:

    - NÃO É CAPAZ DE MONITORAR TRÁFEGO CIFRADO.


    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA-2010.

    "

  • Sinceramente, questão muito mal formulada...até onde sei, proxie reverso, como os proxies de nível de circuito, fazem traduções de portas e endereços; enquanto a criptografia atua em todo o (payload + PDUs), ou seja, uma coisa não tem absolutamente nada a ver com a outra!

  • QUESTÃO CERTA. Justificativa do CESPE:

    "Para analisar pacotes e detectar possíveis ataques, é necessário que eles não estejam criptografados. No entanto, a confidencialidade das transmissões é um item fundamental para a segurança das informações que trafegam na Internet. Uma solução então é o uso de proxies reversos, os quais podem se comunicar com o mundo externo de maneira segura e se comunicam com os servidores internos da empresa sem o uso de criptografia. Dessa forma, o IDS pode atuar adequadamente "

    http://www.cespe.unb.br/concursos/DPF_12_PERITO/arquivos/DPF_PERITO_JUSTIFICATIVAS_DE_ALTERA____ES_DE_GABARITO.PDF

  • essa foi de Lascar!!!

  • Essa vai para o ANKI !

  • Benefícios da utilização de um Proxy Reverso:

    Balanceamento de carga;

    Balanceamento Global de Carga do Servidor (Global Server Load Balancing – GSLB);

    Segurança aprimorada;

    Caching Poderoso;

    Compressão Superior;

    Melhores testes A/B;

    Monitoramento e Registro de Tráfego;

    Criptografia SSL otimizada:

    Criptografar e decodificar pedidos SSL/TLS para cada cliente pode ser altamente tributário para o servidor de origem. Um proxy reverso pode assumir esta tarefa para liberar os recursos do servidor de origem para outras tarefas importantes, como servir conteúdo.

    Outra vantagem de descarregar a criptografia e descriptografia SSL/TSL é reduzir a latência para clientes que estão geograficamente distantes do servidor de origem.

    ( CESPE - 2013 - INPI)

    Um sistema de detecção de intrusão tem a função de identificar se determinado tráfego entre dois servidores ocorre sem criptografia, e é capaz de utilizar mecanismos para criptografar esse tráfego com SSL.Errado!

    Se utiliza-se um proxy reverso o proxy reverso faria essa função ,porém o IDS não a faz .

    ( CESPE - 2015 - Telebras)

    Se determinada comunicação for realizada por meio de uma conexão SSL, os sistemas de detecção de intrusão serão ferramentas inadequadas para a identificação de ataques.Certo!

    Fonte :https://kinsta.com/pt/blog/proxy-reverso/

  • Acertei, e quando acertei, gritei EITA P0RR4 QUE C4G4D4

ID
1418671
Banca
CAIP-IMES
Órgão
Prefeitura de São Paulo - SP
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Assinale a alternativa que corresponde com o texto a seguir. É uma camada de segurança que permite a troca de informações entre Cliente e Servidor em total segurança, protegendo a integridade e a veracidade do conteúdo que trafega na Internet. Tal segurança só é possível através da autenticação das partes envolvidas na troca de informações:

Alternativas
Comentários

  • Protocolo SSL : é um protocolo criptográfico que habilita dois computadores a se comunicarem seguramente. Talvez ele seja o protocolo mais usado na web porque é o protocolo-padrão por meio do qual os navegadores da Web se comunicam seguramente com servidores Web.
    A criptografia assimétrica é usada para que um cliente e um servidor possam estabelecer uma chave de sessão.
    Antes de o protocolo ser usado, presume-se que o servidor s tenha obtido um certificado, representado por certs, junto à autoridade de certificação CA. Esse certificado é uma estrutura contendo o seguinte:

  • Alternativa correta: C. 

     

    Acho que o forte diferencial entre SSL e IPSec aqui é que IPSec faz parte do protocolo IP, atuando em conjunto com ele, enquanto o SSL é uma camada separada. Isso é o que diferencia o funcionamento dos dois quando analisados sob a perspectiva de camadas onde atuam. 

ID
1560004
Banca
FUNDATEC
Órgão
BRDE
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

O SSL (Secure Sockets Layer) é comumente utilizado por navegadores. Qual é o método de segurança utilizado por ele?

Alternativas
Comentários

  • SSL/TLS

    São protocolos da camada de transporte padrão do TCP criptográficos que provê comunicação segura na internet para serviços da camada de aplicação. TLS está na versão 1 e o SSL na versão 3. O protocolo SSL provê privacidade e a integridade de dados entre duas aplicações.

    O SSL/TLS oferece confidencialidade usando criptografia simétrica e integridade de mensagens usando um código de autenticação de mensagens.

    O SSL/TLS inclui mecanismos de protocolo para permitir que dois usuários TCP determinem os mecanismos e os serviços de segurança que eles usarão. A autenticação no SSL normalmente é UNILATERAL (apenas o servidor seja autenticado – Segundo Tanenbaum), mas é OPCIONALEntretanto, o protocolo permite a autenticação bilateral entre os hosts.

    A comunicação entre os hosts no SSL são FIM-a-FIM, e cada conexão está relacionado ao estabelecimento de uma segurança que envolve três fases:

    1.  Negociação pelos algoritmos a serem usados.

    2.  Troca de chaves de comunicação e autenticação dos pares.

    3.  Criptografia e autenticação das mensagens.

    Utiliza protocolo HANDSHAK

    1.  O cliente se conecta com servidor SSL solicitando uma conexão segura, apresenta a lista de algoritmos de cifração e HASH suportado.

    2.  O servidor verifica os algoritmos que ele suporta da lista, escolhe os algoritmos mais fortes, e notifica o cliente.

    3.  O servidor se identifica para o cliente, enviando seu certificado digital.

    4.  Troca de chaves 

    O SSL para troca de chaves e autenticação durante o estabelecimento da sessão utiliza chave assimétrica, depois de estabelecido usa chave simétrica para troca de mensagens.

    SSL (TLS) pode usar os seguintes algoritmos:

    Para troca de chaves: RSA, DIFFIE-HELLMAN, curvas elípticas.

     Autenticação do usuário: RSA, DSA.

    Criptografia simétrica da mensagem: RC4, 3-DES, AES, IDEA, DES.

    Como HASH: MD5 ou SHA.


  • 9.1. Criptografia de chave simétrica e de chaves assimétricas

    Para aproveitar as vantagens de cada um destes métodos, o ideal é o uso combinado de ambos, onde a criptografia de chave simétrica é usada para a codificação da informação e a criptografia de chaves assimétricas é utilizada para o compartilhamento da chave secreta (neste caso, também chamada de chave de sessão). Este uso combinado é o que é utilizado pelos navegadores Web e programas leitores de e-mailsExemplos de uso deste método combinado são: SSL, PGP e S/MIME.

    Fonte: http://cartilha.cert.br/criptografia/

  • Complementando o comentário dos colegas: Letra A, aos não assinantes.

  • Gabarito: letra A

    SSL (Secure Socket Layer). Ele permite que aplicativos cliente/servidor possam trocar informações em total segurança, protegendo a integridade e a veracidade do conteúdo que trafega na Internet. Tal segurança só é possível através da autenticação das partes envolvidas na troca de informações.

    Uma vez que as informações acima tenham sido confirmadas, a chave pública é enviada e as mensagens podem ser trocadas. Uma mensagem que tenha sido criptografada com uma chave pública somente poderá ser decifrada com a sua chave privada (simétrica) correspondente.

  • Criptografias assimétrica (chave pública) pra fazer o handshake e garantir a autenticidade.

    Criptografia simétrica ( chave privada ) pra criptografar os dados.

ID
1682848
Banca
CESPE / CEBRASPE
Órgão
STJ
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

       Analistas de TI do STJ desenvolveram um sistema para comunicação por meio de trocas de mensagens entre os funcionários do tribunal. A fim de garantir segurança nas comunicações, cada servidor do órgão configurou o sistema com um par de chaves digitais — uma pública e uma privada — e com um certificado digital. Assim, a comunicação segura funciona da seguinte forma: a mensagem do emissor é cifrada com a chave pública do receptor e enviada a um servidor; posteriormente, o receptor busca essa mensagem e a decifra utilizando sua chave privada. Após os servidores do STJ terem recebido instruções referentes à utilização desse sistema, André enviou mensagens para Maria; no entanto, Pedro teve acesso e revelou as mensagens destinadas à Maria antes que ela tivesse buscado as mensagens no servidor.

A respeito dessa situação hipotética, julgue o item a seguir, referente aos conceitos de criptografia.

Se, na referida situação, os analistas de TI do STJ tivessem usado SSL/TLS, Pedro não teria conseguido revelar o conteúdo das mensagens que André enviou à Maria.


Alternativas
Comentários

  • ERRADO SSL seria irrelevante para o ato cometido por pedro. Pois SSL somente protegeria a sessão de comunicaçao entre os servidores. Pedro teve acesso à msg original no servidor de destino e ele só conseguiu revelar por ter a chave privada (acessou a mensagem na camada de aplicação).  Se a questão tivesse mencionado que Pedro interceptou na rede a msg , então o SSL prejudicaria Pedro, pois mesmo com a chave privada de Maria em mãos, a msg estaria criptografada com a chave de sessão SSL

  • Sabemos que a utilização de SSL/TLS permite a criação de um canal seguro entre origem e destino. O canal seguro criado utiliza de criptografia para buscar impedir que as mensagens que porventura forem interceptadas possam ser reveladas.

    Mas vamos considerar dois cenários:

    O primeiro, estamos avaliando a criação do túnel. Vale lembrar que há um servidor intermediário. Logo, deve-se criar dois túneis, de André para o servidor e do servidor para Maria, pois, conforme texto inicial, essa comunicação não é direta entre André e Maria. Em termos de segurança, se for utilizado um algoritmo de chaves públicas fraco ou que já tenha seu algoritmo quebrado, o túnel SSL/TLS poderá ser facilmente quebrado. Assim, com as informações presentes no enunciado, não podemos garantir que a mensagem não poderia ser revelada. Devemos sempre lembrar que, para efeitos de segurança, em regra, esses conceitos não são absolutos ou completamente seguros pois sempre estarão sujeitos a falhas e vulnerabilidades.

    O segundo ponto a considerar é que possa ter havido uma vulnerabilidade no servidor intermediário que facilitou o acesso de Pedro às mensagens que lá estavam armazenadas. Ainda assim, por ter sido criptografada com a chave pública de Maria, Pedro necessitará quebrar a cifra para revelar a mensagem.

  • Esse tipo de ataque tbm é conhecido como SSL Strip, ou seja, interceptação da mensagem no próprio servidor.

  • Repare q, mesmo usando criptografia assimetrica, Pedro conseguiu acessar as mensagens de Maria(em tese, apenas ela poderia acessar, pois é a única(pelo menos deveria ser) detentora da chave privada).

    Pra Pedro conseguir ter acessado as mensagens de maria, nesse cenário, cabe só 1 hipotese:

    a) ele sabia essa chave de alguma forma (ela deu com a lingua nos dentes, ou deixou anotada na mesa - as duas coisas ocorrem muito no ambiente de trabalho; no primeiro caso, especialmente, pros fifis e desocupados(as) de plantão q adoram falar mal dos outros), ou entao tratava-se de uma senha muito fraca, tipo data de aniversario, data de namoro, lugar onde conheceu o boy ou a "bóia" e baboseiras do gênero!!!

    Além disso, como a msg é obtida no servidor, o Meliante teria q ter perfil de acesso ao servidor, ou entao ter comprometido o servidor(Perceba q o Meliante precisa ter acesso ao servidor, uma vez q a msg tá armazenada nele).

    É isso!!!

  • Hum... mas usar TLS não criaria uma camada extra de criptografia sobre a mensagem que já era criptografada? Eu entendi que Pedro teve acesso à chave privada original, mas nesse caso, ele teria também que passar por cima da criptografia do TLS

  • Quando um usuário se conecta em um site seguro ele transfere as informações criptografadas com o servidor impedindo um ataque de sniffing tradicional, quando realizamos o ataque de sslstrip primeiramente interceptamos o trafego do alvo através de técnicas man-in-the-middle, assim o atacante engana o alvo fazendo se passar por um Proxy e engana o servidor se passando pelo cliente, assim as informações são passadas para o atacante em texto puro

ID
1711381
Banca
FUNCAB
Órgão
ANS
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Entre quais camadas do conjunto de protocolos TCP/IP atua o SSL?

Alternativas
Comentários

  • GAB. A

  • Eu fiquei sem saber se marcava Cou E, porque ambas respostas estariam corretas kk

  • SSL

    - Projetado para utilizar TCP para oferecer um serviço seguro confiável.

    - É implementada entre as camadas de transporte e aplicação.

    - Seu padrão de Internet correspondente, é o TLS;

    - Implementa segurança logo acima do TCP na internet.

    - Foi projetado para oferecer segurança de ponta a ponta.

    - Utiliza criptografia simétrica e assimétrica.

    Alternativa: A

ID
1738153
Banca
CESPE / CEBRASPE
Órgão
ANP
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito dos mecanismos de segurança da informação, julgue o próximo item. 

No acesso a um sítio da web que utilize protocolo HTTP, no momento da transferência dos dados para autenticação utilizando usuário e senha, pode-se agregar o TLS/SSL para que os dados sejam criptografados ao serem enviados. 


Alternativas
Comentários

  • O Transport Layer Security (TLS), assim como o seu antecessor Secure Sockets Layer (SSL), é um protocolo de segurança projetado para fornecer segurança nas comunicações sobre uma rede de computadores.

    CERTO.

    Fonte: https://cryptoid.com.br/banco-de-noticias/o-que-e-ssl-tls-e-por-que-e-hora-de-atualizar-para-tls-1-3/

  • GABARITO: CERTO.

  • O TLS (Transport Layer Security) sucede o protocolo SSL (Secure

    Sockets Layer), ambos são protocolos criptografados que oferecem

    segurança ao usuário na transferência de dados na forma de e-mail (SMTP),

    navegação em páginas (HTTP), entre outras formas.

    Quando o HTTP é usado sobre a SSL, ele se denomina HTTPS (Secure

    HTTP).

ID
1750822
Banca
FCC
Órgão
TRE-AP
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

 Considere os cenários I e II.

I. Um site não usa SSL em todas as páginas autenticadas. O atacante simplesmente monitora o tráfego de rede (como uma rede wireless aberta), e rouba o cookie de sessão do usuário. O atacante então reproduz este cookie e sequestra a sessão do usuário, acessando dados privados do mesmo.

II. O banco de dados de senhas dos usuários usa hashes simples (unsalted) para armazenar as senhas de todos. Uma falha de upload de arquivos permite que um atacante recupere o arquivo de senhas. Todos os hashes simples poderão ser expostos através de uma rainbow table de hashes pré-calculados.

Os cenários I e II podem expor uma aplicação a riscos conhecidos como 

Alternativas
Comentários

  • Gabarito: D.

     

    Exposição de Dados Sensíveis - os atacantes podem roubar ou modificar dados desprotegidos com o propósito de realizar fraudes de cartões de crédito, roubo de identidade, ou outros crimes. Os dados sensíveis merecem proteção extra como criptografia no armazenamento ou em trânsito, bem como precauções especiais quando trafegados pelo navegador.

     

    Eu fiz essa questão quatro vezes. Em três delas eu marquei  C.

     

    Quebra de autenticação e Gerenciamento de Sessão - as funções da aplicação relacionadas com autenticação e gerenciamento de sessão geralmente são implementadas de forma incorreta, permitindo que os atacantes comprometam senhas, chaves e tokens de sessão ou, ainda, explorem outra falha da implementação para assumir a identidade de outros usuários.

     

    Ainda não consegui diferenciar muito bem esses dois conceitos. Na minha opinião, dependendo da abordagem, eles se confundem um pouco.

  • I - Na medida em que se não usa SSL não existe criptografia, assim temos dados sensíveis expostos.

    II - falha de upload de arquivos, permite que atacante recupere o arquivo que estão com hashes simples que serão decifrados com a rainbow de hashes pre-calculado - novamente exposição de dados sensiveis.

     

     

  • Parace que "Quebra de Autenticação e Gerenciamento de Sessão" está ligado a implementações incorretas.
    Como os Cenários I e II são implementações fracas, mas não incorretas, deve ser por isso que a resposta é a D.

  • LETRA D

    Vale apena observar a questão:

    Os cenários I e II podem expor uma aplicação a riscos conhecidos como

    A banca trouxe duas situações e dado esses acontecimentos a quais riscos a aplicação está exposta. Veja, A QUESTÃO NÃO QUER O TIPO DE ATAQUE, O MEIO DE ATAQUE, A FORMA DE ATAQUE, ela só quer saber O QUE PODERIA ACONTECER EM TAIS SITUAÇÕES.

    Logo, temos que os dados poderiam ser expostos.

ID
1750861
Banca
FCC
Órgão
TRE-AP
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

O SSL (Secure Socket Layer) se tornou padrão para a transferência de dados com segurança nos serviços de páginas, e-mail, entre outros. O HTTPS, ou seja, HTTP com SSL, utiliza o esquema de criptografia de chave

Alternativas
Comentários

  • Segundo Kurose, a comunicação utilizando SSL possui 3 fases:

    - Apresentação (handshake) : ocorre o estabelecimento de conexão , utilizando certificados digitais, logo utilizando criptografia assimétrica para conferir a identidade (= autenticidade) de ambas as partes. Aqui é criada uma chave simétrica e enviada de um lado da comunicação ao outro, ainda via criptografia assimétrica

    - Derivação de Chave : uma vez estabelecida a conexão , a chave simétrica conhecida pelas duas partes é utilizada para criptografar a mensagem

    - Transferência de dados 

     

    [Fonte : Redes de Computadores e a Internet - Kurose , 6ªed - pág. 525]

ID
1768273
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca do uso de SSH (secure shell) e TLS (transport layer security) em redes e de sistemas de computadores, julgue o próximo item.

O TLS, considerado uma evolução do SSL, atualmente está na versão 1.2, e suporta algoritmos como RSA e DH-RSA.

Alternativas
Comentários

  • http://www.braghetto.eti.br/files/Trabalho%20Oficial%20Final%20RSA.pdf

  • De acordo com a RFC 5246 (TLS1.2) na computação da chave mestra, pode-se utilizar o RSA e o DH

    Fonte: https://tools.ietf.org/html/rfc5246#section-8.1.1

    No momento em que escrevi este comentário o TLS 1.3 está em processo de desenvolvimento. O que ainda torna a assertiva correta.

  • Diffie-Hellman (DH) is used together with RSA so that you get a communication channel that are both authenticated and is forward secure.

    https://security.stackexchange.com/questions/162066/when-exactly-is-diffie-hellman-used-in-tls

  • questão desatualizada

     

    Em Agosto de 2018 foi liberado a versão TLS 1.3

  • Aqui está o histórico completo de lançamentos de SSL e TLS:

    • SSL 1.0 – nunca divulgado publicamente devido a questões de segurança.
    • SSL 2.0 – lançado em 1995. Depreciado em 2011. Conheceu problemas de segurança.
    • SSL 3.0 – lançado em 1996. Depreciado em 2015. Conheceu problemas de segurança.
    • TLS 1.0 – lançado em 1999 como uma atualização para SSL 3.0. Depreciação planejada para 2020.
    • TLS 1.1 – lançado em 2006. Depreciação planejada para 2020.
    • TLS 1.2 – lançado em 2008.
    • TLS 1.3 – lançado em 2018.

  • Questão obsoleta. Vamos reportar!!!

ID
1842532
Banca
FCC
Órgão
MPE-MA
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Para promover a transmissão segura das informações entre os sites da Internet e os programas navegadores, o SSL (Secure Socket Layer) é utilizado juntamente ao protocolo HTTP, originando o HTTPS (identificado pela figura de um cadeado na barra de endereço do navegador) e que utiliza a Porta TCP de número

Alternativas
Comentários

  • HTTPS =  443


ID
1849015
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o próximo item, a respeito de métodos de mitigação de ataques e vulnerabilidades.

The heartbleed bug é uma vulnerabilidade grave encontrada no OpenSSL, e pode ser mitigada pela atualização do OpenSSL, pela revogação das chaves que tenham indicação de estarem comprometidas e pela emissão e distribuição de novas chaves.

Alternativas
Comentários

  • Heartbleed é um bug na biblioteca de software de criptografia open-source OpenSSL, que permite a um atacante ler a memória de um servidor ou de um cliente, permitindo a este recuperar chaves SSL privadas do servidor. Os logs que foram examinados até agora, levam a crer que alguns hackers podem ter explorado a falha de segurança pelo menos cinco meses antes da falha ser descoberta por equipes de segurança.

  • Acertei na pura cagada.

  • Acertei com o pensamento de que uma nova geração de senha ou reemissão de algo envolvido com a segurança, é sempre um fortalecimento para os preceitos de segurança, afinal, renovar senha sempre é indicado como medida de segurança.

    ESTOU ERRADO??? (OBS: não sou da área de informática).

ID
1850485
Banca
Marinha
Órgão
CAP
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Qual o protocolo que é uma versão aprimorada do protocolo TCP e que, por meio da criptografia, fornece serviços de segurança, incluindo sigilo, integridade dos dados e autenticação entre um cliente e um servidor WEB?

Alternativas
Comentários

  • SSL é um complemento ao TCP / IP, SSL é a abreviação de Secure Sockets Layer, ou seja, uma ferramenta de encriptação de páginas antes de serem transmitidas pela internet que autentifica as partes envolvidas.


  • A - SSL

ID
1980433
Banca
Aeronáutica
Órgão
CIAAR
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Assinale a alternativa que contém o protocolo responsável pela encriptação da transmissão com cliente, criando assim páginas seguras, no servidor HTTP.

Alternativas
Comentários

  • SSL – Pacote de Segurança que fornece criptografia de dados e autenticação entre um cliente e um servidor web. Uma característica do SSL é a autenticação do servidor web. Combina criptografia assimétrica e simétrica para garantir segurança no tráfego de dados

     

    SFTP - o SSH File Transfer Protocol ou SFTP é um protocolo de transferência de arquivos e de manipulação. É tipicamente utilizado com o protocolo de segurança SSH-2.

     

ID
1998292
Banca
Aeronáutica
Órgão
EEAR
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Qual o protocolo utilizado na comunicação entre clientes e servidores web com o intuito de impedir a adulteração e a falsificação de mensagens?

Alternativas
Comentários

  • Secure Socket Layer (SSL) é um padrão global em tecnologia de segurança desenvolvida pela Netscape em 1994. Ele cria um canal criptografado entre um servidor web e um navegador (browser) para garantir que todos os dados transmitidos sejam sigilosos e seguros

  • Gabarito B

    O SSL é um protocolo que fornece privacidade e integridade entre os dois aplicativos de comunicação, utilizando TCP/IP. O Hypertext Transfer Protocol (HTTP) para a World Wide Web utiliza SSL para executar comunicações seguras.

    Os dados que vem e voltam entre o cliente e o servidor são criptografados utilizando um algoritmo simétrico, como DES ou RC4. Um algoritmo de chave pública -normalmente RSA- é utilizado para trocar as chaves criptografadas e para as assinaturas digitais. O algoritmo utiliza a chave pública no certificado digital do servidor. Com o certificado digital do servidor, o cliente pode verificar a identidade do servidor. As versões 1 e 2 do protocolo SSL fornecem somente autenticação de servidor. A versão 3 inclui autenticação de cliente, utilizando os certificados digitais do servidor e do cliente.

    O Protocolo de Reconhecimento SSL

    Uma conexão SSL é iniciada sempre pelo cliente. No início da sessão do SSL, um protocolo de reconhecimento SSL é executado. Esse protocolo de reconhecimento produz os parâmetros criptográficos da sessão. Uma visão geral simplificada de como o protocolo de reconhecimento é processado será mostrada na Figura 50. Esse exemplo assume que a conexão SSL está sendo estabelecida entre um navegador da Web e um servidor da Web.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Secure Shell (SSH) é um protocolo de rede criptográfico para operação de serviços de rede de forma segura sobre uma rede insegura. A melhor aplicação de exemplo conhecida é para login remoto a sistemas de computadores pelos usuários. Secure Socket Layer (SSL) é um padrão global em tecnologia de segurança desenvolvida pela Netscape em 1994. Ele cria um canal criptografado entre um servidor web e um navegador (browser) para garantir que todos os dados transmitidos sejam sigilosos e seguros. FTP, ou "File Transfer Protocol" é um método popular de transferência de arquivos entre sistemas remotos. SFTP, que significa SSH File Transfer Protocol, ou Secure File Transfer Protocol, é um protocolo separado, empacotado com SSH que funciona de forma similar em cima de uma conexão segura. Simple Mail Transfer Protocol (abreviado SMTP. Traduzido do inglês, significa "Protocolo de transferência de correio simples") é o protocolo padrão para envio de e-mails através da Internet, definido na RFC 821.

  • O SSL é o protocolo que protege a comunicação entre servidores web e o navegador através de criptografia para impedir a falsificação de mensagens.

  • Servidores Web -> SSL -> serviços de criptografia, segurança, sigilo , integridade e autenticação entre cliente e servidor web.

ID
2087359
Banca
IESES
Órgão
TRE-MA
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Heartbleed (CVE-2014-016) foi o nome dado a uma recente falha na biblioteca OpenSSL, empregada para fornecimento de criptografia em inúmeros serviços de rede, como servidores web e de bancos de dados. Essa falha, que ficou famosa e foi bastante difundida no meio jornalístico, consiste em o atacante conseguir obter uma mensagem:

I. Menor do que o esperado para a funcão heartbeat da biblioteca OpenSSL.

II. Maior do que o esperado para a funcão heartbeat da biblioteca OpenSSL. E, consequentemente, conseguir ler informações sensitivas como logins e senhas:

III. Cifradas na área de memória do servidor vulnerável.

IV. Decifradas na área de memória do servidor vulnerável.

São corretas as afirmações:

Alternativas
Comentários

  • Gabarito A

    Heartbleed é um bug na biblioteca de software de criptografia open-source OpenSSL, que permite a um atacante ler a memória de um servidor ou de um cliente, permitindo a este recuperar chaves SSL privadas do servidor. [1][2][3] Os logs que foram examinados até agora, levam a crer que alguns hackers podem ter explorado a falha de segurança pelo menos cinco meses antes da falha ser descoberta por equipes de segurança.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Letra A

    Vamos pensar assim...

    Normalmente encontram-se vulnerabilidades relacionadas às aplicações por meio de overflow (transbordam-se as informações na memória, por exemplo) e isso foi o que me fez escolher o item II.

    Não faria sentido escolher informações cifradas, por essa razão escolhi tbém o item IV.

     

ID
2360614
Banca
CONSULPLAN
Órgão
TRF - 2ª REGIÃO
Ano
2017
Provas
Disciplina
Segurança da Informação
Assuntos

O SSL (Secure Sockets Layer) ou Camada de Sockets de Segurança é um dos serviços de segurança consideravelmente usados, uma vez que é um serviço de uso geral, implementado como um conjunto de protocolos, que fazem uso do protocolo TCP (Transmission Control Protocol) ou Protocolo de Controle de Transmissão. A utilização do TCP é para prover um serviço fim a fim confiável e mais seguro. SSL não é um único protocolo, e sim duas camadas de protocolo. Como parte o SSL, três protocolos da camada mais alta são definidos. Assinale a alternativa que apresenta estes protocolos.

Alternativas
Comentários

  • O SSL provê serviços básicos de segurança a vários protocolos da camada mais alta. Três protocolos de camada mais alta são definidos como parte do SSL: o Protocolo de Apresentação (Handshake Protocol), o Protocolo de Mudança de Especificação de Cifra (Change Cipher Spec Protocol) e o Protocolo de Alerta (Alert Protocol). Esses protocolos específicos do SSL são usados no gerenciamento de trocas de mensagens SSL.

  • Segundo Stallings - Criptografia e segurança de redes Pag 381

     

    Três protocolos de cananda superior são definidos como parte do SSL:

     

      Protocolo de Estabelecimento de Sessão (Handshake Protocol).

     

      Protocolo de Mudança de Especificação de Cifra (Changc Ciphcr Spcc l'ro1ocol) 

     

      Protocolo de Alerta (Alert Protocol).

     

    Imagem da Pilha de Protocolos SSL: 

    http://slideplayer.com.br/slide/4181706/13/images/5/Arquitetura+SSL+Autentica%C3%A7%C3%A3o+(critptografia+assim%C3%A9trica)+e+negocia%C3%A7%C3%A3o+de+chave+de+se%C3%A7%C3%A3o+para+o+SSLRecord..jpg 

     

     

  • Camada de segurança e integridade dos dados: SSL Record;
    Camada de conexão SSL: SSL Handshake protocol, SSL ChangeCipher SpecProtocol e SSL Alert Protocol.

     

    Handshake Protocol – Responsável pelo estabelecimento da
    comunicação segura e autenticação das partes, com a escolha dos
    algoritmos de criptografia.


    Alert Protocol – É o protocolo responsável pelo controle do
    protocolo através da troca de mensagens vinculadas ao
    funcionamento e transmissão de dados na conexão. 


    Change Cipher Spec – É constituído por um tipo de mensagem
    que caracteriza um marco onde, a partir dessa mensagem, toda
    comunicação será criptografada conforme negociações feitas no
    estabelecimento da comunicação. É uma mensagem de duas vias,
    onde ambas as partes precisam emitir essa mensagem. Assim,diz-se que a sessão SSL de fato está aberta e será utilizado o
    RECORD PROTOCOL.
     

    Record Protocol – Protocolo responsável pelo encapsulamento
    dos dados. Esse protocolo recebe os dados abertos da camada
    superior, encapsula, encripta e/ou adiciona o Message
    Authentication Codes (MACs) para garantir a segurança. É nessa
    fase que percebemos a total independência dos protocolos.

     

ID
2367268
Banca
FGV
Órgão
ALERJ
Ano
2017
Provas
Disciplina
Segurança da Informação
Assuntos

O protocolo SSL (Secure Sockets Layer) combina as criptografias assimétrica e simétrica para garantir a confidencialidade e a autenticidade na comunicação entre computadores na Internet. São exemplos, respectivamente, de algoritmos de criptografia assimétrica e simétrica:

Alternativas
Comentários

  • RSA - Ronald Rivest, Adi Shamir e Leonard Adleman - Utiliza a criptografia Assimétrica

    https://pt.wikipedia.org/wiki/RSA

     

     

     

    IDEA -  International Data Encryption Algorithm - Utiliza  a criptografia Simétrica

    https://pt.wikipedia.org/wiki/International_Data_Encryption_Algorithm

  • Gabarito E

    RSA

    Devido a dificuldade de troca de chaves, os algoritmos assimétricos são o principal motor de comunicações cifradas sobre SSL, como o HTTPS. De fácil compreensão, o RSA é um interessante método matemático que permite a cifra assimétrica baseado em números primos. E você pode brincar de RSA com a sua calculadora bc de linha de comando.

     

    IDEA

    O algoritmo é usado tanto para a cifragem quanto para a decifração e, como outras cifras de bloco, usa a confusão e a difusão (maiores detalhes na Teoria da Informação) para produzir o texto cifrado. A filosofia que norteou este projeto foi "misturar operações de grupos algébricos diferentes". O IDEA possui três grupos algébricos cujas operações são misturadas. Estas operações, que podem ser facilmente implementadas via hardware e/ou software, são:

    XOR
    Adição módulo 216     (adição ignorando qualquer overflow)
    Multiplicação módulo 216+1 (multiplicação ignorando qualquer overflow)

    Todas estas operações são feitas com blocos de 16 bits, o que faz com que este algoritmo também seja eficiente em processadores de 16 bits.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Assimétricos  - RSA, diffle-hellman, elGamal, curvas elípiticas.

    Simétricos - DES, 3DES, IDEA, AES e RC(2,3,4,5 e 6),CAST, Blowfish, Twofish.

  • GABARITO: E

     

                                                                                                        CRIPTOGRAFIA SIMÉTRICA

     

    Algoritmos de chave simétrica[1] são algoritmos para criptografia que usam a mesma chave criptográfica para encriptação de texto puro e decriptação de texto cifrado. A chave, na prática, representa um segredo compartilhado entre duas ou mais partes que pode ser usado para manter uma ligação de informação privada.[2] Este requisito de que ambas as partes possuam acesso à mesma chave secreta é uma das principais desvantagens da criptografia de chave simétrica, em comparação com a criptografia de chave pública (também conhecida como criptografia de chave assimétrica)[3] pois utilizam duas chaves (pública e privada).

    Os algoritmos de chave simétrica são uma classe de algoritmos para a criptografia, que usam da mesma chave criptográfica tanto para as operações de cifragem como a de decifragem. A operação de chave simétrica é mais simples, pois existe uma única chave entre as operações. A chave, na prática, representa um segredo, partilhado entre duas ou mais partes, que podem ser usadas para manter um canal confidencial de informação. Usa-se uma única chave, partilhada por ambos os interlocutores, na premissa de que esta é conhecida apenas por eles.[4]

                                                                         TIPOS DE ALGORÍTMOS SIMÉTRICOS

     

    AES

    Twofish

    Serpent

    Blowfish

    CAST5

    RC4

    3DES (baseado no DES)

    IDEA

     

     

  •  a) SHA e RSA (Hash e Assimétrico);

     b) IDEA e SHA (Simétrico e Hash);

     c) RSA e MD5 (Assimétrico e Hash);

     d) AES e DES (Simétrico e Simétrico);

     e) RSA e IDEA (Assimétrico e Simétrico)

     

     

    Gab. E

  • Gabarito - E

     

    Alguns sistemas SIMÉTRICOS:

    ·      IDEA

    ·      TWOFISH

    ·      BLOWFISH

    ·      SERPENT

    ·      DES

    ·      3DES

    ·      AES

    ·      RC4

    ·      RC5

    ·      RC6

    ·      OTP (ONE-TIME PAD)

     

    Alguns sistemas ASSSIMÉTRICOS:

    ·      RSA

    ·      DIFFIE HELLMAN

    ·      EL Gamal

    ·      Curvas Elípticas

     

    Instagram --> @papirobizurado

  • que é o RSA...o único de três letras que é assimétrico...

    todos os outros são simétricos..

ID
2579059
Banca
CCV-UFC
Órgão
UFC
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

O protocolo de segurança SSL é utilizado para prover a privacidade e a integridade de dados entre duas aplicações que se comuniquem pela internet. O que SSL significa?

Alternativas
Comentários

  • SSL - Secure Sockets Layer.

    Permite que computadores de clientes e servidores gerenciem as atividades de criptografia e decriptografia enquanto se comunicam durante uma sessão da Web segura.

     

    Criado pela Netscape e atua num nível superior da camada de Transporte, recebendo dados da camada de Aplicação e repassando-os ao protocolo de transporte na maioria dos casos ao TCP.

     

     

     

     

    Fonte: Meu mapa

    https://uploaddeimagens.com.br/imagens/ssl_-_secure_sockets_layer-png

  • Quem não tem acesso: --> C

ID
2579587
Banca
FCC
Órgão
DPE-SP
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

O SSL (Secure Socket Layer) provê um canal de comunicação com autenticação do servidor, privacidade e integridade. Em uma aplicação entre um navegador e um servidor web com SSLv2,

Alternativas
Comentários

  • Letra E

     

    a. quem envia a chave pública é o cliente ou o servidor; O navegador não possui chave.
    b. a troca acontece com o uso da criptografia simétrica E assimétrica (chave pública);
    c. o servidor autentica o cliente, não o seu navegador;
    d. envia sua chave pública, embora não seja um processo obrigatório.
    e. Certo. Essa é a chave de sessão.

     

  • Discordo dos seus comentários Lucc O! Navegador e cliente são a mesma coisa nesse contexto.

     

    a) Quem envia a chave pública (o certificado digital) é o servidor

    b)  A troca de dados é feita com criptografia simétrica

    c) O cliente é que autentica o servidor por meio do certificado enviado pelo servidor

    d) Servidor envia a chave pública, por meio do certificado digital.

    e)

     

     

  • Questão complementar.

    https://www.qconcursos.com/questoes-de-concursos/questoes/96d539a5-98

  • na verdade a A e a C falam da autenticação de cliente como algo que sempre ocorre, mas no SSL ela existe, porém é opcional (mensagem certificate_request do servidor para o cliente é opcional)

  • Na situação colocada na questão não é comum a autenticação do cliente por parte do servidor. Em VPNs SSL é mais utilizada a autenticação mútua entre clientes e servidor.
ID
2583958
Banca
COPEVE-UFAL
Órgão
MPE-AL
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

É o protocolo lançado em 1997 pela antiga Netscape, que provê segurança fim-a-fim na camada de transporte fazendo uso da criptografia de chave pública e suportado por virtualmente todos os navegadores na Internet:

Alternativas
Comentários

  • Em 1995, a Netscape Communications Corp., que então dominava o mercado de fabricantes de navegadores, respondeu introduzindo um pacote de segurança chamado SSL (Secure Sockets Layer) para atender a essa demanda.

     

    Fonte: Redes de Computadores - Andrew S. Tanenbaum - 5ª Edição - 2011

ID
2619901
Banca
FGV
Órgão
Câmara de Salvador - BA
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

No contexto do protocolo TSL, analise as afirmativas a seguir.

I. Os parâmetros criptográficos usados pelo canal seguro são produzidos pelo sub-protocolo de handshake durante o estabelecimento da conexão entre o cliente e o servidor.

II. O protocolo suporta dois tipos de troca de chaves: (EC)DHE e PSK com (EC)DHE.

III. O protocolo é uma evolução do SSL e opera na camada de redes.

Está correto somente o que se afirma em:

Alternativas
Comentários

  • GABARITO: D

     

    O que é SSL e TLS

    O SSL (Secure Sockets Layer) e seu sucessor TLS (Transport Layer Security) são protocolos de criptografia projetados para internet. Permitem a comunicação segura entre os lados cliente e servidor de uma aplicação web.

     

    A grande vantagem desses protocolos é que eles agem como uma subcamada nos protocolos de comunicação na internet (TCP/IP). É aí que entra a diferença entre o HTTP e o HTTPS, do qual o primeiro é trafegado em texto puro e o segundo encriptado com SSL/TLS. Ou seja, é possível operar com ou sem TLS (ou SSL), basta o cliente indicar ao servidor se quer configurar uma conexão segura ou não.

    Existem duas principais formas de alcançar este objetivo: uma é usar portas diferentes para conexões TLS, por exemplo, a porta TCP/443 para HTTPS; a outra é usar a mesma porta e ter a solicitação do cliente ao servidor para mudar a conexão com TLS usando um mecanismo específico do protocolo, por exemplo, STARTTLS para protocolos de e-mail como IMAP e POP3.

     

    I) O tratamento de erros pelo TLS Handshake Protocol é muito simples. Quando um erro é detectado, quem detectou o erro envia um alerta para o outro lado. Se for um alerta fatal, imediatamente ambos terminam a conexão. Clientes e servidores devem esquecer quaisquer identificadores de sessões e chaves secretas associados com uma conexão que falhou. Por conseguinte qualquer conexão que tenha sido encerrada por um alerta fatal não pode ser restabelecida.

     

    II) Tanto o cliente quanto servidor devem usar o segredo principal para gerar as chaves de sessão, que são chaves simétricas usadas para criptografar e descriptografar as informações trocadas durante a sessão TSL/SSL e para verificar a sua integridade (ou seja, para detectar quaisquer alterações nos dados entre o tempo que foi enviado e o momento em que é recebido através da conexão SSL).

     

    III) TLS O Protocolo de Segurança da Camada de Transporte (TLS)

     

    Fonte: https://www.ecommercebrasil.com.br/artigos/seguranca-como-funciona-o-protocolo-ssltls/

  • Alguém sabe a fonte de onde foi tirado a afirmativa II?

  • TLS, no modelo TCP/IP, é camada de aplicação. Já no modelo OSI, mais especificamente, é camada de apresentação.

    Key exchange or key agreement

    Before a client and server can begin to exchange information protected by TLS, they must securely exchange or agree upon an encryption key and a cipher to use when encrypting data (see § Cipher). Among the methods used for key exchange/agreement are: public and private keys generated with RSA (denoted TLS_RSA in the TLS handshake protocol), Diffie–Hellman (TLS_DH), ephemeral Diffie–Hellman (TLS_DHE), Elliptic Curve Diffie–Hellman (TLS_ECDH), ephemeral Elliptic Curve Diffie–Hellman (TLS_ECDHE), anonymous Diffie–Hellman (TLS_DH_anon),[1] pre-shared key (TLS_PSK)[35] and Secure Remote Password (TLS_SRP).[36]

    The TLS_DH_anon and TLS_ECDH_anon key agreement methods do not authenticate the server or the user and hence are rarely used because those are vulnerable to man-in-the-middle attack. Only TLS_DHE and TLS_ECDHE provide forward secrecy.

    Public key certificates used during exchange/agreement also vary in the size of the public/private encryption keys used during the exchange and hence the robustness of the security provided. In July 2013, Google announced that it would no longer use 1024 bit public keys and would switch instead to 2048 bit keys to increase the security of the TLS encryption it provides to its users because the encryption strength is directly related to the key size.[3][37]

  • Em criptografia, uma chave pré-compartilhada (Pre-Shared Key ou PSK) é um segredo compartilhado anteriormente entre duas partes usando algum canal seguro antes de ser utilizado. Tais sistemas quase sempre usam algoritmos criptográficos de chave simétrica.

    Elliptic-curve Diffie–Hellman EC(DHE)

    Em 1976, Whitfield Diffie e Martin Hellman publicaram um método que permite a troca de chaves, por um canal de comunicação inseguro, entre duas partes que não possuem nenhum conhecimento prévio, uma sobre a outra. Este método é conhecido como a troca de chaves de Diffie-Hellman. Taher Elgamal, em 1984, baseando-se na ideia de Diffie e Hellman, construiu um método para enviar mensagens criptografadas por um meio de comunicação inseguro. Tal método é a base para alguns sistemas de criptografia, entre eles o método de criptografia via curvas elípticas.

  • D. I e II;

    III. camada de aplicação

  • O Protocolo de Segurança da Camada de Transporte (TLS)

ID
2631256
Banca
FAURGS
Órgão
TJ-RS
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Considere as seguintes assertivas a respeito de certificados digitais de validação avançada EV-SSL.


I - A emissão desse tipo de certificado segue um conjunto mais rigoroso de verificação da entidade que o solicita: verificação de que a entidade está legalmente registrada, ativa e que detém o registro do domínio para o qual o certificado será emitido, além de dados adicionais, como o endereço físico.

II - Possui prazo de validade padrão de 10 anos, visto que a verificação para sua emissão é mais rigorosa.

III - Garante que aquele que detém o certificado cumpre as leis referentes ao seu ramo de atividade e assegura os termos das transações comerciais no site com certificado EV-SSL.


Quais estão corretas? 

Alternativas
Comentários

  • I - A emissão desse tipo de certificado segue um conjunto mais rigoroso de verificação da entidade que o solicita: verificação de que a entidade está legalmente registrada, ativa e que detém o registro do domínio para o qual o certificado será emitido, além de dados adicionais, como o endereço físico.


    II - Possui prazo de validade padrão de 10 anos, visto que a verificação para sua emissão é mais rigorosa.

    No máximo validade de 2 anos


    III - Garante que aquele que detém o certificado cumpre as leis referentes ao seu ramo de atividade e assegura os termos das transações comerciais no site com certificado EV-SSL.

    Quem emitiu o certificado, não necessariamente segue as regras do ramo de ativa, seguiu as regras para emitir o certificado.


    GAB: A

ID
2756551
Banca
FAURGS
Órgão
BANRISUL
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

O objetivo do Secure Socket Layer (SSL) é prover autenticidade, privacidade e integridade às conexões entre cliente e servidor, sendo usado, na maioria das vezes, em conjunto com o protocolo HTTP. Para fornecer as propriedades de autenticidade e privacidade, o SSL emprega

Alternativas
Comentários

  • Secure Socket Layer (SSL) utiliza tanto a criptografia de chave pública e criptografia de chave simétrica.

     

     

    Fonte - Comunicação de dados e Redes de Computadores Forouzan 4ed

  • Letra D

    O protocolo SSL (Secure Sockets Layer) combina as criptografias assimétrica e simétrica para garantir a confidencialidade e a autenticidade na comunicação entre computadores na Internet.

  • Criptografias assimétrica (chave pública) pra fazer o handshake e garantir a autenticidade.

    Criptografia simétrica pra criptografar os dados.

ID
2793988
Banca
IDIB
Órgão
Prefeitura de Planaltina - GO
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

Das alternativas abaixo, marque aquela que tem uma URL, escrita de forma correta, que utiliza o protocolo SSL/TLS acrescentando assim, uma camada extra de segurança.

Alternativas
Comentários

  • protocolo HTTPS ( HyperText Transfer Protocol Secure) é uma implementação do protocolo HTTP sobre uma camada SSL ou TLS. Permite que as informações sejam transmitidas através de uma conexão segura (criptografada), verificando a autenticidade do servidor e do cliente através de certificados digitais.

    SSL – Protocolo de Camadas de sockets segura.

    TLS – Protocolo de Segurança da camada de transporte.

    https://www.cursosdeinformaticabasica.com.br/o-que-e-https/

  • Letra a

  • Letra B é zoeira total...

  • kkkkkkkk

ID
2830870
Banca
Quadrix
Órgão
CONTER
Ano
2017
Provas
Disciplina
Segurança da Informação
Assuntos

São protocolos criptográficos que conferem segurança de comunicação na Internet para serviços como e-mail (SMTP) e navegação por páginas (HTTPS). Trata-se dos protocolos:

Alternativas
Comentários

  • Gabarito D

    Ambos os protocolos de criptografia fornecem segurança entre a troca de informações da aplicação e o servidor.

    A diferença é que o Transport Layer Security 1.0 (TLS) foi criado como sucessor do Secure Socket Layer 3.0 (SSL) e é usado frequentemente como uma configuração para programas de e-mail.

    Evolução do SSL e TLS SSL V1 – 1994; SSL V2 – 1995; SSL V3 – 1996; TLS 1.0 – 1999; TLS 1.1 – 2006; TLS 1.2 – 2008; TLS 1.3 – 2015.

    O TLS tem a capacidade de trabalhar em portas diferentes e usa algoritmos de criptografia mais fortes como o keyed-Hashing for Message Authentication Code (HMAC) enquanto o SSL apenas Message Authentication Code (MAC).

    O TLS também pode ser utilizado por uma autoridade intermediária, não sendo necessariamente uma Autoridade de Certificação.



    "Retroceder Nunca Render-se Jamais !"

    Força e Fé !

    Fortuna Audaces Sequitur !

  • RSA - chaves assimétricas.

    DES - simétricas. 56 bits.

    AES - simétricas. block size: 128 bits. key size: 128,192, 256 bits

    RC4 - simétrico. stream cipher

ID
2863597
Banca
CESPE / CEBRASPE
Órgão
FUB
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o próximo item, a respeito de segurança de redes.


Uma SSL VPN provê acesso de rede virtual privada por meio das funções de criptografia SSL embutidas em navegadores web padrão, sem exigir a instalação de software cliente específico na estação de trabalho do usuário final.

Alternativas
Comentários

  • Gab: C


    Uma VPN SSL funciona com quase todos os navegadores da Web padrão. Ao contrário do Internet Protocol Security (IPSec) VPN, a VPN SSL não precisa de software especializado no computador do usuário final. Isso aumenta bastante a flexibilidade de VPNs SSL. Os usuários móveis podem também se conectar à rede através da VPN SSL , proporcionando maior segurança, bem como a administração do sistema menos complexo. 

  • Certo

    O que é SSL VPN

    É Uma Rede Privada Virtual (VPN) protegidos com o Secure Sockets Layer ( SSL) é uma excelente maneira de fornecer com segurança os recursos de uma rede interna para usuários remotos. Devido à utilização de capacidade já construído em navegadores modernos , o SSL fornece flexibilidade para o usuário remoto e menos exigências administrativas para a rede.

    Fonte:http://ptcomputador.com/Networking/virtual-networks/81001.html

  • SSL = Camada de soquete segura

  • Poderia ser questionável a questão se não estivesse presente o trecho "navegadores web padrão". Pois podemos ver claramente que quando usamos o FORTINET como Firewall, precisamos de softwares instalados na estação do usuário para estabelecer a VPN.

  • CESPE exagerou na mão, não é qualquer browser que cria túneis!

    Tem quatro pra usar que sei:

    TOR, Opera, Epic Privacy, UR

    O Chrome nem tem, você tem que instalar uma extensão chamada Chrome VPN, etc, por aí vai

  • Pensei a mesma coisa que o Felipe Ribas. Como posso dizer SSL VPN padrão em browsers sem um plugin (ou software complementar). Errei por julgar dessa forma. =(

  • A conexão https já é uma espécie de VPN, no entendimento da banca.

  • O Opera é o primeiro e, por enquanto, o único dos principais navegadores com serviço gratuito de VPN ilimitada integrada

    VPN integrada gratuita E não requer assinatura, pagamento ou extensões adicionais.

    A VPN do Opera também pode ser usada em janelas de navegação privada.

  • Felipe Ribas, a questão não disse que o Chrome dispõe de VPN por padrão, mas sim que esta modalidade de VPN utiliza o mesmo protocolo SSL dos navegadores padrão, além de não necessitar de instalações adicionais para funcionar.

  • A parte boa de não entender muito sobre informática é que, em questões como essa, vc não fica procurando cabelo em ovo. Só vai de acordo com os conceitos.

  • "Como uma VPN SSL usa navegadores e tecnologias da web padrão, ela oferece aos usuários acesso remoto seguro a aplicativos empresariais sem a necessidade de instalação e manutenção de software cliente separado no computador de cada usuário. A maioria das VPNs SSL também se integra a vários mecanismos de autenticação. As soluções que fornecem dois modos de acesso por meio de um protocolo estabelecido e ubíquo (SSL) são mais capazes de fornecer aos usuários finais acesso aos recursos, independentemente da plataforma."

    FONTE: https://www.f5.com/services/resources/glossary/ssl-vpn

  • É como se quisesse que um amigo fosse a sua casa e não tivesse seu endereço, daí você cria para ele um caminho ( VPN ) detalha a ele como chegar. Até mesmo usando o GPS, fornecendo assim o seu localizador, o caminho traçado no GPS pode ser como uma VPN, deu a ele o meio de chegar até você sem ter a necessidade de outra informação a mais a não ser a necessária, restringiu a ele.

    CERTO

  • CERTO

    SSL é a criptografia utilizada juntamente com o HTTPS

  • gab.: CERTO.

    O protocolo WEB utilizado para oferecer uma navegação segura é o protocolo HTTPS, ele insere uma camada extra (protocolo SSL ou TLS), desta forma, garantindo a confidencialidade e criptografia na troca de informações.

    Uma VPN SSL funciona com quase todos os navegadores da Web padrão.

  • Características

    Uma VPN SSL funciona com quase todos os navegadores da Web padrão. Ao contrário do Internet Protocol Security (IPSec) VPN, a VPN SSL não precisa de software especializado no computador do usuário final. Isso aumenta bastante a flexibilidade de VPNs SSL. Os usuários móveis podem também se conectar à rede através da VPN SSL, proporcionando maior segurança, bem como a administração do sistema menos complexo.

     

    Benefícios

    O principal benefício de uma VPN SSL é que ele oferece uma maneira segura e flexível para os indivíduos, como teletrabalhadores, viajantes, parceiros de negócios e prestadores de serviços para se conectar a partir de qualquer computador com um navegador e uma conexão à Internet para uma rede interna. Isto permite um trabalho mais eficiente e produtiva.

    fonte: http://ptcomputador.com/Networking/virtual-networks/81001.html

  • VPN IPSec : precisa de um software especifico

    VPN SSL: não precisa de software especifico, uma vez que usa os recursos do navegador ( mais facil de ser implementado)

    Fonte: muitas questões, caveira !

  • gab c!

    Uma SSL VPN provê acesso de rede virtual privada por meio das funções de criptografia SSL embutidas em navegadores web padrão,

    sem exigir a instalação de software cliente específico na estação de trabalho do usuário final.

    SSL: secure socer layer - camada de apresentação. \ TSL transport secure layer.

    ps. recordando: camada de apresentação TCC: tradução, criptografia, compressão de dados.

  • O SSL ou TSL são criptografias que são usadas em conjunto de diversos outros protocolos como o HTTP e em sua sua formula criptografada vira HTTPS

  • CERTO

    VPN IPSec: precisa de um software específico

    VPN SSL: não precisa de software específico, uma vez que usa os recursos do navegador

    SSL significa Secure Sockets Layer, um tipo de segurança digital que permite a comunicação criptografada entre um site e um navegador. Atualmente a tecnologia se encontra depreciada e está sendo completamente substituída pelo TLS.

     

    TLS é uma sigla que representa Transport Layer Security e certifica a proteção de dados de maneira semelhante ao SSL. Como o SSL não está mais de fato em uso, esse é o termo correto que deveria ser utilizado.

     

    HTTPS é uma extensão segura do HTTP. Os sites que configurarem um certificado SSL/TLS podem utilizar o protocolo HTTPS para estabelecer uma comunicação segura com o servidor.

    O objetivo do SSL/TLS é tornar segura a transmissão de informações sensíveis como dados pessoais, de pagamento ou de login.

  • Certo!

    Para quem como eu confundiu SSL com SSH:

    SSL é um protocolo projetado principalmente para proteger a transmissão de dados entre duas partes com criptografia e autenticação. Mais comumente, esta transmissão é entre o navegador da web de alguém e o servidor do site que ele está visitando; É um protocolo de segurança.→ Cadeado verde no navegador.

    SSH: Usado para conexão segura e remota a outra máquina para emitir comandos; É um protocolo de rede criptográfico.

    Fonte: https://kinsta.com/pt/base-de-conhecimento/ssh-vs-ssl/

ID
2992198
Banca
Aeronáutica
Órgão
EEAR
Ano
2019
Provas
Disciplina
Segurança da Informação
Assuntos

Quanto à segurança em redes de computadores, analise as frases abaixo e assinale a alternativa que contém apenas as assertivas verdadeiras.

I – A autenticação é a técnica pela qual um processo confirma que seu parceiro na comunicação é quem deve ser e não um impostor.

II – Uma organização que certifica chaves públicas é chamada de autoridade de certificação.

III – SSL (Secure Sockets Layer) é um tipo de pacote de segurança.

Alternativas
Comentários

  • SSL (Secure Sockets Layer) é um tipo de pacote de segurança.

    Para ser empregado em navegadores e SMTP, garante confidencialidade, integridade, autenticidade e não repúdio!

  • D

  • sal é protocolo não "pacote"

  • Na I, a definição está correta.

    Na II, se levado muito ao pé da letra pode induzir ao erro pois as ACs (Autoridade de Certificação) como o nome sugere, validam os Certificados Digitais mas como definição: "O certificado digital é um registro eletrônico composto por um conjunto de dados que distingue uma entidade e associa a ela uma chave publica"(Cartilha Segurança para Internet), logo o que está sendo registrado é realmente uma chave pública.

    Na III, o termo técnico dado ao SSL realmente é protocolo mas chamá-lo de pacote também está correto visto que este protocolo utiliza de uma combinação de técnicas para garantir a segurança, como certificados digitais e mais de um método de criptografia.

    GABARITO: Letra D.

  • SSL é um protocolo de segurança de criptografia projetados para internet, não é um pacote.

ID
2998840
Banca
FCC
Órgão
SEMEF Manaus - AM
Ano
2019
Provas
Disciplina
Segurança da Informação
Assuntos

O TLS/SSL é utilizado atualmente, em grande parte, nos serviços de comunicação na internet para prover segurança da informação na rede. Para prover a segurança, o TLS/SSL utiliza o esquema de chave 

Alternativas
Comentários

  • Gabarito: letra E

    Certificados SSL/TLS funcionam por unir digitalmente uma chave criptográfica à informação de identificação de uma companhia. Isso permite que dados possam ser transferidos de maneira que não podem ser descobertos por terceiros.

  • No TLS, primeiro é realizada a negociação (handshake) utilizando a chave pública e depois disso é iniciada a transmissão dos dados, usando uma chave simétrica. Durante o handshake a chave simétrica é enviada de forma cifrada pela chave assimétrica.

  • O TLS usa a criptografia assimétrica apenas no início de uma sessão de comunicação para criptografar a conversa que o servidor e o cliente, que devem concordar em uma única chave de sessão que ambos usarão para criptografar seus pacotes a partir desse ponto.

    O processo pelo qual essa chave de sessões é acordada é chamado de handshake – aperto de mão.

    1 – O cliente entra em contato com o servidor e solicita uma conexão segura. O servidor responde com a lista de conjuntos de cifras – kits de ferramentas algorítmicas de criação de conexões criptografadas – que ele sabe como usar. O cliente compara isso com sua própria lista de conjuntos de cifras suportados, seleciona um, e permite que o servidor saiba que ambos estarão usando.

    2 – O servidor então fornece seu certificado digital,um documento eletrônico emitido por uma autoridade certificadora de terceiros que confirma a identidade do servidor. A informação mais importante no certificado é a chave criptográfica pública do servidor. O cliente confirma a autenticidade do certificado.

    3 – Usando a chave pública do servidor, o cliente e o servidor estabelecem uma chave de sessão que ambos usarão para o resto da sessão para criptografar a comunicação.

    Fonte: https://cryptoid.com.br/banco-de-noticias/o-que-e-ssl-tls-e-por-que-e-hora-de-atualizar-para-tls-1-3/

  • Sabendo que A) e D) são a mesma coisa e não existe criptografia de chave privada, só sobram 2 alternativas

  • SSL/TSL

    -- Cliente Servidor

    -- Confidencialidade + integridade

    -- Autenticação

    -- Chave pública.

  • Transmisão de Dados = simétrica

    Estabelecimento de conexão = Assimetrica

ID
3069283
Banca
FCC
Órgão
Prefeitura de Manaus - AM
Ano
2019
Provas
Disciplina
Segurança da Informação
Assuntos

O TLS/SSL é utilizado atualmente, em grande parte, nos serviços de comunicação na internet para prover segurança da informação na rede. Para prover a segurança, o TLS/SSL utiliza o esquema de chave

Alternativas
Comentários

  • Gabarito: E

    Para não assinantes.

  • E. pública para autenticar o computador remoto. correta

    TLS e SSL - Protocolos que por meio de criptografia fornecem confidencialidade e integridade nas comunicações. Também podem ser usados para prover autenticação.

  • A letra A e D dizem respeito a mesma coisa, pois a criptografia de chave assimétrica também é conhecida como de chave pública. Logo, as duas dá para eliminar.

  • Letra E

    Chave pública para autenticar o computador remoto, onde é compartilhada uma chave privada que será utilizada na criptografia dos dados a serem transmitidos, tornando o processo menos dispendioso computacionalmente.

    Passo1 - handshake: Cliente e servidor estabelecem uma conexão criptografada com chave pública e compartilham uma chave privada que será utilizada para transferência de dados;

    Passo2 - Após o estabelecimento da conexão, a transferência de dados é feita utilizando-se a chave privada compartilhada no Passo1.

    Obs: Como sabemos, a criptografia de chave privada utiliza muito menos recursos computacionais do que a criptografia de chave pública.

  • SSL/TSL

    -- Cliente Servidor

    -- Confidencialidade + integridade

    -- Autenticação

    -- Chave pública.

  • Em grande parte de sua operação o SSL vai realizar a troca de chaves, mas vai cifrar a mensagem através de criptografia simétrica. Isso gera benefícios de desempenho ao protocolo.

ID
3114748
Banca
CESPE / CEBRASPE
Órgão
TJ-AM
Ano
2019
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de geração de chave e assinatura digital com o uso do OpenSSL, julgue o item a seguir.


O comando openssl genpkey -out myprivkey.pem -algorithm rsa 2048 gera uma chave privada no arquivo myprivkey.pem.

Alternativas
Comentários

  • Calma colega concurseiro, é prova para analista de sistemas kkkkkkkk

  • Dica: não se desespere, você pode deixar em branco ou chutar consciente

    O chute consciente seria: Observe a palavra "key" (chave) e "rsa" : algoritmo assimétrico

  • Gab: CERTO

    genpkey - é um comando padrão passado à ferramenta openssl que tem a função de GERAÇÃO DE CHAVE PRIVADA ou parâmetros.

    O comando em questão gera uma chave privada usando o algoritmo RSA de tamanho 2048.

  • Bem pra começo de conversa, levei 1 pipoco...tomei no meio do copo, nessa questão!!!

    Mas, veja, ainda acho q essa questão tá errada. Pelo menos eu testei aqui e não funcionou. Copiei e colei o comando exatamente como este e dá o erro:

    "genpkey: Use -help for summary."

    Tenho o openssl instalado e atualizado. Aparentemente o erro tá no parâmetro genpkey, mas ele tá ok...inclusive, ao começar a digita-lo, o linux autocompleta.

    Alguém pode confirmar isso?

  • RSA: 2048 ou 4096 bits

  • Como diria alguns colegas: Questão boa para deixar em branco.

  • Se tiver que chutar faça essas associações:

    openssl genp(privado)key -out mypriv(privado)key(key = chave).pem -algorithm rsa 2048

    e reze até gabarito preliminar dois dias depois.

  • A ordem dos parâmetros está errada. Para funcionar, o correto é:

    openssl genpkey -algorithm rsa -out myprivkey.pem

ID
3114751
Banca
CESPE / CEBRASPE
Órgão
TJ-AM
Ano
2019
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de geração de chave e assinatura digital com o uso do OpenSSL, julgue o item a seguir.


O comando openssl dgst -sha256 file.txt gera a assinatura digital do usuário dgst com saída no arquivo file.txt.

Alternativas
Comentários

  • dgst faz parte da sintaxe do comando, não é o usuário.

    Sintaxe: $ openssl dgst [hash function] [display options] -out file.dgst file.input

    Fonte:https://www.iit.comillas.edu/palacios/seguridad/openssl.pdf

  • NUNCA NEM VI.....!

  • Essa foi um chute à moda Arrascaeta kkkkk

  • Que deCESPEro resolver essa questão.

    kkkkk

  • Gabarito: ERRADO

    Não existe usuário dgst, conforme descrito na questão.

    #pertenceremos

  • Imagino que a sintaxe por sí já está errada,pois deveria ter um maior (>) que antes do nome do arquivo.

    Bons estudos e boa sorte!

  • GAB: ERRADO

    openssl dgst -sha256 file.txt

    openssl é uma ferramenta de linha de comando que usa muitas funções criptográficas da biblioteca openssl crypto.

    dgst - Message Digest Calculation

    sha256 - Message Digest Command

    Message Digest - é utilizada para verificar a integridade da mensagem transmitida através de um canal inseguro. A mensagem é passada através de uma função criptográfica hash. Esta função cria uma imagem comprimida da mensagem chamada DIGEST

    Exemplo 

    # openssl dgst -sha256 teste.txt 

    SHA256(teste.txt)= e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855

  • Errado

  • Diego, não tem nada de errado (muito cuidado com essas escorregadas no quiabo). O comando tá certo, a questão é que tá errada. Explico:

    openssl: Ferramenta opensource de criptografia que implementa segurança SSL/TLS.

    dgst: cálculo digest

    -sha256: método de assinatura utilizado

    file.txt: arquivo algo

    Ou seja, dgst não é o usuário e sim o calculo digest efetuado.

    Fonte:

    [1] Man do Linux.

  • Questão serviu pra lembrar que estou com fome!! estou lendo filé

  • Marquei errado, pq a assertiva embstalhpu muita coisa falando de txt, 256 - lembrei da quantidade de caracteres, etc

  • essa eu não sei nem errar

  • O argumento dgst vai gerar o Digest/Hash, ou Resumo Criptográfico, resultante de uma operação de Hashing. O segundo argumento indica a utilização da função sha256, Secure Hash Algorithm com 256 bits, uma função de hash criptográfico. O hash é o mecanismo que garante a integridade no sistema de assinatura digital.

  • Respondi como se fosse um estagio sem remuneração: Só pelo aprendizado. kkk

  • Deus me defenda.

  • que isso banca, vamos tomar uma agua

  • Uma questão dessa eu deixo em branco, sem peso na consciência.

  • valha minha nossa senhora

  • passa pelomenos uma vaselina cespe

  • Pelo visto, não fui só eu

  • errei por desatenção, dgst não seria o usuário e sim o resumo de hash usado na assinatura digital!

  • e-

    dgst nao é usuario

    The generic name, openssl dgst, may be used with an option specifying the algorithm to be used. The default digest is sha256. A supported digest name may also be used as the sub-command name.

    https://www.openssl.org/docs/manmaster/man1/openssl-dgst.html

ID
3132862
Banca
VUNESP
Órgão
Câmara de Piracicaba - SP
Ano
2019
Provas
Disciplina
Segurança da Informação
Assuntos

Um site disponibiliza comunicação segura via SSL/TLS, no entanto, faz uso de um certificado autoassinado ao invés de um assinado por uma entidade confiável. Por conta disso, o acesso ao site sob essas condições viola o atributo de

Alternativas
Comentários

  • Não é autentico.

  • GABARITO (A).

    CERTIFICADO DIGITAL (C.I.A.) Confidencialidade / Integridade / Autenticidade.

    ASSINATURA DIGITAL (NR.I.A)Não Repúdio / Integridade /Autenticidade.

    CONFIDENCIALIDADE – Somente pessoas autorizadas podem acessar determinada informação.

    INTEGRIDADE – Garante que a informação não será violada durante seu caminho percorrido.

    DISPONIBILIDADE – Garante que a informação deve estar sempre disponível quando requisitada por pessoas devidamente autorizadas.

    AUTENTICIDADE – É o processo de identificação com intuito de que aquela pessoa que está se identificando, é quem realmente ela diz ser.

    NÃO REPÚDIO OU IRRETRATABILIDADE – Garante que a determinada pessoa que praticou tal ato não venha posteriormente negar. 

  • Assertiva A

    autenticidade.

  • Autenticidade é a veracidade das informações do emissor e receptor ;

    Ex. assinatura digital,biometria.

ID
3180391
Banca
CESGRANRIO
Órgão
Transpetro
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

O servidor Apache é a implementação de um servidor web eficiente e extensível. Para configurar esse servidor para utilizar a chave privada armazenada em um arquivo específico, o administrador do sistema deve fornecer a localização desse arquivo em uma diretiva

Tal diretiva é a

Alternativas
ID
3458203
Banca
INSTITUTO AOCP
Órgão
PRODEB
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

Para que o comércio eletrônico nos dias de hoje funcione corretamente, é necessário que os sites tenham preocupação com a segurança das informações fornecidas pelos usuários no momento da compra. Sobre segurança em aplicações web, é correto afirmar que

Alternativas
Comentários

  • D.

    o HTTPS utiliza o mecanismo de criptografia pública para a segurança em rede em suas transações, com o objetivo de evitar lentidão na rede.

  • alternativa D é a correta

    o SSL destina-se a garantir a segurança durante a transmissão de dados sensíveis por TCP/IP. Ele cria um canal criptografado entre um servidor web e um navegador (browser) para garantir que todos os dados transmitidos sejam sigilosos e seguros.

  • O SSL (Secure Sockets Layer) é um protocolo que permite estabelecer comunicações seguras na Internet para atividades como navegação na Web, e-mail, mensagens instantâneas e outras transferências de dados. O Google exige o HTTPS (Hypertext Transfer Protocol Secure) quando os usuários acessam a maioria dos serviços do G Suite. O SSL está disponível para os seguintes produtos: Gmail, Chat, Agenda, Grupos do Google para empresas, Drive e Sites.

    A vantagem do SSL é oferecer mais segurança para os usuários. Se os usuários acessarem o G Suite em uma conexão não segura, como uma rede sem fio pública ou não criptografada, as contas deles estarão mais vulneráveis a invasões. Uma conexão segura impede invasões ao proteger a sessão de cookies. A invasão na sessão de cookies se refere a uma situação em que um impostor tem acesso não autorizado a cookies e consegue controlar uma sessão legítima enquanto ela ainda está em andamento.

    O Transport Layer Security (TLS) substituiu o SSL. Ao usar o G Suite, observe que todas as configurações que mencionam SSL agora usam o TLS. O protocolo TLS é um padrão do setor baseado na tecnologia Secure Sockets Layer (SSL), que criptografa e-mails para garantir a entrega segura.

  • Atualmente usa-se TLS no lugar de SSL, vários protocolos com SSL ja estão deprecated, por exemplo o protocolo smtp na porta 465(SSL), que foi substituido pela porta 587(TLS).

  • Sobre o DHCP: é um protocolo utilizado em redes de computadores que permite às máquinas obterem um endereço IP automaticamente.

ID
3496258
Banca
INSTITUTO AOCP
Órgão
PRODEB
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

Considerando as características da SSL, assinale a alternativa correta.

Alternativas
Comentários

  • Gabarito B

    A)) HTTPS é uma implantação alternativa a SSL. HTTPS é uma protocolo de comunicação e o SSL é um tipo de segurança INCORRETA

    B) SSL precisa de um protocolo de transporte como o TCP. TCP (protocolo de comunicação) e SSL (criptografia) CORRETA

    C) Não é utilizada em aplicações web. SSL tipo de segurança web como bancos ou compras INCORRETA

    D) Não é utilizada em aplicações de e-mail. SSL tipo de segurança web como webmail INCORRETA

    E) Não é possível mudar de HTTP para HTTPS em uma mesma aplicação web. HTTP é sem criptografia e HTTPS é com camada de criptografia SSL ou TLS. INCORRETA

  • LETRA B

    SSL ( Secure Socket Layer ) - é o protocolo da camada de aplicação responsável por criptografar dados gerados por protocolos. Ele utiliza o método de criptografia assimétrico e seu princípio é estabelecer um canal de comunicação protegido entre duas máquinas (um cliente e outro servidor ) após uma etapa de autenticação. Além disso, o SSL é independente do protocolo utilizado, o que significa que pode proteger transações feitas através do protocolo HTTP (HTTPs) ou ligação via protocolo FTP, POP ou IMAP.

  • Sobre a alternativa A, o protocolo HTTPS é um protocolo HTTP que implementa uma camada adicional de segurança SSL de transporte. São protocolos distintos mas que se complementam, por tal motivo, o SSL não é utilizado sozinho.

ID
3497353
Banca
FCC
Órgão
SEGEP-MA
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

Uma VPN pode ser implementada atualmente utilizando diferentes protocolos e serviços de comunicação em rede. Para escolher o tipo de VPN a ser implantada para a comunicação segura dos cidadãos ao servidor da SEGEP, o Analista deve considerar que a VPN baseada em

Alternativas
Comentários

  • Gabarito B

    A) SSL realiza a criptografia na camada de transporte, sendo mais seguro que o IPSec. Aplicação, menos INCORRETA

    B) SSL utiliza os recursos dos web browsers, o que facilita a sua utilização. CORRETA

    C) IPSec é mais fácil de ser configurada se comparada com a que utiliza SSL. Tunelamento é mais dificil INCORRETA

    D) SSL é mais segura se comparada com a que utiliza IPSec. menos INCORRETA

    E) IPSec pode ser implementada por meio dos recursos de segurança do web browser. SSL INCORRETA

    .

    SSL é a criptografia utilizada juntamente com o HTTPS

    IPsec é o protocolo de criptografia da internet para tunelamento(VPN), criptografia e autenticação

  • Pesquisando, encontrei: I) o IPsec atua na camada de rede e se utiliza em conexões ponto-a-ponto, suportando qualquer aplicação usada em IP; II) o SSL atua na camada de aplicação, sendo usado na conexão via WEB e suportando só aplicações WEB.
ID
3532138
Banca
INSTITUTO AOCP
Órgão
IBGE
Ano
2019
Provas
Disciplina
Segurança da Informação
Assuntos

O SSL (Secure Sockets Layer) permite que aplicações cliente e servidor troquem mensagens de maneira segura. Sobre o funcionamento do SSL, é correto afirmar que

Alternativas
Comentários

  • aocp aloprando kkkkkkkkkkkk

    algum tempo atras eu pegava pilha kakakka

  • Alguém pode comentar o erro da alternativa C???

  • Tá difícil essa banca!

    O SSL/TLS funciona através de chaves públicas e privadas, além de chaves de sessão para cada conexão segura. Quando o visitante coloca uma URL com SSL no navegador e navega pela página segura, o navegador e o servidor fazer uma conexão.

    Durante a conexão inicial as chaves públicas e privadas são utilizadas para criar uma chave de sessão, que então é utilizada para criptografar e descriptografar os dados sendo transferidos. Essa chave de sessão vai se manter válida por tempo limitado e só vai ser utilizada para essa sessão específica.

    Inclusive tem uma imagem mostrando a conexão entre cliente e servidor, e a troca de chaves, para permitir a encriptação dos dados transferidos.

    Fonte: https://www.hostinger.com.br/tutoriais/o-que-e-ssl-tls-https

  • esse QC tá difícil viu!!!!! praticamente nenhuma questão de informática comentada pelo professor!!!!

  • A = Não é exclusivo

    B = HTTP utiliza TCP, FTP usa TCP e UDP.

    C = São 3 Etapas

    E = Fala do IPSEC

    GAB D

  • uma conexão através do SSL é dividida em TRÊS ETAPAS

  • Leophb, são 3 etapas :

    1. Negociação dos Algoritmos – Busca-se definir qual algoritmo é suportado por ambos e será utilizado. A tendência é escolher sempre o algoritmo mais robusto. O cliente faz a requisição da comunicação segura e o servidor responde com uma lista de algoritmos suportados.

     2. Troca de Chaves e Autenticação – Após a ciência e definição pelo servidor do algoritmo, ambos trocam chaves para realizarem a autenticação entre si. Nesse primeiro momento, utiliza-se algoritmos de criptografia assimétrica como RSA, Diffie- Hellman, entre outros.

    Aplica-se aqui o conceito de certificado digital por parte do servidor com todas as informações inerentes a essa tecnologia.

    3. Encriptação simétrica e autenticação das mensagens – A partir de então as mensagens utilizam funções HASH para autenticação, garantindo assim a integridade, segurança e autenticação.

ID
3547312
Banca
CESGRANRIO
Órgão
IBGE
Ano
2008
Disciplina
Segurança da Informação
Assuntos

Que característica foi adicionada ao CORBA para garantir a comunicação através de firewalls?

Alternativas
Comentários

  •  SSL -> é um certificado digital que autentica a identidade de um site e possibilita uma conexão criptografada. O termo "SSL" significa "Secure Sockets Layer" (camada de soquete seguro), um protocolo de segurança que cria um link criptografado entre um servidor Web e um navegador Web.

  • Não entendi.

  • SOCKS é um protocolo de internet que encaminha pacotes entre cliente e servidor por um servidor proxy.

    SSL é um certificado digital que garante que o usuário que visitem seu site navegue em um ambiente seguro

    A comunicação do site e servidor fica protegida com um certificado criptografado impedindo que os dados sem interceptados por phishing e sites fraudulentos.

    HTTPS protocolo de transferência de hiper texto seguro, é uma implementação do HTTP sore uma camada adicional de segurança que utiliza o protocolo SSL/TLS. Impede que terceiros tenham acesso transmitindo segurança em compras online onde são depositados dados pessoais.

    XML é um tipo de marcação que define regras para codificar diferentes documentos, muito utilizado para criação de notas fiscais eletrônicas. Linguagens de marcação são sistemas usados para definir padrões e formatos de exibição dentro de um documento.

    SOAP é um procolo projetado para invocar aplicações remotas através de RPC ou trocas de mensagens, em um ambiente independente de plataforma e linguagem de programação. SOAP é, portanto, um padrão normalmente aceito para utilizar com Web Services. Desta forma, pretende-se garantir a interoperabilidade e intercomunicação entre diferentes sistemas, uso da utilização de uma linguagem (XML) e mecanismo de transporte (HTTP

    CORBA

    É a arquitetura padrão criada para estabelecer e simplificar a troca de dados entre sistemas distribuídos heterogêneos. Em face da diversidade de hardware e software que encontramos atualmente, a CORBA atua de modo que os objetos(componentes dos softwares) possam se comunicar de forma transparente ao usuário, mesmo que para isso seja necessário interoperar com outro software, em outro sistema operacional e em outra ferramenta de desenvolvimento.

ID
3579994
Banca
AOCP
Órgão
UFFS
Ano
2016
Disciplina
Segurança da Informação
Assuntos

O SSL (Secure Sockets Layer) foi desenvolvido pela Netscape em 1995 e define um protocolo de comunicação seguro para as aplicações, em especial as WEB. Em qual camada do modelo TCP/IP esse protocolo de segurança trabalha e qual tipo de criptografia ele utiliza? 

Alternativas
Comentários

  • Gab c!

    o SSL (Secure Sockets Layer) \ TSL, têm atuação na camada apresentação (no modelo OSI) e na camada aplicação (nos modelos TCP e TCP híbrido)

ID
4144279
Banca
UFCG
Órgão
UFCG
Ano
2019
Provas
Disciplina
Segurança da Informação
Assuntos

Analise as afirmativas abaixo:


I- A emissão de um certificado digital é realizada por uma Autoridade Certificadora.

II- O SSL (Secure Sockets Layer) usa um sistema de criptografia que utiliza duas chaves para criptografar os dados, uma chave pública e uma chave privada.

III- Os certificados A1 vêm como um dispositivo físico, tanto no formato de um cartão inteligente ou de um token.

IV- O e-CPF é a versão eletrônica do CPF. Esse documento digital garante a autenticidade das transações eletrônicas de pessoas físicas.


Estão corretas:

Alternativas
Comentários

  • Assertiva C

    O erro da questão III é o tipo de certificado apresentado, o que ele menciona é o tipo A1, ele é digital, ou seja, um arquivo no computador geralmente com a extenção .PFX, e pode ser salvo na maquina e ser duplicado, por isso o nível de segurança chama A1, mais baixo, já o certificado que a questão se refere seria o de nível A3, ele sim é obrigatoriamente gravado em uma mídia física, como um token ou cartão inteligente, ele não pode ser copiado, e só consegue acesso no computador que ele tiver conectado, mediante a senha. por isso nível mais alto de segurança A3. Agora a novidade é o certificado em nuvem, como o Bird ID da soluti.

  • Assertiva C

    apenas I, II e IV

    I- A emissão de um certificado digital é realizada por uma Autoridade Certificadora.

    II- O SSL (Secure Sockets Layer) usa um sistema de criptografia que utiliza duas chaves para criptografar os dados, uma chave pública e uma chave privada.

    IV- O e-CPF é a versão eletrônica do CPF. Esse documento digital garante a autenticidade das transações eletrônicas de pessoas físicas.

  • GAB [C] AOS NÃO ASSINANTES.

    #ESTABILIDADESIM.

    #NÃOÀREFORMAADMINISTRATIVA.

    ''AQUELE QUE PODENDO SE OMITIREM,SERÃO CÚMPLICES DA BÁRBARIE.''

  • ssl utiliza uma chave simétrica para criptografar os dados. As chaves públicas são utilizadas para a negociação da chave simétrica.

  • Tipos de certificado:

    Nos Certificados do tipo A1, a assinatura fica armazenada no próprio computador do usuário. Esse tipo de Certificado tem validade de um ano e o uso da senha é opcional.

    os Certificados classificados como A3 são armazenados em mídias mais portáteis, como tokens USB ou cartões com chip.

  • A1 - digital. A3 - meio físico. tudo no tempo de Deus. Amém
ID
5070520
Banca
IBADE
Órgão
Prefeitura de Santa Luzia D`Oeste - RO
Ano
2020
Provas
Disciplina
Segurança da Informação
Assuntos

Qual porta é usada para navegação web com criptografia SSL?

Alternativas
Comentários

  • Assertiva C

    criptografia SSL = 443

  • Protocolo Porta padrão Serviço

    HTTP 80 ou 8080 Navegação web

    HTTPS 443 Navegação web com criptografia SSL

    SMTP 587 Envio de e-mails sem criptografia 

    SMTP 465 Envio de e-mails com criptografia

    IMAP 143 Sincronismo de e-mails sem criptografia

    IMAP 993 Sincronismo de e-mails com criptografia

    POP 110 Download de e-mails sem criptografia

    POP 995 Download de e-mails com criptografia

    MySQL 3306 Bancos de dados MySQL

    MSSQL 1039 Bancos de dados Microsoft SQL Server

    PGSQL 5432 Bancos de dados Postgre

    Firebird 3050 Bancos de dados Firebird

    MongoDB 27017 Bancos de dados MongoDB

    DNS 53 Consulta DNS

    Whois 43 Consulta de whois

    FTP 21 Transferência de arquivos

    SSH 22 Acesso SSH

    SFTP 22 FTP com criptografia

    Telnet 23 Acesso remoto via telnet

  • A) 22 - SSH - ACESSO REMOTO

    B) 21 - FTP - TRANSFERÊNCIA DE ARQUIVOS

    C) 443 - HTTPS (HTTP+SSL) - NAVEGAÇÃO WEB

    D) 80 - HTTP - NAVEGAÇÃO WEB SEM CRIPTOGRAFIA SSL

    E) 143 - IMAP - RECEBIMENTO DE EMAIL (SINCRONIZA OS EMAILS DO SERVIDOR E CLIENTE)

    • HTTP 80 ou 8080 Navegação web
    • HTTPS 443 Navegação web com criptografia SSL
    • SMTP 587 Envio de e-mails sem criptografia
    • SMTP 465 Envio de e-mails com criptografia
    • IMAP 143 Sincronismo de e-mails sem criptografia
    • IMAP 993 Sincronismo de e-mails com criptografia
    • POP 110 Download de e-mails sem criptografia
    • POP 995 Download de e-mails com criptografia
    • MySQL 3306 Bancos de dados MySQL
    • MSSQL 1039 Bancos de dados Microsoft SQL Server
    • PGSQL 5432 Bancos de dados Postgre
    • Firebird 3050 Bancos de dados Firebird
    • MongoDB 27017 Bancos de dados MongoDB
    • DNS 53 Consulta DNS
    • Whois 43 Consulta de whois
    • FTP 21 Transferência de arquivos
    • SSH 22 Acesso SSH
    • SFTP 22 FTP com criptografia
    • Telnet 23 Acesso remoto via telnet
ID
5308588
Banca
CPCON
Órgão
Prefeitura de Jacaraú - PB
Ano
2020
Provas
Disciplina
Segurança da Informação
Assuntos

Avalie as proposições com (V) para as verdadeiras e (F) para as falsas. Em seguida responda o que se pede.

( ) A “CIA-triad” faz referência aos termos Confidentiality, Integrity e Availability, os quais compõem o tripé da segurança da informação.
( ) Integridade se refere à ameaça da ocorrência de alterações indevidas das informações.
( ) O TCP(Transmission Control Protocol) possui uma versão conhecida como Secure Sochets Layer (SSL), a qual é um protocolo que provê integridade e disponibilidade na comunicação entre dois pontos de rede.
( ) A identificação do uso de SSL é possível em navegações web quando o endereço começa com a expressão “https” que significa Hyper Text Transfer Secure. Este é um protocolo utilizado por browsers para se ter a garantia de sigilo do conteúdo da mensagem entre origem e destino.

A sequência CORRETA de preenchimento dos parênteses é:

Alternativas
Comentários

  • GABARITO: C (V.V.F.V)

    SSL (Secure Sockets Layer) e seu sucessor TLS (Transport Layer Security) são protocolos de criptografia projetados para internet. A grande vantagem desses protocolos é que eles agem como uma subcamada nos protocolos de comunicação na internet (TCP/IP). O SSL funciona na camada TCP não uma versão do mesmo. logo item III falso

  • Não sei se é erro de digitação do QC, mas SSL é Secure SOCKETS Layer, não SOCHETS. E HTTPS é Hypertext Transfer PROTOCOL Secure. Se a prova veio com os nomes desse jeito a afirmativa 4 é falsa também.

  • Certificado SSL é um certificado digital que autentica a identidade de um site e possibilita uma conexão criptografada. O termo "SSL" significa "Secure Sockets Layer" (camada de soquete seguro), um protocolo de segurança que cria um link criptografado entre um servidor Web e um navegador Web.
ID
5321932
Banca
Aeronáutica
Órgão
EEAR
Ano
2021
Provas
Disciplina
Segurança da Informação
Assuntos

A crescente demanda, na rede mundial de computadores, de transações financeiras criou a necessidade de conexões seguras. Tal fenômeno desencadeou a criação de um pacote de segurança chamado

Alternativas
Comentários

  • SSL - Secure Sockets Layer -  protocolo projetado para fornecer segurança nas comunicações sobre uma rede de computadores. Atualmente, essa tecnologia se encontra em desuso e está sendo completamente substituída pelo TLS - Transport Layer Security - que certifica a proteção de dados de maneira semelhante ao SSL, mas corrigindo alguns vulnerabilidades.

    Gabarito D

  • PFSense -> Firewall OpenSource

    Debian -> Distribuição Linux

    TCP -> Protocolo da camada de transporte orientado à conexão

    SSL/TLS -> Não é um "pacote de segurança", é um protocolo usado para criar links seguros entre computadores

ID
5377537
Banca
INSTITUTO AOCP
Órgão
ITEP - RN
Ano
2021
Provas
Disciplina
Segurança da Informação
Assuntos

É normal que alguns protocolos criptográficos se tornem inseguros ou desaconselháveis depois de algum tempo que são lançados, entrando em depreciação. Isso acontece devido a vulnerabilidades que são descobertas ou mesmo devido ao lançamento de versões mais novas. Dois protocolos amplamente utilizados para implementar mecanismos de criptografia são o TLS e o SSL. Sobre esses protocolos, assinale a alternativa que apresenta somente versões que ainda não foram depreciadas.

Alternativas
Comentários

  • Conforme o site abaixo, gab. E.

    https://cryptoid.com.br/ssl-tls/ssl-vs-tls-qual-a-diferenca/

  • TLS é o sucessor do SSL. Logo, todas as versões do SSL estão depreciadas. Gab E.

    Além disso, as versões 1.0 e 1.1 do TLS também estão depreciadas

  • Dica pros concurseiros

    SSL "não existe" mais. A gente houve falar muito, mas é só questão cultural.

    Tipo quando a gente fala "meu 3g caiu", sendo que na verdade o celular é 4G (até 5g) no caso

    ou fazer o gesto de abrir janela do carro, que fazemos como se fosse a manivela, só que é um botão

    Basicamente é isso, o SSL não existe, mas por preguiça de mudar a fala/gesto. Ainda falamos SSL

ID
5383129
Banca
FUNDATEC
Órgão
CIGA-SC
Ano
2020
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre o Transport Layer Security (TLS) e Secure Sockets Layer (SSL) são feitas as seguintes afirmações:

I. O TLS é uma evolução do SSL.
II. Ambos utilizam criptografia simétrica e assimétrica.
III. Somente o TLS suporta autenticação de dois fatores.

Quais estão corretas?

Alternativas
Comentários

  • Os certificados SSL garantem a segurança do usuário ao acessar um site. o TLS é uma versão mais segura e atualizada do SSL, geralmente, usado como uma configuração nos programas de e-mail, mas que não menos importante que o SSL, tem seu papel em qualquer transação entre o cliente e o servidor.

    Diferenças:

    De maneira geral, não existem grandes diferenças técnicas entre os  e o TLS, porém, ambos têm normas específicas.

    O TLS pode operar em portas diferentes e usa algoritmos de criptografia mais fortes, como o Keyed — Hashing for Message Authentication Code (HMAC). Já o SSL utiliza apenas o algoritmo Message Authentication Code (MAC).

    A grande vantagem desses protocolos é garantir a segurança nos protocolos de comunicação na internet (TCP/IP). Dessa forma, se vê nas barras de navegação as terminações “http” e o “https”. No primeiro caso, os dados trafegam livremente; e o segundo, criptografa as informações com SSL/TLS. É possível operar com ou sem SSL ou TLS, basta que o usuário indique se quer ou não configurar uma conexão segura.

  • TLS (Transport Layer Security).

    A identidade das partes que estão se comunicando pode ser autenticada empregando criptografia assimétrica.

    A conexão garante integridade porque cada mensagem transmitida inclui uma verificação de integridade (message integrity check).

ID
5485348
Banca
IDIB
Órgão
CRECI-PE - 7ª Região
Ano
2021
Provas
Disciplina
Segurança da Informação
Assuntos

O SSL (Secure Sockets Layer) usa um sistema de criptografia que utiliza duas chaves para criptografar os dados, uma chave pública, conhecida por todos, e uma chave privada, conhecida apenas pelo destinatário. Quando utilizamos o SSL, o que é usado para autenticar uma mensagem? 

Alternativas
Comentários

  • (B)

    Código de autenticação de mensagem (MAC), ou tag, é um código de segurança que é digitado pelo usuário de um computador para acessar contas ou portais. Este código é anexado à mensagem ou solicitação enviada pelo usuário. Os códigos de autenticação de mensagem (MACs) anexados à mensagem devem ser reconhecidos pelo sistema receptor para permitir o acesso do usuário.

    Os códigos de autenticação de mensagens (MACs) são comumente usados ​​em transferências eletrônicas de fundos (EFTs) para manter a integridade das informações. Eles confirmam que uma mensagem é autêntica; que realmente vem, em outras palavras, do remetente declarado e não sofreu nenhuma alteração no trajeto. Um verificador que também possui a chave pode usá-la para identificar alterações no conteúdo da mensagem em questão.

    Fonte: economiaenegocios.com/definicao-do-codigo-de-autenticacao-de-mensagem-mac

  • Gab B

    Em criptografia, um autenticador de mensagem é um pequeno pedaço de informação usado para autenticar a mensagem.