SóProvas

ID
12115
Banca
CESPE / CEBRASPE
Órgão
Polícia Federal
Ano
2004
Provas
Disciplina
Segurança da Informação
Assuntos

As aplicações web que necessitam de segurança criptográfica dos dados transmitidos entre o navegador (cliente) e o servidor web utilizam o protocolo SSL/TLS para o estabelecimento de sessões seguras. Acerca do SSL/TLS e suas aplicações, julgue os itens a seguir.

Para o estabelecimento de uma sessão SSL, é necessário que o servidor e o cliente tenham um certificado digital válido. Esses certificados devem ser trocados e reconhecidos pelos destinatários como certificados confiáveis.

Alternativas
Comentários
  • Uma sessão SSL é estabelecida por uma seqüência de handshake entre cliente e servidor, a qual pode variar, dependendo do servidor estar configurado para fornecer um certificado ao cliente, ou exigir um certificado dele. Há também casos onde etapas adicionais são necessárias para o gerenciamento de informações criptográficas. Em situações gerais a seqüência de eventos no processo de estabelecimento de uma conexão SSL é:

    1. Cliente e servidor trocam mensagens de saudação (Hello) que contém dados randômicos;
    2. O servidor envia ao cliente sua chave pública, junto a um certificado assinado;
    3. O cliente gera dados randômicos para usar como um "segredo compartilhado", enviando em seguida estes dados ao servidor, criptografados com a chave pública dele, em uma mensagem denominada Client Key Exchange;
    4. Cliente e servidor utilizam uma combinação dos dados randômicos trocados e dos dados secretos gerados pelo cliente para gerar as chaves criptográficas que serão utilizadas;
    5. O cliente envia uma mensagem denominada Change Cypher Spec para determinar o serviço de criptografia a ser utilizado, e uma mensagem de fim de estabelecimento de conexão (Finished);
    6. O servidor responde com o envio de ambos o Change Cypher Spec e a mensagem Finished.
  • É necessário que existam certificados válidos de ambas as partes, mas não é obrigatório que o servidor envie o seu certificado. Isso só ocorre no 2-WAY SSL.
  • O Secure Sockets Layer V3 pode utilizar os certificados digitais do servidor bem como os do cliente. Como explicado anteriormente, os certificados digitais do servidor são obrigatórios para uma sessão SSL, enquanto os certificados digitais do cliente são opcionais, dependendo dos requisitos de autenticação do cliente. [Fonte: http://publib.boulder.ibm.com/tividd/td/TRM/GC32-1323-00/pt_BR/HTML/admin231.htm]
  • ERRADO

    O erro está na informação 'é necessário que o servidor e o cliente tenham um certificado digital válido', pois é necessário o servidor ter o certificado, para o cliente, o certificado é opcional.

    Um bom exemplo disso é quando você vai declarar seu imposto de renda no site da Receita, você não tem obrigação de ter um certificado digital para fazer a declaração do IR, é opcional. Já o servidor da Receita tem que ter um certificado digital válido.


  • Willian Stalings, Criptografia e Segurança de Redes, págs 420 e 421

    (Protocolo de Handshake)

    Fase 2. autentiCação de serVidor e troCa de CHaVe

    (...)
    O servidor inicia essa fase enviando seus certificados, se precisar ser autenticado; a mensagem contém
    uma ou uma cadeia de certificados X.509. A mensagem de certificado é exigida para qualquer método e troca
    de chave combinado, exceto Diffie-Hellman anônimo.
     

    fase 3. autentiCação de Cliente e troCa de CHaVe

    (...)
    Se o servidor tiver solicitado um certificado, o cliente inicia essa fase enviando uma mensagem de certificado. Se nenhum certificado apropriado estiver disponível, o cliente envia um alerta no_certificate em vez disso.
     

     

    Moral da história, não é necessário que cliente e servidor tenham certificados válidos.