SóProvas

ID
12121
Banca
CESPE / CEBRASPE
Órgão
Polícia Federal
Ano
2004
Provas
Disciplina
Segurança da Informação
Assuntos

As aplicações web que necessitam de segurança criptográfica dos dados transmitidos entre o navegador (cliente) e o servidor web utilizam o protocolo SSL/TLS para o estabelecimento de sessões seguras. Acerca do SSL/TLS e suas aplicações, julgue os itens a seguir.

Certificados digitais são assinados com criptografia assimétrica. A mesma chave usada para assinar o certificado deve ser usada para assinar as requisições de chave de sessão, o que garante a autenticidade e o não-repúdio no estabelecimento da sessão e serve como comprovação da propriedade do certificado.

Alternativas
Comentários
  • Um exemplo clássico a respeito da seqüência de eventos no processo de certificação entre "A" e "B" digital é a seguinte:

    1. "A" envia uma solicitação de certificado assinado contendo seu nome, sua chave pública e, talvez, algumas informações adicionais a uma autoridade de certificação.

    2. A autoridade de certificação cria uma mensagem a partir da solicitação de "A". A autoridade de certificação assina a mensagem com sua chave privada, criando uma assinatura separada. A autoridade de certificação retorna a mensagem e a assinatura à "A". Juntas, a mensagem e a assinatura formam o certificado de "A".

    3. "A" envia seu certificado para "B" para conceder a ele acesso à sua chave pública.

    4. "B" verifica a assinatura do certificado, usando a chave pública da autoridade de certificação. Se a assinatura for realmente válida, ele aceita a chave pública no certificado como a chave pública de "A".
  • A criptografia assimétrica usa um par de chaves pública/privada. Os dados criptografados com a chave privada podem ser descriptografados apenas com a chave pública correspondente e vice-versa. As chaves públicas (como o nome sugere) são amplamente disponibilizadas. De modo inverso, uma chave privada permanece privada para um indivíduo específico. O mecanismo de distribuição pelo qual as chaves públicas são transportadas aos usuários é um certificado. Normalmente, os certificados são assinados por uma CA (autoridade de certificação) para confirmar que a chave pública é do indivíduo que afirma tê-la enviado. A autoridade de certificação é uma entidade mutuamente confiável. A implementação típica do certificado digital envolve um processo de assinatura do certificado. Como com qualquer assinatura digital, qualquer receptor com acesso à chave pública da autoridade de certificação pode determinar se uma autoridade de certificação específica assinou o certificado. Esse processo não requer acesso a nenhuma informação secreta.

  • O erro da questão está em afirmar que: "A mesma chave usada para assinar o certificado deve ser usada para assinar as requisições de chave de sessão", pois são chave diferentes e de donos diferentes:

    A chave que assina o certificado é a privada da CA (autoridade certificado), para isso existe a CA. Com isso, qualquer pessoa que possua a chave pública da CA consegue decifrar (abrir) o certificado. Caso não consiga decifrar o certificado com a chave pública da CA, esse certificado não é confiável.

    E a chave utilizada para "assinar as requisições de chave de sessão" é a chave do dono do certificado e não da CA.

  • - certificado digital: (C.I.A.) confidencialidade, integridade, autenticidade;

    - assinatura digital: (I.N.A.) integridade, não-repúdio, autenticidade;

    - hash: integridade, apenas;

     

    Obs. achei esse esqueminha fuçando nos coments do QC, se tiver errado, por favor, me faça saber, rss!!! Até agora ta dando certo p resolver as questões.

  • Nesse caso seria chave simétrica !

  • Parei na parte na qual a questão disse que seria a mesma chave.