SóProvas

ID
1768105
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o item a seguir, considerando que o capítulo sobre criptografia contenha problemas e sugestões para o uso de criptografia simétrica, criptografia assimétrica e funções hash, na plataforma de sistemas de computação do ministério. 

A prescrição para banimento do uso da função MD5, em favor da adoção de SHA-1, pode ser recomendada, especialmente porque a facilidade de produção de ataques de colisão em sistemas que usam MD5 tornaria mais simples a implementação de ataques de dicionário em sistemas de armazenamento de senhas criptografadas nos bancos de dados de autenticação de usuários do ministério.

Alternativas
Comentários

  • O erro da questão reside em tratar o "ataque de dicionário" como uma espécie do gênero "ataques de colisão".

  • O ataque usado contra hashes fraco é o rainbow table. Como os hashes são unidirecionais, o rainbow table consiste em uma tabela com textos e seus respectivos hashes já calculados, aproveitando também da possibilidade de colisões existentes em algoritmos cujo universo seja pequeno, como o MD5.

  • Essa questão é bem interessante. Existem dois erros ao meu ver.

    Acho que o erro principal está em sugerir "adoção de SHA-1", já que tanto o MD5 como o SHA-1 são comprovadamente vulneráveis à ataques de colisão.

    Mas acredito que o que colega falou também procede. Um ataque de colisão é diferente de um ataque de dicionário, este último no qual é usado para atacar bases de senhas.

    Na realidade o grande problema de usar o MD5 ou SHA-1 para um sistema de armazenamento de senhas é o fato de que essas funções de hash são muito rápidas de calcular, permitindo que um atacante com um hardware razoável possa realizar centenas de milhares de comparações por segundo, até achar o que deseja.

  • Por partes, sempre!!!

    Julgue o item a seguir, considerando que o capítulo sobre criptografia contenha problemas e sugestões para o uso de criptografia simétrica, criptografia assimétrica e funções hash, na plataforma de sistemas de computação do ministério.

    A prescrição para banimento do uso da função MD5, em favor da adoção de SHA-1, pode ser recomendada,

    -- Aqui está a parte errada, veja:

    [1]

    "No momento em que este livro era escrito, o Secure Hash Algorithm (SHA-1) ainda não tinha sido “quebrado”. Ou seja, ninguém demonstrou uma técnica para produzir colisões em um período de tempo prático. Porém, como o SHA-1 é muito semelhante ao MD5 e ao SHA-0 em estrutura e nas operações matemáticas básicas utilizadas, e ambos foram quebrados, o SHA-1 é considerado inseguro e foi substituído pelo SHA-2".

    especialmente porque a facilidade de produção de ataques de colisão em sistemas que usam MD5 tornaria mais simples a implementação de ataques de dicionário em sistemas de armazenamento de senhas criptografadas nos bancos de dados de autenticação de usuários do ministério.

    -- Essa parte, a meu ver, está certa. Esta fonte diz o seguinte:

    [2]

    "Os ataques de força bruta podem ser otimizados para ataques de dicionário. Podemos, por exemplo, deixar calculado o Hash de todas as palavras em inglês e português, nomes de pessoas, animais de estimação, cidades e datas com 6 e 8 dígitos, em formato americano e internacional."

    Fonte:

    [1] Stallings

    [2] https://www.profissionaisti.com.br/como-funciona-um-algoritimo-de-hash-e-como-evitar-ataques-em-sistemas/

  • MD5 e SHA-1==> INSEGURO

    SHA-2 ==> SEGURO