SóProvas

ID
1848988
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação à criptografia e às funções criptográficas, julgue o item subsecutivo.

Na comunicação de um usuário com um servidor web de certificado SSL (secure socket layer) autoassinado, não é possível a confirmação da autenticidade do certificado, de modo que esse tipo de comunicação é considerado inseguro.

Alternativas
Comentários

  • Gabarito: Certo

     

    Você pode criar seu próprio certificado auto-assinado. Note que este tipo de certificado não oferece as garantias de segurança de um certificado assinado por uma CA (Certificate Authority). ( http://web.mit.edu/rhel-doc/3/rhel-sag-pt_br-3/s1-secureserver-selfsigned.html )

     

    Por óbvio, nesse caso, "la garantía soy yo" (auto-assinado), logo, é inseguro.

  • O fato de envolver uma Autoridade Certificadora é exatamente para prover, por meio de uma entidade confiável, uma comunicação segura e autêntica.

     

    O certificado autoassinado é aquele no qual o dono e o emissor são a mesma entidade. Costuma ser usado de duas formas:

     

    Legítima: além das ACs raízes, certificados autoassinados também costumam ser usados por instituições de ensino e pequenos grupos que querem prover confidencialidade e integridade nas conexões, mas que não desejam (ou não podem) arcar com o ônus de adquirir um certificado digital validado por uma AC comercial.

     

    Maliciosa: um atacante pode criar um certificado autoassinado e utilizar, por exemplo, mensagens de phishing (detalhes na Seção 2.3 do Capítulo Golpes na Internet), para induzir os usuários a instalá-lo. A partir do momento em que o certificado for instalado no navegador, passa a ser possível estabelecer conexões cifradas com sites fraudulentos, sem que o navegador emita alertas quanto à confiabilidade do certificado.

     

    FONTE: https://cartilha.cert.br/criptografia/

     

  • Assertiva CORRETA.


    O princípio básico de um certificado digital é a existência de uma terceira pessoa confiável que atesta a confiabilidade do portador do certificado. Sem essa terceira pessoa, o certificado se torna inútil.

  • Autoridade Certificadora Raiz (ACR) possue um certificado autoassinado, uma vez que não há nenhuma outra AC acima dela. O certificado aotoassinado é aquele em que o dono e o emissor é a mesma entidade. Além disso, o certificado autoassinado não pode ser caracterizado como sendo totalmente seguro, nem como totalmente inseguro, visto que, apesar de prover integridade e confidencialidade, não provê autenticação, uma vez que não há garantias relativas ao certificado em uso. Os certificados autoassinados podem ser classificados de forma legítima ou maliciosa.

    LEGÍTIMA:pequenos grupos que pretendem prover integridade e confidencialiade nas conexões, porém, às vezes, não podem arcar com os custos para obter um certificado digital validado por uma AC comercial;

    MALICIOSA: um atacante pode criar um certificado autoassinado.

  • Autoridade Certificadora Raiz (ACR) possue um certificado autoassinado, uma vez que não há nenhuma outra AC acima dela. O certificado autoassinado é aquele em que o dono e o emissor é a mesma entidade. Além disso, o certificado autoassinado não pode ser caracterizado como sendo totalmente seguro, nem como totalmente inseguro, visto que, apesar de prover integridade e confidencialidade, não provê autenticação, uma vez que não há garantias relativas ao certificado em uso. Os certificados autoassinados podem ser classificados de forma legítima ou maliciosa.

    LEGÍTIMA:pequenos grupos que pretendem prover integridade e confidencialiade nas conexões, porém, às vezes, não podem arcar com os custos para obter um certificado digital validado por uma AC comercial;

    MALICIOSA: um atacante pode criar um certificado autoassinado.

  • Autoridade Certificadora Raiz (ACR) possue um certificado autoassinado, uma vez que não há nenhuma outra AC acima dela. O certificado autoassinado é aquele em que o dono e o emissor é a mesma entidade. Além disso, o certificado autoassinado não pode ser caracterizado como sendo totalmente seguro, nem como totalmente inseguro, visto que, apesar de prover integridade e confidencialidade, não provê autenticação, uma vez que não há garantias relativas ao certificado em uso. Os certificados autoassinados podem ser classificados de forma legítima ou maliciosa.

    LEGÍTIMA:pequenos grupos que pretendem prover integridade e confidencialiade nas conexões, porém, às vezes, não podem arcar com os custos para obter um certificado digital validado por uma AC comercial;

    MALICIOSA: um atacante pode criar um certificado autoassinado.

  • kkkkkkkk racho o bico com esse ANTONIO S. maluco copia e reposta o comentário de todo mundo