SóProvas


ID
1872121
Banca
CESPE / CEBRASPE
Órgão
Telebras
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

      As duas filiais de determinada empresa são distantes geograficamente e necessitam trocar informações, por meio eletrônico, preservando-se o sigilo e a integridade. Essa empresa precisa gerar um código para ser anexado a documentos digitais e documentos impressos; esse código poderá ser utilizado para atestar a autenticidade desses documentos.

Tendo como referência essa situação hipotética, julgue o item a seguir a respeito de criptografia e certificação digital.


É possível garantir a integridade e o não repúdio de qualquer documento digital disponibilizado para clientes de empresas por meio da utilização de um certificado digital autoassinado.

Alternativas
Comentários
  • (E) 

    Como diz,o mestre Fernando Nishimura, restringiu,menosprezou,generalizou 95% de chance da questão estar errada e essa é mais uma para confirmar.

  • Acredito que o grande erro da questão não está em citar "qualquer documento digital". O problema aqui é o certificado digital ser autoassinado.
    Quando uma organização autoassina seu certificato acaba a cadeia de confiança da PKI.
    É a mesma coisa que pegar um pedaço de papel, colar uma foto minha, assinar e dizer que é um documento de identidade válido. Não é porque não há cadeia de confiança: um terceiro confiável precisa gerar essa identidade (um órgão público, por ex.).

     

    Assim, ao autoassinar o certificado acaba a segurança porque o certificado poderia ser trocado e autoassinado pelo atacante, caindo por terra as premissas que a questão afirma (não repúdio e integridade).

    Por isso, errado.

  • Errado. O uso malicioso, descrito abaixo, torna a questão incorreta.

     

    Certificado autoassinado: é aquele no qual o dono e o emissor são a mesma entidade.  Costuma ser usado de duas formas:

     

    Legítima: além das ACs raízes, certificados autoassinados também costumam ser usados por instituições de ensino e pequenos grupos que querem prover confidencialidade e integridade nas conexões, mas que não desejam (ou não podem) arcar com o ônus de adquirir um certificado digital validado por uma AC comercial.

     

    Maliciosa: um atacante pode criar um certificado autoassinado e utilizar, por exemplo, mensagens de phishing (detalhes na Seção 2.3 do Capítulo Golpes na Internet), para induzir os usuários a instalá-lo. A partir do momento em que o certificado for instalado no navegador, passa a ser possível estabelecer conexões cifradas com sites fraudulentos, sem que o navegador emita alertas quanto à confiabilidade do certificado.

     

    FONTE: https://cartilha.cert.br/criptografia/

     

  • Assertiva ERRADA. 

     

    Se o certificado for autoassinado, não há garantias de que ele ou o titular sejam idôneos. É preciso que uma autoridade certificadora autentique.

  • Corroborando...

     

    (Q408963) Ano: 2014 Banca: CESPE Órgão: TJ-SE Prova: Analista Judiciário - Suporte Técnico em Infraestrutura

     

    Um certificado comum autoassinado é, em princípio, menos seguro que um certificado assinado por outra autoridade certificadora. (C)

     

     

    (Q408964) Ano: 2014 Banca: CESPE Órgão: TJ-SE Prova: Analista Judiciário - Suporte Técnico em Infraestrutura

     

    Os certificados mutuamente assinados são mais seguros que os assinados por uma terceira autoridade certificadora. (E)

  • Os certificados digitais podem ser emitidos tanto por uma Autoridade Certificadora, quanto por Autoassinado (este pode ser seguro, como também pode ser malicioso).

  • Certificado autoassinado NÃO garantem autenticidade, mas PODEM garantir confidencialidade e integridade, pois essas dependem apenas dos algoritmos (não da AC).

    fonte: Diego Carvalho com minhas palavras (combinação perfeita).

  • Lembrar: Certificado autoassinado NÃO garantem autenticidade, mas PODEM garantir confidencialidade e integridade, pois essas dependem apenas dos algoritmos (não da AC).

  • AssINAtura Digital ➜ INA ➜ Integridade, Não-repúdio, Autenticidade;

    CertIficAdo Digital ➜ CIA ➜ Confidencialidade, Integrifdade, Autenticidade;

    • CertIficAdo Digital ➜ CIA ➜ Confidencialidade, Integridade, Autenticidade;
    • AssINAtura Digital ➜ INA ➜ Integridade, Não-repúdio, Autenticidade;
    • certificação digital e a assinatura digital baseia-se na criptografia de chave pública   (assimétriCAs).

    @focopolicial190 #rumo DEPEN/PRF-2021

  • ERRADO

    (CESPE /TCE-PA / 2016) Um certificado digital contém, além de atributos específicos do usuário, uma chave pública, assinada digitalmente por entidade confiávelresponsável pela emissão do certificado ou pela autenticação da entidade emissora.

    (CESPE / FUB / 2016) Certificados digitais permitem a verificação de identidade entre pessoas desconhecidas, desde que sejam autoassinados. ERRADO

    É preciso que o certificado seja assinado pela Autoridade Certificadora para garantir a autenticidade.

  • Integridade + Autenticidade = Não-Repúdio