SóProvas

Onde estaria o erro da C?

@PauloFilho você pode associar os diversos vazamentos de dados/senhas que ocorrem frequentemente a essa afirmativa, sendo assim ela é incorreta.

Gab: B. 

O hash é gerado de tal forma que não é possível realizar o processamento inverso para se obter a informação original e que qualquer alteração na informação original produzirá um hash distinto. Apesar de ser teoricamente possível que informações diferentes gerem hashes iguais, a probabilidade disto ocorrer é bastante baixa.

Fonte: https://cartilha.cert.br/criptografia/

Também acreditei que a letra C estivesse correta assim como a B.

Retornando ao conceito de Hash só posso presumir que o examinador entende que o conceito de hash não garante que as senhas são armazenadas de forma segura na base de dados, em outras palavras, hash garante a INTEGRIDADE, mas não o armazenamento de forma segura.

De toda forma ainda tenho dúvidas quanto ao entendimento pela banca.

 c)

Aplicações web utilizam funções de hash para armazenar senhas nas respectivas bases de dados de forma segura. Desse modo, caso alguma senha vaze, o atacante não possui formas de visualizar essa informação em texto claro

na minha opnião o erro, está na afirmação que nao possui formas de visualizar a informação, sendo que existem formas de conseguir a informação

Ninguém? OK...

Alternativa correta: B. 

a) ERRADA: hash não permite obter a informação original a partir do resumo (unidirecionalidade);

b) CORRETA;

c) ERRADA: ele pode descobrir a senha em claro através de um ataque de colisão. Ele também pode recorrer à bases de dados de hashes para ver se encontra uma correspondência. Além disso, para todos os fins, o hash não garante 100% que a informação original não vai ser descoberta;

d) ERRADA: acrescenta um valor fixo padrão para compor a mensagem original e DIFICULTAR a obtenção da mensagem original;

e) ERRADA: só ocorre colisões em casos raros, mas ocorrem. Isso não significa que sempre haverá colisões, como a questão dá a entender. 

A Questão caberia recurso com pedido de anulação! 

Complementando os comentários sobre a letra C, deve-se considerar que o MD5 e o SHA-1 já são considerados quebrados, havendo técnicas que permitem ao atacante obter a informação equivalente em texto claro (ainda que por colisão).

Características da função Hash

1- Dever ser impossível encontrar a mensagem original a partir do hash

2-O hash deve parecer aleatório, mesmo que o algoritmo seja conhecido

3- Uma função hash é forte se a mudança de qualquer bit na mensagem resulta em um novo hash diferente

4-deve ser impossível encontrar duas mensagens diferentes que levam a um mesmo hash

Erro da letra C é dizer que armazena senha, quando na verdade se armazena só o HASH. Quando o usuário insere a senha, usa a função hash e compara com hash armazenado.

LETRA B

a) São unidirecionais porque o hash não pode ser desfeito. Não dá para fazer um "deshash"

c)Aplicações Web usam algoritmos SIMÉTRICOS

d) Salt é adicionar uma informação a mais ao hash, torna o processo mais seguro. Por Exemplo, se o facebook adicionasse o seu id de usuário, sem você saber, na sua senha, para formar uma senha ainda mais forte.

e)Colisão é a possibilidade de mensagens DIFERENTES gerarem um mesmo HASH.

A) Funções de hash são funções de criptografia unidirecional. Assim, permitem que a informação protegida por ela seja revelada com base em funções de retorno.

Errada. conhecido um resumo h(M), deve ser computacionalmente impossível encontrar M a partir do resumo.

B) Um perito, ao realizar a cópia de um disco rígido, pode utilizar funções de hash criptográfico para garantir que a cópia realizada reflita fielmente as informações presentes no disco rígido original.

Ok.

C) Aplicações web utilizam funções de hash para armazenar senhas nas respectivas bases de dados de forma segura. Desse modo, caso alguma senha vaze, o atacante não possui formas de visualizar essa informação em texto claro.

Tiago Viana, a letra C é a mais errada de todas, pois tem dois erros: dizer que armazena senha, quando na verdade se armazena só o HASH e o outro erro, bem grosseiro, mas pegadinha, é que se a senha vazar, como a questão diz, o atacante, usando a propria senha vazada, logicamente, visualiza a informação em texto claro(o correto seria dizer "se o hash vazar").

Danilo, aplicações web utilizam funções de hash para armazenar senhas(hashes) nas respectivas bases de dados de forma segura. Muito cuidado, as bases de dados não armazenam senhas coisa nenhuma, mas apenas os hashes das senhas geradas. E o erro que você apontou não tem fundamento. A unidirecionalidade dos hashes garante ser computacionalmente impossivel ao atacante possuir formas de visualizar essa informação em texto claro, tendo o hash.

D) O Salt é uma informação extra que, ao ser inserida na chave de geração do hash, permite que o resultado da função de resumo criptográfico possa retornar a informação inicial, se necessário.

Salt é adicionar uma informação a mais ao hash, retirada do proprio conteudo da mensagem, para tornar o processo mais seguro.

E) A colisão é a capacidade do algoritmo de hash de gerar o mesmo resumo para o mesmo conjunto de dados aplicado a ele como entrada, em qualquer situação necessária.

e) Colisão é a possibilidade de mensagens DIFERENTES gerarem um mesmo HASH.

A letra C ao meu ver o erro está em dizer que não existem formas de visualizar o que está criptografado, sendo que há sites e ferramentas que fazem a descriptografia de textos cifrados com md5 por exemplo.

In cryptography, a salt is random data that is used as an additional input to a one-way function that hashes data, a password or passphrase. Salts are used to safeguard passwords in storage.

https://en.wikipedia.org/wiki/Salt_(cryptography)

Cópia da mídia de provas na recuperação de dados. É necessário o uso de assinatura hash para atestar a integridade.