SóProvas

ID
195493
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Em ano de eleições gerais, é comum haver discussões na
sociedade acerca da possibilidade de se fazer a votação pela
Internet. Na concepção de um sistema hipotético de votação pela
Internet, foram evidenciados os seguintes requisitos relacionados
com a segurança da informação do sistema.

* Cada votante deverá ser autenticado pelo sistema por
certificado digital, cuja chave privada deve ser armazenada
em dispositivo de mídia removível (pendrive) ou smartcard.
O acesso a essa informação deverá ser protegido por uso de
identificador pessoal numérico (PIN), de uso exclusivo de
cada votante e que deve ser mantido secreto pelo votante.
*autoridade certificadora confiável. A lista de autoridades
certificadoras confiáveis aceitas é de conhecimento dos
votantes, que se responsabilizarão pela obtenção do certificado
digital apropriado junto à autoridade de registro/autoridade
certificadora apropriada.
* Os votantes aptos a participar da votação deverão ser
previamente cadastrados no sistema. Não serão recebidos
votos de indivíduos não cadastrados previamente, mesmo que
estes detenham um certificado digital compatível com o
sistema.
* Por questões de economicidade, não será requerido o uso de
pin pad seguro para digitação do PIN no momento da
autenticação do votante. Assim, a entrada do PIN poderá ser
realizada pelo teclado do terminal usado para acesso à
Internet.
* A sessão entre o navegador de Internet usado como interface
de cliente do sistema de votação e o servidor de aplicação que
disponibiliza a aplicação do sistema deverá utilizar protocolo
TLS/SSL com autenticação do cliente e do servidor. Para
autenticação do cliente TLS/SSL, será utilizado o certificado
digital supramencionado.

Com relação à situação descrita acima, julgue os itens que se
seguem.

A chave privada do certificado possui resistência à intrusão (tamper proof) provida pelo hardware que a armazena.

Alternativas
Comentários

  • O pendrive não possui resistência a intrusão. Mesmo que ele possa criptografar os dados, essa criptografia seria via software e não via hardware como afirma a questão.

  • HÁ ERRO EM AFIRMAR QUE A CHAVE PRIVADA FAZ PARTE DO CERTIFICADO!
  • No caso do pen drive o tamper-proof é obtido via software e não via hardware.
  • Mais uma questão muito mal elaborada pelo CESPE. Pen Drive e smartCard são dispositivos que funcionam de maneira bem diferente.
  • A questão fala de tamper proof. Tampering é a alteração de alguma coisa. Tamper proof, então, seria um sistema que não pode ser alterado e não resistente à intrusão. Além disso, o pen-drive em si não fornece hardware seguro contra invasão ou alteração.
  • Certificado Digital não possui chave privada.

  • Se pensar em questão de chaves, sabe-se que o Certificado Digital possui apenas a chave PÚBLICA do seu utilizador e isso já descartaria a questão.

    De fato, quem possui essa resistência são os cartões inteligentes ou os Tokens, os quais são protegidos de tal forma que é impossível fazer a leitura de suas chaves privadas!

    Assim, sabe-se que o Certificado Digital possui apenas a chave pública mais os dados daquele que o utilizará (entidade final).
    A Autoridade Certificadora gera um hash dessas informações (chave pública  + dados) e as criptografa com a sua chave privada.

     

     

     

  • a resistência à intrusão é provida pelo hardware em combinação com o elemento humano (o votante que sabe o PIN)