SóProvas


ID
205492
Banca
FEPESE
Órgão
SEFAZ-SC
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca dos sistemas criptográficos e dos algoritmos de função hash, julgue as afirmativas abaixo.

1. O algoritmo SHA-1 é um exemplo de função geradora de digest (resumo) adotado no processo de assinaturas digitais. Este algoritmo possui vulnerabilidades já comprovadas no que se refere a resistência a colisões, porém continua sendo amplamente adotado em assinaturas de documentos digitais.

2. Em um sistema de cadastro de usuários, antes de ser salva no banco de dados, a senha do usuário é criptografada com uma função hash unidirecional. Em caso de perda de senha, para recuperar a senha armazenada no banco, o sistema decifra a senha usando o algoritmo AES e a envia para o cliente.

3. Em sistemas criptográficos assimétricos que utilizam o algoritmo RSA, para se garantir a confidencialidade de uma mensagem, o emissor da mensagem deve cifrá-la usando sua chave privada RSA. Já o receptor da mensagem deverá decifrar a mensagem utilizando a chave pública do emissor.

4. Os algoritmos simétricos, que utilizam a mesma chave para cifrar e decifrar mensagens, podem oferecer cifragem de fluxo e cifragem de blocos. DES, 3DES e AES são exemplos de algoritmos simétricos que oferecem cifra de blocos.

5. Os algoritmos simétricos, como o DES e 3DES, são considerados mais eficientes, do ponto de vista de desempenho computacional, quando comparados com os algoritmos assimétricos, como o RSA.

Assinale a alternativa que indica todas as afirmativas corretas.

Alternativas
Comentários
  • 4 - CERTO
    Os algoritmos de chave simétrica podem ser divididos em cifras de fluxo (ou contínuas) e em cifras por bloco. As cifras de fluxo cifram osbits da mensagem um a um, enquanto que as cifras por bloco pegam um número de bits e cifram como uma única unidade. Tipicamente são utilizados blocos de 64 bits; o algoritmo AES aprovado pelo NIST em dezembro de 2001 usa blocos de 128, 192 ou 256 bits e chaves de 128, 192 ou 256 bits. Contudo, os algoritmos de chave simétrica raramente são usados sozinhos. Alguns exemplos de algoritmos simétricos populares e bem reputados incluem Twofish, Serpent, AES, Blowfish, CAST5, RC4, 3DES, e IDEA.
     
    Bons Estudos
    Marcelo
  • Acho que a única que gerava dúvidas era o Item I)

    Bem, leiam o texto abaixo:

    SHA-1 quebrado definitivamente

    Agora já era, o SHA-1 já não pode mais ser usado para assinaturas digitais.

    Pesquisadores da Universidade Macquarie em Sydnei, Austrália, conseguiram gerar colisões no algorítmo do SHA-1, em apenas 2^52 operações, o que é muito mais crítico do que o ataque anterior de 2^63 operações. Esse valor torna possível sua quebra por organizações com recursos disponíveis e interesse suficiente para isso.

    O SHA-1 tem estado sob ataque desde 2005, quando a primeira criptoanálise foi publicada, com 2^69 operações. Em seguida, veio o ataque com 2^63 operações. Agora, finalmente, com 2^52 operações é possível que até o final do ano, tenhamos colisões tornando esse algoritmo tão inseguro quanto o MD5.

    A solução é utilizar o SHA-2, enquanto a competição organizada pelo NIST para a criação da nova família de algoritmos de hash SHA-3 não for concluída, por volta do final de 2012.

    Os Padrões e Algoritmos Criptográficos da ICP-Brasil permitem o uso da família SHA-2 para assinatura digital, bem como do SHA-1.
  • Prezados,

    O item 2 está errado pois o processo de geração de hash não é bidirecional , dessa forma a senha não seria recuperável.
    O item 3 está errado pois se a mensagem for cifrada com a chave privada do emissor e decifrada com sua chave publica , não será garantida a confidencialidade e sim a autenticidade e não repúdio.

    Portanto a alternativa correta é a letra D


  • Conforme mencionado pelo colega, também não imaginava sobre esse uso contínuo do SHA-1.

     

    Como a questão é antiga e pelo o que encontrei, acredito que atualmente a afirmação do item I estaria errada ao dizer "continua sendo amplamente adotado".

     

    ...após a publicação de ataques nos predecessores do SHA-1, que sugeriram que o SHA-1 é vulnerável [Randall e Szydlo 2004], o NIST anunciou que ele vai ser substituído por versões de resumo SHA mais longas nos softwares do governo dos Estados Unidos [NIST 2004].
    Fonte: Sistemas Distribuídos - 5ed: Conceitos e Projeto - George Coulouris, Jean Dollimore, Tim Kindberg, Gordon Blair

     

    II - para geração do "digest" (resumo do documento) devem ser utilizados os algoritmos de "hashing" SHA-1 (RFC 3174) ou SHA- 256 (RFC 4634);
    Fonte: Banco Central do Brasil - CARTA-CIRCULAR Nº 3.520, DE 29 DE AGOSTO DE 2011

     

    Em 2005, criptoanalistas descobriram ataques sobre SHA-1, sugerindo que o algoritmo poderia não ser seguro o suficiente para uso continuado.[3] O NIST exigiu que várias aplicações utilizadas em agências federais mudassem para SHA-2 depois de 2010 devido à fraqueza descoberta. Em novembro de 2013, a Google anunciou sua política de rebaixamento sobre o SHA-1, de acordo com a qual o Chrome irá deixar de aceitar certificados SHA-1 em SSL de forma gradual em 2017. Em 23 de fevereiro de 2017, o grupo CWI Amsterdam e a Google anunciaram um ataque prático de colisão contra o SHA-1.Como prova de conceito, foram distribuidos dois diferentes arquivos PDF que produzem o mesmo hash SHA-1.
    Fonte: Wikipédia

  • assinatura digital - MD5, SHA-1

    criptografia simétrica - DES, AES, RC4

    criptografia assimétrica - RSA