-
GABARITO C.
a) exemplos : as informações, os equipamentos (hardwares) e sistemas (softwares) e as pessoas que fazem o uso desse conjunto.
c) Vulnerabilidades são brechas nos sistemas desatualizados ou mal desenvolvidos, que usuarios mal intencionados usam para acessar os conteudos.
d)Assinatura digital é continuação natural da criptografia assimétrica, ela garante se a mensagem realmente está vindo daquele emissor, ou seja garantirá a autenticidade do remetente e também a integridade da mensagem.
-
A alternativa c) é a incorreta pelo fato de as palavras da oração estarem trocadas.
Vulnerabilidade é a fragilidade de um ativo que pode ser explorado por uma ameaça.
-
A assinatura digital é criada pelo emissor; A criptografia assimétrica, pelo receptor
-
Apesar do conceito de Ativo estar errado, a C é a "mais" errada.
-
Cuidado com os comentários. A criptografia assimétrica não é criada pelo receptor, nem pelo emissor. A criptografia assimétrica é uma técnica de criptografia que utiliza chave pública e privada. Ela foi criada por algum matemático/cientista na época. Nada a ver o que ele falou ae.
-
RISCO: É a fonte de ameaça que explora uma vulnerabilidade, levando um impacto para o funcionamento de uma organização, como mal funcionamento, roubo de informações entre outros impactos;
VULNERABILIDADE: Também pode ser chamada de falha ou fraqueza, por exemplo, uma parede rachada, dentro de uma rede podemos encontrar esta “rachadura”, ou falha, em um design mal panejado, implementação mal realizada, ou até em controles internos de um sistema mal realizado, levando a rede a abrir pequenas falhas na política de segurança.
AMEAÇA: É a possibilidade de um agente, interno ou externo, explorar acidentalmente ou propositalmente uma vulnerabilidade específica.
-
Assinatura digital
Analisar assinatura digital é a continuação natural da criptografia assimétrica. Por enquanto, ainda estamos no “mundo das ideias”, mas já traremos esses conceitos para o nosso dia a dia. Peço sua paciência! Você deve ter percebido que a criptografia baseada em chave assimétrica garante a confidencialidade da mensagem, pois, apenas o destinatário da mesma consegue decifrá-la. Até aí tudo bem, mas quem garante que a mensagem realmente está vindo daquele emissor? Afinal de contas, qualquer um pode enviar uma mensagem para Fábio. A chave pública de Fábio é pública, não é mesmo? É nesse contexto que entra a assinatura digital. Ela garantirá a autenticidade do remetente e a integridade da mensagem. Vamos ver como? Assinatura digital baseada em Chave Pública
A assinatura digital requer que emissores e receptores conheçam as chaves públicas uns dos outros. Assim, quando a entidade emissora quer enviar uma mensagem assinada digitalmente a outra entidade, aquela terá que cifrar a mensagem com a sua chave privada e, em seguida, cifrar o resultado com a chave pública da entidade receptora.
Por sua vez, a entidade receptora ao receber a mensagem terá que decifrá-la primeiro com a sua chave privada e de seguida decifrar este resultado com a chave pública da entidade emissora. O receptor pode provar a recepção de qualquer mensagem através do criptograma resultante da decifragem com a sua chave privada. Note-se que ele consegue decifrá-lo mas nunca conseguiria produzi-lo uma vez que desconhece a chave privada do emissor.
Se, além de cifrar a mensagem com a chave pública de Fábio, Thiago cifrar também com sua própria chave privada, Fábio não só conseguirá ler a mensagem, como também garantirá que a mensagem realmente é de Thiago, pois a chave pública de Thiago também decifra mensagens cifradas pela chave privada de Thiago.
Assinatura digital baseada em Chave Secreta Esta aproximação requer a existência de uma autoridade central que sabe tudo e em quem todos confiam. Cada entidade escolhe uma chave secreta e a repassa à autoridade central. Desta forma só autoridade central e a própria entidade têm conhecimento da sua chave secreta. Quando uma entidade quer enviar uma mensagem assinada digitalmente à outra, terá que a cifrar, com a sua chave secreta, e enviá-la à autoridade central. A mensagem passará pela autoridade central que a decifrará com a chave secreta da entidade emissora. A esta mensagem será concatenada uma estampilha que só a autoridade central consegue gerar e decifrar. O resultado será cifrado com a chave secreta da entidade receptora e enviado. Desta forma, o receptor pode provar a recepção de qualquer mensagem através da estampilha recebida (só a autoridade central consegue produzir uma).
-
Assinatura digital baseada em funções de hash
Uma das críticas que se podem fazer à aproximações apresentadas anteriormente é que elas juntam duas funções distintas: autenticação e privacidade. Muitas vezes, é necessária a autenticação, mas não existe qualquer interesse de privacidade. Uma vez que a cifragem de uma mensagem com criptografia de chaves públicas é normalmente lenta, é frequentemente desejável enviar uma mensagem assinada digitalmente sem preocupação de que ela seja lida por outros.
Desta forma não será necessário cifrar toda a mensagem. Este esquema baseia-se nas funções de sentido único (one-way hash functions) e tem como base a cifragem de uma parte, arbitrariamente longa, da mensagem, obtendo como resultado o chamado messagedigest(resumo). Esse resumo possui tamanho fixo, independentemente do tamanho da mensagem. Desta forma, a entidade emissora terá que gerar o message-digest e cifrá-lo (assiná-lo) com a sua chave privada.
De seguida poderá enviar a mensagem (cifrada ou não) concatenada com a sua assinatura. A entidade receptora decifrará a assinatura com a chave pública da entidade emissora (previamente publicada) e verificará se o message-digest é o esperado. Como pode ser facilmente percebido, as entidades comunicantes devem assegurar-se que conhecem as verdadeiras chaves públicas umas das outras e não quaisquer outras ilegalmente publicadas, a troco da segurança do sistema poder ficar comprometido.
Para garantir isso, i.e., para fazer a distribuição de chaves públicas de forma segura, usa-se o conceito de certificado, um objeto que contém a chave pública de uma dada entidade assinada digitalmente por uma entidade de confiança, conhecida por autoridade certificadora (CA).
Quem garante que aquele emissor realmente é legítimo? Ou seja, quem garante a Fábio que o Thiago realmente é o Thiago, e não alguém se passando por Thiago? A dica foi dada na última modalidade de assinatura digital. É hora de estudarmos o Certificado Digital.
Em um certificado digital, poderão ser encontradas as seguintes informações:
− versão e número de série do certificado. − dados que identificam quem emitiu o certificado (assinatura da AC). − dados que identificam o dono do certificado (nome, registro civil). − validade do certificado. − chave pública do dono do certificado (a chave privada fica apenas com o dono). − algoritmo de assinatura. − versão e número de série do certificado. − requerente do Certificado.
-
Vulnerabilidade é a fragilidade de um ativo que pode ser explorado por uma ameaça.
-
Vamos ao comentários:
Vulnerabilidade é a fragilidade de uma ameaça que pode ser explorado por um ativo. Isso não é o conceito de vunerabilidade e sim de "RISCO"
-
Vulnerabilidade é a fragilidade de um ativo que pode ser explorada por uma ou mais ameaças. Esta seria a frase correta. No intem C eles trocaram.
-
Ativo: qualquer coisa que tenha valor para a organização. [ISO/IEC 13335-1:2004]
Ameaça: causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização. [ISO/IEC 13335-1:2004]
Vulnerabilidade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. [ABNT NBR ISO/IEC 27002:2005]
letra C está errada só pq inverteu as palavras.