SóProvas

GABARITO - C

O termo HTTPS (Hyper Text Transfer Protocol Secure) é uma regra que permite ao seu computador trocar informações com um servidor que abriga um site. Uma vez conectadas sob esse protocolo, as máquinas podem receber e enviar qualquer conteúdo textual (códigos que resultam na página vista pelo usuário). O protocolo HTTPS insere uma camada de proteção na transmissão de dados entre o dispositivo do usuário e o servidor dos sites. A comunicação entre as máquinas é criptografada, aumentando significativamente a segurança dos dados. É como se o dispositivo do usuário e o servidor conversassem uma língua que só os dois entendessem, dificultando a interceptação das informações.

Errei por não entender como "um conjunto de chaves"...

"Quando se acessa um sítio seguro pelo protocolo HTTPS, o navegador gera um conjunto de chaves criptográficas que é enviado ao servidor por meio de um algoritmo de troca de chaves."

isso não está livros, façam um comentário que explique a questão

O HTTPS também pode ser chamado de HTTP por SSL ou TLS, pois o que ocorre é o encapsulamento do tráfego HTTP em um canal criptografado e seguro utilizando-se o SSL ou o TLS. Você pode ouvir que o SSL e o TLS são a mesma coisa, mas o SSL 3.0, a última revisão do SSL, foi descontinuado em 2015 e o TLS 1.2 é a revisão atual recomendada, e a versão 1.3 ainda está em andamento. Agora, é importante dizer que o TLS é independente do HTTPS. Na verdade, ele é um protocolo genérico que permite comunicações e autenticações seguras através de uma rede.

De acordo com a teoria dos conjuntos, um conjunto pode ter somente um elemento (conjunto unitário). O desafio será quando devemos aplicar a teoria dos conjuntos nas questões Cespe.

Acho que meu entendimento estava um pouco equivocado: acreditava que, ao acessar um site em HTTPS, o conjunto de chave já estava criada pela AC e o site estava utilizando esse certificado. Quando o usuário acessa o site com seu navegador, este só iria utilizar-se do certificado e não gerar as chaves.

???

O servidor do site que está sendo acessado envia uma chave pública ao browser, usada por este para enviar uma chamada secreta, criada aleatoriamente. Desta forma, fica estabelecida a troca de dados criptografados entre dois computadores.

Baseia-se no protocolo TCP da suíte TCP/IP e utiliza-se do conceito introduzido por Diffie-Hellman nos anos 70 (criptografia de chave pública) e Phil Zimmermann (criador do conceito PGP).

O protocolo base para este tipo de cifragem é o SSL/TLS

O principal objetivo do protocolo TLS é garantir a privacidade e a integridade dos dados em uma comunicação entre duas aplicações. O protocolo é composto de duas camadas: o protocolo de Registro (TLS Record Protocol) e os protocolos Handshaking (TLS Handshaking Protocols)

O primeiro se localiza acima de um protocolo de transporte confiável (por ex: TCP), provendo a segurança da conexão que apresenta duas propriedades:

   A conexão é privada. É utilizada criptografia simétrica para encriptação dos dados, por exemplo. As chaves para esta encriptação simétrica são geradas unicamente para cada conexão e são baseadas em um segredo negociado (ou negociação secreta) por um outro protocolo, neste caso o protocolo Handshake (chave gerada aleatoriamente no início da sessão). O protocolo de Registro pode ser usado sem criptografia.

   A conexão é confiável. O transporte da mensagem inclui uma verificação da integridade da mensagem, utilizando uma keyed-HMAC (Hashing Message Authentication Code). Funções hash seguras são utilizadas para computação da MAC. O protocolo de Registro pode operar sem uma MAC, porém geralmente, só é utilizado desta maneira, enquanto outro protocolo está usando o protocolo de Registro como transporte para a negociação dos parâmetros de segurança.

GABARITO: CERTO

Em sites com endereço HTTPS, a comunicação é criptografada, aumentando significativamente a segurança dos dados. É como se cliente e servidor conversassem uma língua que só as duas entendessem, dificultando a interceptação das informações.

"Se não puder se destacar pelo talento, vença pelo esforço"

Criptografia Assimétrica é mais lenta que a Criptografia Simétrica. A Criptografia Híbrida utiliza um algoritmo de Criptografia Assimétrica para trocar chaves simétricas - chamadas chaves de sessão - de forma segura. O SSL utiliza as chaves de sessão para criptografar e decriptografar informações.

(Info obtida do material do Estratégia).

GABARITO: CERTO

Essa é a forma do estabelecimento de uma sessão pelo SSL/TLS. Questão certa.

Pra quem veio aqui entender qual é o 'conjunto' de chaves: até agora ninguém comentou algo útil pra esclarecer esse ponto, só escreveram textos com outras informações. Também ainda estou sem entender, pois como a criptografia é simétrica só há uma chave gerada após o handshake. Pra tentar contribuir de alguma forma, segue a conclusão do comentário do prof do tec:

"Voltando a questão. O navegador gera uma pré-chave que é enviada ao servidor e utilizada por ambos para calcular a chave de sessão. O problema na questão é afirmar que é enviado um conjunto de chaves, quando na verdade é uma. E quando se fala de CESPE, sempre nos atentamos aos detalhes. Na minha opinião, por esse detalhe, o gabarito deveria ser errado."

[1] HTTPs é a utilização do protocolo HTTP (HyperText Transfer Protocol) em conjunto com o protocolo SSL (Secure Socketes Layer), Este protocolo provê encriptação de dados, autenticação de servidor, integridade de mensagem e, opcionalmente, autenticação de cliente para uma conexão TCP/IP.

[2] SSL é um protocolo construído sobre o Change CeipherSpec - O Cipher Suite consiste em quais métodos serão usados para troca de chaves (Key Exchanges), transferência de dados e criação de código de autenticação de mensagem.

SSL atua como uma subcamada de Aplicação da arquitetura TCP/IP, posicionada entre esta e a camada de Transporte.

Algoritmos utilizados pelo SSL:

• Algoritmos simétricos: estes algoritmos são utilizados no sigilo dos dados trafegados durante uma sessão SSL. Na atual especificação do SSL são usados os algoritmos RC4, DES, 3DES, RC2, IDEA e Fortezza (cartão PCMCIA que provê tanto cifragem como assinatura digital).
• Algoritmos assimétricos e de derivação de chaves: algoritmos utilizados para a troca de chaves e para o processo de assinatura digital. Neste grupo estão o RSA, o DAS (somente assinatura) e o Diffie-Hellman (derivação de chaves).
• Algoritmos de hash: usados para prover a integridade das mensagens enviadas e no processo de criação dos segredos. São especificados o MD5 e o SHA.

FONTE:

[1] https://www.ibm.com/support/knowledgecenter/pt-br/SSEQTJ_9.0.5/com.ibm.websphere.ihs.doc/ihs/sec_overview.html

[2] https://www.ic.unicamp.br/~rdahab/cursos/mp202/Welcome_files/trabalhos/SSL/texto/SSL_Texto.pdf

CERTO

Quando acessamos uma página WEB com o HTTPS (SSL/TLS) há uma troca de chaves criptográficas para garantir a confidencialidade e autenticidade da comunicação. Certo 

Hachid Targino

o navegador gera um conjunto de chaves criptográficas que é enviado ao servidor por meio de um algoritmo de troca de chaves?

• para mim isso aí é marmota. Visto que primeiro o servidor envia uma parte do seu certificado digital (parte pública), logo após há a troca de chaves públicas entre servidor e cliente.

(CESPE - Q4039) As aplicações web que necessitam de segurança criptográfica dos dados transmitidos entre o navegador (cliente) e o servidor web utilizam o protocolo SSL/TLS para o estabelecimento de sessões seguras. Acerca do SSL/TLS e suas aplicações, julgue os itens a seguir.

Durante a fase de transmissão de dados, os dados são cifrados com criptografia simétrica. CERTO

COMPLEMENTANDO..

O protocolo TLS e SSL combinam as criptografias simétrica e assimétrica, para contornar o problema do segredo. A criptografia assimétrica é usada para negociar a chave secreta da criptografia simétrica. Essa chave secreta é a que será usada no decorrer da conexão.

gab.: CERTO

FONTE: Prof. Hachid + CESPE

Usando todos os dados gerados no handshake até o momento, o cliente, que pode ter a cooperação do servidor, dependendo da cifra sendo usada, cria uma pré-chave (pre-master secret) para a sessão, a criptografa com a chave pública do servidor (obtida do certificado digital do servidor) e envia a pré-chave criptografada para o servidor.

No caso do protocolo HTTPS é utilizado a Criptografia ASSIMÉTRICA e depois a SIMÉTRICA!

No link abaixo está toda a explicação:

https://devcontent.com.br/artigos/redes/como-funciona-o-protocolo-https-que-torna-a-web-mais-autentica-e-segura

LEMBRETE: HTTPS usa criptografia ASsimétrica (isso ajudava a responder essa questão e já foi cobrado em outra ocasião).

Q51942 - CESPE - STJ - 2008

HTTPS (hyper text transfer protocol secure), que verifica um certificado digital por meio de criptografia simétrica, é uma implementação do protocolo HTTP sobre uma camada SSL ou TLS. ERRADO.

LEMBRETE: HTTPS usa criptografia ASsimétrica (isso ajudava a responder essa questão e já foi cobrado em outra ocasião).

Q51942 - CESPE - STJ - 2008: HTTPS (hyper text transfer protocol secure), que verifica um certificado digital por meio de criptografia simétrica, é uma implementação do protocolo HTTP sobre uma camada SSL ou TLS. ERRADO.

O HTTPS usa a criptografia híbrida, ou seja, usa criptografia assimétrica só para a troca de chaves, e para a transmissão de dados, ele usa a simétrica (é mais rápida na transmissão).

Ele usa o protocolo SSL/TLS para oferecer segurança.

O protocolo HTTPS é baseado no uso de Certificado

Digital e sempre que se usa um, ocorre a troca de chaves

entre cliente e servidor. Ou seja, o uso das chaves públicas

e privadas.