Segurança da Informação Flashcards by Tiago Victor

No que consiste a segurança da informação?

A proteção de informações e de sistemas de informações contra acesso, uso, divulgação, interrupção, modificação ou destruição não autorizados.

How well did you know this?

Not at all

Perfectly

PARA FIXAR

Interrupção: a informação que deveria sair da fonte e chegar ao destinatário foi interrompida no meio do caminho e não chegou ao seu destino final;
Interceptação: a informação que sai da fonte chegou ao destinatário, mas foi interceptada por alguém não autorizado no meio do caminho que teve acesso ao seu conteúdo;
Modificação: a informação que saiu da fonte foi recebida por um terceiro (que não necessariamente a leu) e posteriormente enviada ao destinatário com alterações;
Fabricação: a informação não foi enviada pela fonte e, sim, por um terceiro se fazendo parecer ter sido a fonte e enviada ao destinatário.

How well did you know this?

Not at all

Perfectly

Quais três atributos (ou princípio ou propriedades) da Segurança da Informação?

Confidencialidade, integridade e disponibilidade.
CID.

How well did you know this?

Not at all

Perfectly

**PARA FIXAR*

Outros conceitos de segurança da informação

Conjunto de estratégias para gerenciar processos, ferramentas e políticas necessárias para prevenir, detectar, documentar e combater ameaças às informações organizacionais.

Salvaguarda de dados organizacionais contra acesso não autorizado ou modificação para assegurar sua disponibilidade, confidencialidade e integridade.

How well did you know this?

Not at all

Perfectly

A segurança da informação abrange que tipos de segurança?

I – a segurança cibernética;
II – a defesa cibernética;
III – a segurança física e a proteção de dados
organizacionais; e
IV – as ações destinadas a assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação”.

How well did you know this?

Not at all

Perfectly

A Segurança da Informação possui três princípios (também
chamados de propriedades ou atributos):

Confidencialidade
Integridade
Disponibilidade
conhecidos pela sigla CID

How well did you know this?

Not at all

Perfectly

CERTO OU ERRADO:

Quando os três princípios forem desrespeitados concomitantemente em algum momento, significa que houve um incidente de segurança da
informação.

ERRADO! Basta que apenas UM princípio seja violado para que haja um incidente de segurança.

How well did you know this?

Not at all

Perfectly

CERTO OU ERRADO:

Não existe hierarquia entre os princípios de Segurança da Informação.

CERTO!

How well did you know this?

Not at all

Perfectly

No que uma implementação de controles de segurança adequados inicialmente pode ajudar uma organização?

Ajuda a reduzir seus riscos a níveis aceitáveis.

How well did you know this?

Not at all

Perfectly

Os controles de segurança podem variar de acordo com a natureza. Quais os dois tipos de natureza que existem?

Físico e lógico (técnico).

How well did you know this?

Not at all

Perfectly

O que são os controles de natureza física?

São barreiras que impedem ou limitam o acesso físico direto às informações ou à infraestrutura que contém as informações.
Ex: portas, trancas, paredes, blindagem, vigilantes, geradores, sistemas de câmeras, alarmes, catracas, cadeados, salas-cofre,
alarmes de incêndio, crachás de identificação, entre outros

How well did you know this?

Not at all

Perfectly

No que consistem os controles de segurança de natureza lógica (técnica)?

Barreiras que impedem ou limitam o acesso à informação por meio do monitoramento e controle de acesso a informações e a sistemas de computação.
ex: senhas, firewalls, listas de controle de acesso, criptografia, biometria, IDS, IPS, entre outros.

How well did you know this?

Not at all

Perfectly

CERTO OU ERRADO:

O tipo de controle se dá em razão do método de autenticação e do recurso.

ERRADO! Ao contrário, se dá em razão do recurso e não do método de autenticação.

How well did you know this?

Not at all

Perfectly

PARA FIXAR

Se o recurso a ser acessado for físico, como uma casa, trata-se de um controle físico.
Se o recurso a ser acessado for um sistema, trata-se de um controle lógico (técnico).

How well did you know this?

Not at all

Perfectly

No que consiste um ativo em segurança da informação?

Qualquer coisa que tenha valor para instituição.
informações, pessoas, serviços,
software, hardware, documentos físicos, entre outros.

How well did you know this?

Not at all

Perfectly

CERTO OU ERRADO:

Informação é um ativo.

CERTO!

How well did you know this?

Not at all

Perfectly

PARA FIXAR

Informação é um ativo que, como qualquer outro ativo importante para os negócios, tem valor para a organização
e, por isso, deve ser adequadamente protegido.

CERTO!

How well did you know this?

Not at all

Perfectly

No que consiste um agente na segurança da informação?

A fonte produtora de um evento que pode ter um efeito adverso sobre um ativo de informação.
como um funcionário, meio ambiente, hacker, etc.

How well did you know this?

Not at all

Perfectly

O que são vulnerabilidades?

Fragilidades presentes ou associadas a ativos que, quando exploradas por ameaças, levam à ocorrência de incidentes de segurança.

How well did you know this?

Not at all

Perfectly

No que consiste uma ameaça?

Agente externo que, se aproveitando das vulnerabilidades, poderá quebrar a confidencialidade, integridade ou disponibilidade da informação, causando um desastre ou perda significativa em um ambiente, sistema ou ativo de informação.

How well did you know this?

Not at all

Perfectly

No que consiste um ataque?

Ataque é um evento decorrente da exploração da vulnerabilidade por uma ameaça com o intuito de obter, alterar, destruir, remover, implantar ou revelar informações sem autorização de acesso.

How well did you know this?

Not at all

Perfectly

CERTO OU ERRADO

Um ataque é um evento decorrente da exploração do risco ou da ameaça por uma com o intuito de obter, alterar, destruir, remover, implantar ou revelar informações sem autorização de acesso.

ERRADO! O ataque não explora o risco ou ameaça e sim a vulnerabilidade por meio de uma ameaça.

How well did you know this?

Not at all

Perfectly

No que consiste um evento?

Ocorrência identificada de um sistema, serviço ou rede, que indica uma possível violação da política de segurança da informação ou falha nos controles, ou uma situação previamente desconhecida, que possa ser relevante para a Segurança da Informação.

How well did you know this?

Not at all

Perfectly

No que consiste uma incidência?

Fato decorrente de um ataque bem-sucedido, com consequências negativas, uma ocorrência indicando uma violação, uma falha ou situação desconhecida, algo que possa ser relevante para a segurança da informação.

How well did you know this?

Not at all

Perfectly

No que consiste um impacto?

A abrangência dos danos causados por um incidente de segurança sobre processos de negócio.

No que consiste um risco da segurança da informação?

A probabilidade potencial da concretização de um evento causar danos a ativos da organização.

Qual a diferença entre as terminologias ameaça e risco?

Ameaça trata-se de dano potencial (se ocorrer o incidente, **PODE** ocorrer dano). Risco trata-se de dano real (se ocorrer o incidente **VAI** ocorrer dano).

CERTO OU ERRADO: Em geral, o risco trata da concretização de ameaças.

CERTO!

CERTO OU ERRADO: Tiago passou no concurso para Auditor Fiscal do Município de Jaboatão dos Guararapes. Ao ser nomeado, Tiago compra um carro. Nos dias de trabalho, ele costuma estacionar em local perigoso, onde há chances de o carro ser furtado. Certo dia, quando se aproxima do carro para voltar para casa, um meliante anuncia um assalto. Ele, então, rouba a sua chave e carteira, entra no veículo e sai cantando pneu. O agressor some com o carro, leva para um desmanche e você fica sem o carro para todo sempre. Do ponto de vista da segurança da informação, em quais terminologias poderia se enquadrar os seguintes casos: a) chances do carro ser furtado. b) anúncio do assalto c) o roubo do carro, da carteira e da chave d) o desmanche e consequência perda do carro pra sempre.

a) **ameaça** b) **risco** *(o carro ainda não foi roubado)* c) **ataque** d) **impacto**

No que consiste o princípio da integridade?

A capacidade de garantir que a informação manipulada está correta, fidedigna e que não foi corrompida. A conformidade dos dados armazenados com relação às inserções, alterações e processamentos autorizados efetuados.

CERTO OU ERRADO Confidencialidade e integridade são princípios dependentes.

ERRADO! São princípios independentes. A quebra de um princípio não implica a quebra do outro.

No que consiste o princípio da disponibilidade?

A propriedade de uma informação estar **acessível e utilizável sob demanda** por uma entidade autorizada.

Quais as três principais características do princípio da disponibilidade?

Robustez, oportunidade e continuidade. **ROC**

Há um investimento massivo em recursos que reduzem as chances de o sistema e suas informações ficarem indisponíveis. Quais são eles?

firewalls, backups, redundâncias, equipamentos de energia, entre outros...

CERTO OU ERRADO: O princípio da confidencialidade garante que a informação esteja disponível aos usuários autorizados sempre que necessário.

ERRADO! Esse é o princípio da **DISPONIBILIDADE**. A confidencialidade garante que a informação somente **esteja acessível para usuários autorizados.**

No que consiste o princípio da confidencialidade?

Garante que a informação somente esteja acessível para usuários autorizados.

Alguns autores consideram como princípios fundamentais apenas Confidencialidade, Integridade e Disponibilidade. Já outros consideram também outros dois princípios. Quais são?

Autenticidade e da Irretratabilidade.

No que consiste a autenticidade?

Propriedade que trata da garantia de que o emissor de uma mensagem é de fato quem alega ser.

CERTO OU ERRADO: O verificado do Twitter é uma forma de autenticidade.

CERTO!

No que consiste o princípio da irretratabilidade?

Trata da capacidade de garantir que o emissor da mensagem ou participante de um processo não negue posteriormente a sua autoria.

Como também pode ser chamado o princípio da irretratabilidade?

Irrefutabilidade ou Não-repúdio.

CERTO OU ERRADO: O conceito de irretratabilidade, (ou não-repúdio, ou irrefutabilidade) é um conceito legal que transcende o domínio da tecnologia.

CERTO!

**PARA FIXAR** AUTENTICIDADE + INTEGRIDADE = IRRETRATABILIDADE

Qual o objetivo da criptologia?

- ocultar informações - quebrar segredos dessa ocultação

Quais os três tipos de criptologia?

Esteganografia, criptografia e criptoanálise.

Como a ocultação de informações pode ser alcançada?

Por meio da Esteganografia ou Criptografia.

Como pode ser alcançada a quebra dos segredos de ocultação de informação?

Por Criptoanálise.

Quais os dois grandes grupos da criptografia?

Códigos e cifras.

Como podem ser apresentados os códigos de criptografia?

Palavras, frases, letras, símbolos usados para substituir elementos do texto claro.

Quais são as cifras de criptografia?

Algoritmos de criptografia e descriptografia de mensagens.

**PARA FIXAR**

Quais os dois tipos básicos das cifras de transformação?

Transposição e substituição.

No que consiste a técnica de Estenografia

Técnica utilizada para esconder informações.

Qual o objetivo da estenografia?

Que as informações sejam transmitidas de forma **invisível**, sem que possam ser **capturadas ou monitoradas**.

CERTO OU ERRADO: A estenografia trata-se de uma técnica para ocultar uma mensagem dentro de outra, de forma que não sejam percebidas por terceiros

CERTO!

Em geral, escondem-se mensagens dentro de:

imagens, sons, vídeos, textos, entre outros.

EXEMPLO DE ESTENOGRAFIA: Não dá pra perceber nenhuma diferença, mas a imagem da direita está esteganografada, isto é, há uma mensagem escondida dentro dela. Se a pessoa que vai receber a mensagem sabe disso e sabe como decifrá-la, ela conseguirá ver a mensagem escondida na imagem. Caso contrário, uma pessoa desavisada só vai achar que é uma foto de um panda. E isso pode ser feito com vários tipos de arquivos.

A Criptografia é a técnica de tornar uma mensagem:

ininteligível!

Atualmente são empregadas três técnicas de criptografias:

simétricas, assimétricas e híbridas.

As técnicas de criptografia (simétricas, assimétricas e híbridas) empregam dois fundamentos principais:

- **substituição**: cada elemento no texto claro é mapeado para outro elemento; - **transposição**: os elementos no texto claro original são reorganizados.

O requisito essencial dos fundamentos de substituição e transposição é que nenhuma informação seja:

perdida.

A _Criptografia Simétrica_ implica o uso de uma **(1)**, utilizada tanto para **(2)** quanto para **(3)** informações.

A Criptografia Simétrica implica o uso de uma **chave secreta**, utilizada tanto para **codificar** quanto para **decodificar** informações. *exemplo de criptografia simétrica: uma pessoa envia um documento criptografado a outra, que não sabe a senha. então ou a pessoa informa a senha ou a outra decodifica*

O que seria chave de encriptação?

informação que controla a operação de um algoritmo de criptografia.

Para que é utilizada a chave de encriptação na criptografia simétrica?

Para codificar e decodificar.

CERTO OU ERRADO: O risco de a chave ser comprometida fica maior com o aumento do número de partes envolvidas na troca de mensagens com a mesma chave.

CERTO!

CERTO OU ERRADO: A criptografia simétrica garante que os princípio da confidencialidade e da integridade sejam cumpridos.

ERRADO! Ele garante apenas a confidencialidade. Ele não é capaz de garantir que a mensagem foi desviada no caminho (integridade).

CERTO OU ERRADO: A criptografia simétrica só é capaz de garantir o princípio da autenticidade caso apenas duas entidades tenham conhecimento da chave secreta.

CERTO!

Principais algoritmos da criptografia simétrica:

DES, 3DES, AES, IDEA, RC4, Blowfish, Cifragem de Júlio César, etc.

A Criptografia Assimétrica (também chamada de Criptografia de Chave Pública) cria duas chaves distintas e assimétricas – sendo uma ________ e uma _______.

A Criptografia Assimétrica (também chamada de Criptografia de Chave Pública) cria duas chaves distintas e assimétricas – sendo uma **pública e outra privada**.

CERTO OU ERRADO: Na criptografia assimétrica, a chave pública é disponibilizada para qualquer um e a chave privada é de uso personalíssimo e restrito a um usuário, instituição ou equipamento.

CERTO!

Na criptografia assimétrica somente a chave **(1)** é capaz de descriptografar as informações e vice-versa.

Na criptografia assimétrica somente a chave **privada correspondente do par** é capaz de descriptografar as informações e vice-versa.

**EXEMPLO DE CRIPTOGRAFIA ASSIMÉTRICA** João recebe o cadeado vermelho aberto e decide comprar um cadeado azul com uma única chave. Além disso, ele compra uma caixa. Então, ele insere seu cadeado azul aberto junto com o documento sensível que Maria precisa, coloca tudo dentro dessa caixa, permanece com a sua chave azul, mas tranca a caixa com o cadeado vermelho que foi enviado aberto por Maria e envia a caixa para ela por meio dos correios. Maria recebe a caixa trancada com seu cadeado vermelho e – como somente ela possui a chave vermelha para o cadeado vermelho – destranca a caixa e encontra o cadeado azul aberto de João junto do documento sensível. Pronto! Agora toda vez que eles precisarem enviar documentos sensíveis um para o outro, eles podem inseri-los na caixa junto de seu cadeado aberto e trancá-la com o cadeado do outro.

CERTO OU ERRADO: Na criptografia assimétrica, caso um terceiro ou qualquer outro interceptador conseguir interceptar o envio da documento, ele não conseguirá abri-la.

CERTO! Pois só quem enviou e quem vai receber possuem a chave.

CERTO OU ERRADO: Na Criptografia Assimétrica, há duas chaves diferentes – uma chave pública e uma chave privada – e, por essa razão, é chamada de criptografia assimétrica. Esse par de chaves formam um par exclusivo, de modo que um texto criptografado pela chave pública só pode ser descriptografado pela chave privada e um texto criptografado pela chave privada só pode ser descriptografado pela chave pública.

CERTO!

O emissor que deseja enviar uma informação sigilosa deverá utilizar a chave _______ do destinatário para criptografar essa informação sigilosa.

O emissor que deseja enviar uma informação sigilosa deverá utilizar a chave pública do destinatário para criptografar essa informação sigilosa. *uma vez que somente o destinatário que possui a chave privada específica dessa chave pública conseguirá desfazer a operação de criptografia*

Principais algoritmos da criptografia assimétrica:

RSA, DSA, ECDSA, Diffie-Hellman (para troca de chaves), etc.

CERTO OU ERRADO: A Criptografia Assimétrica chega a ser até cem vezes mais lenta que a Criptografia Simétrica.

CERTO! Pois ela é maior do que a simétrica.

Criptografia Híbrida é uma combinação de:

Criptografia Simétrica e Criptografia Assimétrica

Na criptografia híbrida, utiliza-se um algoritmo de Criptografia Assimétrica apenas para **(1)** – chamadas de chaves de **(2)** – de forma segura.

Na criptografia híbrida, utiliza-se um algoritmo de Criptografia Assimétrica apenas para **trocar chaves simétricas** – chamadas de chaves de **sessão** – de forma segura.

O princípio de Kerckhoff afirma que a segurança de um sistema criptográfico deve depender da:

chave utilizada. *e, não, do algoritmo.*

Existem três fatores que influenciam a segurança de um sistema criptográfico:

(1) a força de seu algoritmo – no sentido de que um algoritmo muito simples seria fraco; (2) o sigilo da chave – a chave secreta ou privada não deve ser exposta; (3) e o comprimento da chave – chaves pequenas demais podem ser frágeis.

Quais são os principais algoritmos de criptografia?

- DES - 3DES - AES - IDEA - RC4 - RSA - DIFFIE-HELLMANN - Blowfish - MD5 - Sha

Dos principais algoritmo de criptografia, quais os que são considerados com segurança fraca?

- DES - MD5

Dos principais algoritmo de criptografia, quais os que são considerados com segurança moderada?

- 3DES - IDEA - RC4 - SHA

Dos principais algoritmo de criptografia, quais os que são considerados com segurança forte?

- AES - RSA - DIFFIE-HELLMANN - Blowfish

Dos principais algoritmo de criptografia, quais os que são considerados com velocidade lenta?

- 3DES - RSA

Dos principais algoritmo de criptografia, quais os que são considerados com velocidade moderada?

- DIFFIE HELLMAN - SHA

Dos principais algoritmo de criptografia, quais os que são considerados com velocidade rápida?

- DES - AES - IDEA - RC4 - Blowfish - MD5

Dos principais algoritmo de criptografia, quais os que são considerados com utilização atual?

- AES - RSA - SHA

Defina os algoritmos de acordo com o tipo simétrico, assimétrico ou híbrido.

CERTO OU ERRADO: É possível garantir a Autenticidade utilizando Criptografia Assimétrica.

CERTO! Autenticidade e confidencialidade.

O Método de Autenticação "O que você sabe?" trata-se da autenticação baseada no conhecimento de algo que:

somente você sabe *ex: senhas, frases secretas, dados pessoais aleatórios, entre outros.*

Hoje em dia, a combinação mais utilizada para autenticação em sistemas de informação é:

Usuário e Senha.

**PARA FIXAR** ESTRATÉGIAS DE SENHAS - Utilize pelo menos oito caracteres (algumas normas recomendam seis caracteres); - Mescle letras minúsculas e maiúsculas, números, espaços, pontuação e outros símbolos; - Evite utilizar um caractere mais de duas vezes; não a anote, memorize-a; - Evite utilizar informações pessoais, como nome do filho, aniversário da mãe, etc; - Alterar as senhas com frequência e não utilizar a mesma senha em contas diferentes; - Substituir alguns caracteres por números parecidos como: D13G0 C4RV4LH0; - Não utilizar sequências de teclado como: QWERTY, ASDFGH ou ZXCVBN; - Certificar de encerrar uma sessão ao acessar sites que requeiram uso de senhas; - Não escolher palavras que façam parte do dicionário.

O que é um ataque de força bruta?

Um ataque de força bruta consiste em uma tentativa de violar uma senha ou um nome de usuário usando uma abordagem de tentativa e erro.

O método de autenticação "O que você é?" trata-se da autenticação baseada no conhecimento de algo que:

você é. *dados biométricos, impressão digital, padrão de retina, reconhecimento de voz, reconhecimento facial, assinatura manuscrita*

CERTO OU ERRADO: A biometria é a que usa exclusivamente a impressão digital para autenticação.

ERRADO! A biometria abrange reconhecimento de voz, reconhecimento facial, leitura de retina, dna...

O Método de Autenticação "O que você tem?" trata-se da autenticação baseada em algo que somente o verdadeiro usuário possui, como:

celulares, crachás, Smart Cards, chaves físicas, tokens, etc.

CERTO OU ERRADO: O método de autenticação "O que você tem?" resolve o problema da adivinhação por força bruta.

CERTO! Porque o suposto atacante precisa estar próximo do local.

A Autenticação Forte, que é um tipo de autenticação que ocorre quando se utiliza pelo menos:

dois desses três métodos de autenticação (o que você é, o que você tem, o que você sabe)

Um exemplo de autenticação forte é a Autenticação em:

Dois Fatores (ou Verificação em Duas Etapas)!

Na criptografia assimétrica, se eu criptografo uma mensagem com a chave pública do destinatário, eu garanto o Princípio da **(1)**; se eu criptografo uma mensagem com a minha chave privada, eu garanto o Princípio da **(2)**.

Na criptografia assimétrica, se eu criptografo uma mensagem com a chave pública do destinatário, eu garanto o Princípio da **Confidencialidade**; se eu criptografo uma mensagem com a minha chave privada, eu garanto o Princípio da **Autenticidade**.

O Algoritmo de Hash é basicamente um algoritmo criptográfico que transforma:

uma entrada de dados de qualquer tamanho em uma saída de dados de tamanho fixo.

O algoritmo de hash tem quantas direções?

Uma única (one-way).

O Algoritmo de Hash tem um problema: diferentes entradas podem gerar a mesma saída – isso é chamado de:

colisão.

CERTO OU ERRADO: A Função de Resto ou Módulo não é um bom Algoritmo de Hash para criptografia de senhas, porque ele é bastante suscetível a colisões.

CERTO!

Uma forma de reduzir a chance de colisões é:

aumentando o tamanho fixo de saída.

Atualmente, Algoritmos Criptográficos de Hash exigem pelo menos **(1)** bits de saída.

Atualmente, Algoritmos Criptográficos de Hash exigem pelo menos **128** bits de saída.

As funções de Hash bastante famosas é o:

MD5 e SHA.

CERTO OU ERRADO: Para garantir a integridade, basta utilizar um Algoritmo de Hash.

CERTO!

**PARA FIXAR** Na figura, Maria possui uma mensagem em claro (sem criptografia). Ela gera um hash dessa mensagem, depois criptografa esse hash utilizando sua chave privada. Em seguida, ela envia para João tanto a mensagem original quanto o seu hash. João gera um hash da mensagem original e obtém um resultado. Depois descriptografa o hash da mensagem utilizando a chave pública de Maria e obtém outro resultado. Dessa forma, ele tem dois hashes para comparar: o que ele gerou a partir da mensagem em claro e o que ele descriptografou a partir da mensagem criptografada. Se forem iguais, significa que Maria realmente enviou a mensagem e que ela não pode negar que enviou o documento e, por fim, significa que o documento está íntegro. E essa é a Assinatura Digital baseada em Hash.

A garantia da autenticidade e da integridade garante automaticamente a:

irretratabilidade ou não-repúdio.

É importante diferenciar três conceitos: Identificação, Autenticação e Autorização (alguns autores incluem também a auditoria). Na identificação, uma entidade apresenta uma informação capaz de identificá-la **unicamente** na base de dados de um sistema, por exemplo, um número de conta ou nome de usuário. *Caso a informação recebida pela entidade seja encontrada na base de dados, pode-se afirmar que ocorreu um processo de identificação.*

CERTO OU ERRADO: O uso de método de identificação garante que a informação seja autêntica.

ERRADO! Ela garante que a informação será identificada unicamente mas não garante que os dados informados são verdadeiros.

CERTO OU ERRADO: Caso a informação de identificação de uma entidade seja autêntica, podemos deduzir que se trata de um usuário válido solicitando acesso.

CERTO!

CERTO OU ERRADO: O processo de autorização trata dos privilégios concedidos a uma entidade ao utilizar um sistema e busca verificar se essa determinada entidade tem permissão para acessar funcionalidades ou dados específicos de um sistema ou aplicação.

CERTO!

**PARA FIXAR** A Assinatura Digital tem um problema grave! Se Maria quisesse enviar uma mensagem para João – ela deveria criptografá-la com a sua chave privada. Entende-se, portanto, que a chave pública de Maria esteja divulgada em algum lugar para que possa ser encontrada por qualquer pessoa ou que Maria tenha enviado de alguma forma a sua chave pública para o João. No entanto, Suzana poderia interceptar a mensagem de Maria para João. Ela poderia jogar mensagem original fora, criar uma nova mensagem com um recado diferente, criptografá-la com a sua chave privada e enviá-la junto com a sua chave pública para João. Quando João recebesse a mensagem, ele utilizaria a chave pública recebida (de Suzana) para descriptografar a mensagem e acharia que se tratava realmente de uma mensagem de Maria.

CERTO OU ERRADO: A Assinatura Digital possui uma autenticação relativamente frágil.

CERTO!

Para resolver o problema com a fragilidade da Assinatura Digital, é necessária uma terceira parte confiável chamada:

Autoridade Certificadora (AC).

A Autoridade Certificadora é uma entidade responsável por:

emitir certificados digitais – ela é uma espécie de Cartório Digital.

A Autoridade Certificadora faz algo similar: ela mantém documentos chamados Certificados Digitais. Esse documento contém:

o nome, registro civil e chave pública do dono do certificado, a data de validade, versão e número de série do certificado, o nome e a assinatura digital da autoridade certificadora, algoritmo de criptografia utilizado, etc.

CERTO OU ERRADO: A Autoridade Certificadora é responsável por emitir, distribuir, renovar, revogar e gerenciar certificados digitais.

CERTO!

O cadeado que constam nos sites, são exemplos de Autoridade Certificadora. Isso significa que essa página web fornece um serviço possivelmente _______ em que trafegam informações _________, portanto ela oferece um canal de comunicação ______________ e ______.

O cadeado que constam nos sites, são exemplos de Autoridade Certificadora. Isso significa que essa página web fornece um serviço possivelmente **crítico** em que trafegam informações **sigilosas**, portanto ela oferece um canal de comunicação **criptografado e seguro**.

**PARA FIXAR** O cadeado que constam nos sites, são exemplos de Autoridade Certificadora. Isso significa que essa página web fornece um serviço possivelmente crítico em que trafegam informações sigilosas, portanto ela oferece um canal de comunicação criptografado e seguro. No caso, trata-se da utilização do protocolo HTTPS, que é uma implementação do protocolo HTTP sobre uma camada adicional de segurança que utiliza o protocolo SSL/TLS (Secure Sockets Layer / Transport Layer Security).

Sempre que a Autoridade Certificadora descobre ou é informada de que um certificado não é mais confiável no seu navegador, ela o inclui em uma "Lista Negra", chamada de:

Lista de Certificados Revogados (LCR).

A Lista de Certificados Revogados é um arquivo eletrônico publicado periodicamente pela Autoridade Certificadora, contendo o:

número de série dos certificados que não são mais válidos e a data de revogação. *geralmente essa imagem*

Qual a diferença entre Assinatura Digital e Certificado Digital?

- **Assinatura digital**: Trata-se um _método matemático_ utilizado para verificar a autenticidade e integridade de uma entidade (mensagem, software, servidor, documento, etc). - **Certificado digital**: Trata-se de um _documento eletrônico_ assinado digitalmente por uma terceira parte confiável para vincular uma chave pública a uma entidade.

CERTO OU ERRADO: A chave privada de uma criptografia não pode constar no certificado digital.

CERTO! O certificado digital é público, logo a chave privada não pode estar inserida nele. As chaves privadas podem ficar armazenadas em um computador, token ou smartcard protegidas por alguma senha.

A Infraestruturas de Chave Pública (ICP) trata-se de uma entidade pública ou privada que tem como objetivo:

manter uma estrutura de emissão de chaves públicas.

A Infraestruturas de Chave Pública (ICP) no princípio da:

terceira parte confiável.

CERTO OU ERRADO: A ICP também pode ser definida como um conjunto de técnicas, práticas, arquitetura, organização e procedimentos implementados pelas organizações públicas e privadas que suportam, em conjunto, a implementação e a operação de um sistema de certificação

CERTO!

A ICP brasileira é denominada:

ICP-Brasil.

A ICP busca estabelecer fundamentos técnicos e metodológicos baseado em criptografia de chave pública, para garantir a:

autenticidade, a integridade e a validade jurídica.

Na infraestrutura das ICP há duas entidades:

Autoridades Certificadoras e Autoridades de Registro. *que emitem e vendem certificados digitais respectivamente*

**PARA FIXAR** CADEIA DE CERTIFICAÇÃO

**PARA FIXAR** Sabe quando vamos tirar a carteira de identidade? Pois é, a maioria das pessoas procura a Secretaria de Segurança Pública (SSP), que é responsável por expedir um documento oficial de identificação atestando quem você realmente é – seria análogo a uma Autoridade Certificadora de Nível 1. Ela está subordinada ao Ministério da Justiça, análogo a Autoridade Certificadora Raiz. Já o Instituto de Identificação da SSP seria a Autoridade de Registro.

Compete à ela emitir, expedir, distribuir, revogar e gerenciar os certificados das autoridades certificadoras de nível imediatamente subsequente ao seu e é a primeira autoridade na cadeia de certificação. Essa definição corresponde a:

Autoridade Certificadora Raiz (AC-Raiz).

CERTO OU ERRADO A Autoridade Certificadora Raiz está encarregada de emitir a Lista de Certificados Revogados (LCR) e de fiscalizar e auditar as Autoridades Certificadoras – ACs, Autoridades de Registro – ARs e demais prestadores de serviço habilitados na ICP-Brasil.

CERTO!

Trata-se de uma entidade, pública ou privada, subordinada à hierarquia da ICP-Brasil, responsável por emitir, distribuir, renovar, revogar e gerenciar certificados digitais. Busca verificar se o titular do certificado possui a chave privada que corresponde à chave pública do certificado. Ela cria e assina digitalmente o certificado do assinante, onde o certificado emitido pela AC representa a declaração da identidade do titular, que possui um par único de chaves. Essa definição corresponde a:

Autoridade Certificadora.

CERTO OU ERRADO Assim como a Autoridade Certificadora Raiz, a Autoridade Certificadora pode emitir Listas de Certificados Revogados (LCR).

CERTO!

A Autoridade de Registro trata-se de uma entidade responsável pela:

interface entre o usuário e a Autoridade Certificadora. *imagem com exemplo de AR*

A Autoridade de Registro é sempre vinculada a uma **(1)** e pode estar _fisicamente_ localizada em uma **(2)** ou ser uma entidade de **(3)**.

A Autoridade de Registro é sempre vinculada a uma **Autoridade Certificadora** e pode estar _fisicamente_ localizada em uma **Autoridade Certificadora** ou ser uma entidade de **registro remoto**.

CERTO OU ERRADO: As Autoridades de Registro tem por objetivo o recebimento, a validação, o encaminhamento de solicitações de emissão ou revogação de certificados digitais e identificação, de forma digital, de seus solicitantes.

ERRADO! Não é de forma digital. É de forma **PRESENCIAL**. Substituindo isso, está tudo correto.

CERTO OU ERRADO: As Autoridades de Registro não emitem certificados digitais.

CERTO! Elas o recebem, validam ou encaminham e guardam um registro dessas operações.

CERTO OU ERRADO A Autoridade Certificadora Raiz emite certificados digitais para as Autoridades Certificadoras hierarquicamente abaixo dela, que emitem certificados para equipamentos, pessoas físicas ou jurídicas.

CERTO!

O padrão para infraestrutura de chave pública utilizado pela ICP-Brasil é o:

X-509. *lembrar do 509-E e do seu integrante, Afro-X*

O certificado digital é um:

documento/arquivo.

Quem é que assina o certificado da autoridade certificadora raiz?

Ela mesma!

É possível ocorrer uma falha, vazamento ou corrupção na autoridade certificadora raiz, por exemplo. Logo, essa infraestrutura pode ser bastante vulnerável – um problema grave pode colocar em risco toda a infraestrutura. Dito isso, surgiu uma abordagem chamada **Cadeia/Teia de Confiança (Web of Trust – WoT)**. Trata-se de um modelo de confiança __________ e _______________ que busca disponibilizar criptografia para o público geral sem ______ em contrapartida à abordagem de infraestrutura de chave pública.

É possível ocorrer uma falha, vazamento ou corrupção na autoridade certificadora raiz, por exemplo. Logo, essa infraestrutura pode ser bastante vulnerável – um problema grave pode colocar em risco toda a infraestrutura. Dito isso, surgiu uma abordagem chamada **Cadeia/Teia de Confiança (Web of Trust – WoT)**. Trata-se de um modelo de confiança **transitiva e descentralizada** que busca disponibilizar criptografia para o público geral **sem custos** em contrapartida à abordagem de infraestrutura de chave pública.

**PARA FIXAR** Como funciona a Cadeia/Teia de Confiança: A confiança vai sendo estabelecida através de uma rede de transitividade em que, se Tony confia em Mike e Mike confia em John, então Tony confia em John.

CERTO OU ERRADO Em uma infraestrutura de chave pública, todo certificado deve necessariamente ser assinado por uma autoridade certificadora.

CERTO!

Em uma cadeia/teia de certificados, quem poderá assinar e atestar a validade de outros certificados é:

qualquer entidade. *descentralizada e não hierárquica*

Os certificados digitais da Categoria A costumam ser usados para fins de:

identificação e autenticação. *Você pode usá-los para assinar documentos ou validar transações eletrônicas*

A Categoria S de certificados digitais é direcionada a:

atividades sigilosas *proteção de arquivos confidenciais, por ex*

Certificado de Assinatura Digital (A) reúne os certificados de assinatura digital, utilizados em:

- confirmação de identidade na web - e-mails - Redes Privadas Virtuais (VPNs) - documentos eletrônicos com verificação da integridade das informações.

Certificado de Sigilo reúne os certificados de sigilo, que são utilizados na codificação de __________, de bases de dados ___________, de _________ e de outras informações eletrônicas _________.

Certificado de Sigilo reúne os certificados de sigilo, que são utilizados na codificação de **documentos**, de bases de dados **relacionais**, de **mensagens** e de outras **informações eletrônicas sigilosas**.

Relacione os certificados do campo esquerdo com as respectivas respostas corretas.

Segurança da Informação Flashcards

(163 cards)