Prévia do material em texto
Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança Autor: Diego Carvalho, André Castro 12 de Março de 2023 Adquirido em @Xinyuu_bot - Telegram Diego Carvalho, André Castro Aula 08 Índice ..............................................................................................................................................................................................1) Aplicações de Criptografia 3 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 2 66 Adquirido em @Xinyuu_bot - Telegram Sumário Assinatura Digital ................................................................................................................................ 2 Certificação Digital ............................................................................................................................. 4 ICP - Infraestrutura De Chaves Públicas – PKI (Public Key Infrastructure) .................................................. 10 Autoridade Certificadora – AC ....................................................................................................... 10 Autoridade Registradora – AR ........................................................................................................ 11 Certificados Digitais ....................................................................................................................... 13 Lista De Certificados Revogados - CRL ............................................................................................. 17 ICP Brasil ...................................................................................................................................... 19 Aplicações De Criptografia ................................................................................................................ 27 Criptomoedas E Blockchain.............................................................................................................. 27 Questões Comentadas ....................................................................................................................... 30 Assinatura Digital e Certificados Digitais .......................................................................................... 30 Questões Comentadas Complementares ............................................................................................... 40 Assinaturas e Certificados Digitais ................................................................................................... 40 Lista De Questões .............................................................................................................................. 49 Assinatura Digital E Certificados Digitais .......................................................................................... 49 Lista De Questões Complementares ..................................................................................................... 54 Assinaturas E Certificados Digitais.................................................................................................... 54 Gabarito .......................................................................................................................................... 60 Gabarito – Questões Cespe............................................................................................................ 60 Gabarito – Questões Complementares ............................................................................................. 60 Resumo ............................................................................................................................................ 61 Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 3 66 Adquirido em @Xinyuu_bot - Telegram ASSINATURA DIGITAL A assinatura digital é um recurso extremamente importante e muito presente nas diversas aplicações atualmente. Seu princípio básico reside na obtenção dos princípios de integridade e autenticidade na troca de mensagens entre dois usuários. Para tanto, vamos analisar a figura a seguir: Como já vimos, o tipo de criptografia utilizada é a assimétrica. Isso quer dizer que teremos um par de chaves (pública e privada), envolvidas no processo. Percebemos que temos dois fluxos a serem analisados que fazem parte de um mesmo processo de assinatura digital. Na figura acima, na esquerda, temos o fluxo responsável por garantir a autenticidade. Na direita, temos o fluxo que garante a integridade. FGV/SEFAZ-AL/2021 A uma mensagem assinada com a chave privada do usuário remetente atribuem-se corretamente a integridade e o não repúdio. Comentários: Assinatura Digital Seu princípio básico reside na obtenção dos princípios de integridade e autenticidade/não repúdio na troca de mensagens entre dois usuários. Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 4 66 Adquirido em @Xinyuu_bot - Telegram Temos aqui um item extraído de uma questão maior, apenas para destacarmos o conceito isolado conforme acabamos de citar em nossa teoria. Gabarito: C Analisando o fluxo da esquerda, temos algo semelhante ao processo de autenticidade que vimos na criptografia assimétrica. Entretanto, antes de se aplicar o algoritmo de chaves públicas, realiza-se a função HASH no texto em claro. Portanto, sequencialmente, temos: 1. Gera-se o HASH da mensagem em claro; 2. Aplica-se o algoritmo de criptografia assimétrica utilizando a chave privada do EMISSOR sobre o HASH gerado no passo 1; 3. Tem-se a Assinatura Digital; 4. Envia-se ao destinatário a Assinatura Digital gerada e a mensagem original; No lado do destinatário, este deverá primeiramente utilizar a chave pública do EMISSOR. Ao realizar tal procedimento, obtém-se o HASH da mensagem original. Como o destinatário também recebeu de forma direta o HASH, ele poderá comparar o conteúdo das duas mensagens Caso sejam iguais, podemos dizer que o emissor é de fato o dono da chave pública utilizada (autenticidade) e que não houve alteração na mensagem (integridade). Percebam que o foco nesse cenário não é garantir a confidencialidade, mas tão somente os outros dois princípios, até porque, a mensagem vai em aberto. Existe ainda o conceito de temporalidade na Assinatura Digital. Na assinatura atemporal, realiza-se o processo visto anteriormente sem nenhum registro de timestamp, ou seja, de data e hora dos procedimentos realizados. Já a assinatura temporal envolve o registro de data e hora de quando foi realizada a assinatura. CESPE – TCE-PR/Analista de Controle – Área TI/2016 Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 5 66 Adquirido em @Xinyuu_bot - Telegram Os serviços relacionados a assinatura digital incluem a) a disponibilidade e a integridade de dados. b) a autenticação de entidade par e a irretratabilidade. c) a irretratabilidade e a confidencialidade do fluxo de tráfego. d) o controle de acesso e a confidencialidade. e) a autenticação da origem de dados e o controle de acesso. Comentários: Pessoal, questão típica, certo? A assinatura digital nos garantirá três princípios, quais sejam: autenticidade, irretratabilidade e integridade. Gabarito: B Complementando o assunto sobre Assinatura Digital, algumas questões aparecem cobrando um arranjo diferente, o qual chamamos de Assinatura Digital Simétrica. Vimos anteriormente o modelo utilizando algoritmos de criptografia assimétrica. Já o modelo que apresento a seguir independente das chaves privadas e públicas, mas tão somente da chave simétrica.Entretanto, temos um pressuposto nesse modelo, que é o conhecimento mútuo da chave secreta. Desse modo, o EMISSOR gera um HASH de uma mensagem concatenada com a chave secreta e envia juntamente com a própria mensagem em claro. O DESTINATÁRIO, ao receber este conjunto, pegará a mensagem em claro recebida, concatenará com a chave secreta que já é de seu conhecimento e também gerará um HASH. Em seguida, basta ele comparar o HASH gerado com o HASH recebido. Caso sejam idênticos, assume-se que a mensagem é autêntica e íntegra. CERTIFICAÇÃO DIGITAL Vimos nas sessões anteriores a importância de uma série de alternativas para o uso do par de chaves na criptografia assimétrica. Entretanto, uma pergunta ficou no ar. Como confiar em uma chave pública? Ou seja, a chave pública de determinado usuário é realmente dele? Inevitavelmente devemos envolver uma terceira parte para tal. Surge então o conceito de Autoridade Certificadora - AC (CA – Certification Authority). Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 6 66 Adquirido em @Xinyuu_bot - Telegram Desse modo, pode-se inserir as informações de chave pública e muitas outras em um certificado digital. Entretanto, para que um certificado seja válido, deve ter sido emitido por uma CA. As CA’s são entidades confiáveis que emitem e atestam certificados. Algo semelhante ao papel de um cartório, que validam as assinaturas dos cidadãos. Para que a CA também seja uma parte confiável, a sua chave pública deve ser amplamente difundida de tal modo que todos possam conhecer e atestar a sua assinatura digital nos certificados gerados, dificultando bastante possíveis fraudes. As principais informações contidas em um certificado digital são: • Chave pública do usuário ou sistemas; • Dados relativos à sua identidade; • Prazo de validade; • Assinatura Digital da Entidade Certificadora que gerou o certificado; • Chave pública da CA • Cadeia de certificados hierarquicamente superiores; Além disso, por seguir o padrão X.509 do ITU-t, consta ainda: • Versão do X.509 e número de série do certificado; • Informação do algoritmo gerador do certificado; • Identificação do gerador do certificado; • Informações sobre o algoritmo assimétrico da chave pública do usuário; A utilização de certificados digitais permite agregar os princípios de autenticidade e integridade por intermédio da utilização da assinatura digital e como diferencial, possui a capacidade de garantir ainda a confidencialidade. Para tanto, diversas alternativas podem ser utilizadas como a utilização da chave pública do destinatário ou ainda a utilização de chaves de sessão por meio de chaves simétricas. Desse modo, vamos analisar a figura a seguir para entendermos bem o seu funcionamento: Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 7 66 Adquirido em @Xinyuu_bot - Telegram Podemos perceber na figura a garantia dos três princípios: confidencialidade, integridade e autenticidade. No modelo em análise, será utilizada uma chave de sessão através da troca de uma chave simétrica. Para começar, “A” cifra a mensagem com a chave simétrica gerada. Até então, “B” não tem conhecimento dessa chave. Para que “B” tenha conhecimento, “A” cifrará a chave simétrica utilizando a chave pública de “B”. Com isso, somente “B” será capaz de obter a chave simétrica através de sua chave privada, certo? Assim, a partir de então, “B” terá conhecimento da chave simétrica e poderá utilizá-la para decriptar a mensagem. Entretanto, “B” precisa garantir que “A” é de fato quem diz ser. Para tanto, utiliza-se o princípio da assinatura digital que vimos anteriormente. “A” calculará o HASH da mensagem e cifrará com a chave privada de “A”. Portanto, a única chave capaz de abrir essa mensagem será a chave pública de “A”. Assim, “B” utilizará a chave pública de “A” e obterá o HASH calculado por “A”. Antes de realizar a comparação, “A” deverá pegar a mensagem original recebida e decriptada pela chave simétrica e calcular o HASH. Caso ambas sejam iguais, tem-se a garantia dos três princípios. CESPE / CEBRASPE - 2022 - DPE-DF - Analista de Apoio à Assistência Judiciária - Redes O uso de certificados digitais garante a autenticidade e a integridade de dados transmitidos entre duas redes de computadores, porém não oferece recursos de não repúdio na transmissão. Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 8 66 Adquirido em @Xinyuu_bot - Telegram Comentários: Pessoal, já cansamos de ver que o não repúdio caminha junto nesse processo, certo? Inclusive, importante lembrar a ótica do não-repúdio dos dois lados, isto é, tanto no lado do emissor, onde este não pode negar o envio, quanto do receptor, onde este não pode negar o recebimento. Gabarito: E FGV/TJDFT/Sistemas/2022 Ana precisa enviar a mensagem M para Bráulio de forma sigilosa pela rede do Tribunal de Justiça atendendo aos requisitos de segurança: autenticidade, não repúdio, integridade e confidencialidade. Para isso, Ana deve enviar uma chave secreta K para Bráulio e gerar uma assinatura digital AD(M). Considerando que a chave K deve ser conhecida apenas por Ana e Bráulio, após esse processo deve-se cifrar K e AD(M) com a chave: A privada de Bráulio B privada de Ana C pública de Ana D pública de Bráulio E secreta de Ana Comentários: Esse é o retrato real da necessidade de interação entre os pares para troca de chaves, e posterior uso desta chave trocada, no caso questão, referenciada como chave K. Importante observar sempre o sentido da comunicação. Como o objetivo é que a mensagem saia de Ana e vai até Bráulio, logo, Ana necessariamente terá acesso ao conteúdo na origem. Então nosso foco tem que ser em Bráulio, com vistas a garantir que somente ele seja capaz de ler a mensagem. Nessa perpsectiva, portanto, devemos cifrar com a chave pública dele, pois, desse modo, somente ele, com a respectiva chave privada, será capaz de ter acesso às informações tragegadas. Assim, temos o nosso gabarito como a CHAVE PÚBLICA DE BRÁULIO, letra D. Gabarito: D FGV/SEFAZ-AM/TI/2022 Um dos mecanismos importantes de segurança é aquele que tenta solucionar o problema da autenticidade. A criptografia moderna procura resolver esse problema através dos algoritmos de criptografia assimétrica. Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 9 66 Adquirido em @Xinyuu_bot - Telegram Para que isso ocorra, A o emissor criptografa a mensagem com a chave pública do receptor e o receptor confirma a autenticidade decriptografando a mensagem usando sua própria chave privada. B o emissor gera um hash da mensagem e o envia para o receptor junto com a mensagem. O receptor recalcula o hash e o compara com o hash enviado, e se forem iguais, a autenticidade estará confirmada. C o emissor gera um hash da mensagem e o criptografa com sua chave privada. Para confirmar a autenticidade, o receptor decriptografa o hash recebido usando a chave pública do emissor, e verifica se esse hash é o mesmo calculado da mensagem. D o emissor e receptor compartilham uma chave para criptografar e assinar digitalmente o hash gerado da mensagem. E o emissor criptografa a mensagem com o certificado digital do receptor e o receptor confirma a autenticidade usando o certificado digital do emissor. Comentários: Segiundo a mesma esteira, agora temos uma questão que aborda o aspecto da autenticidade. Nesse ponto, a nossa perspectiva muda. Pois agora, o foco é em garantir que o emissor é quem ele diz ser. Assim sendo,deve-se trabalhar com a Chave Privada do Emissor, de tal modo que somente com a chave pública dele vai ser possível recuperar a informação para posterior checagem do HASH. Esse é o modelo padrão de funcionamento do nosso fluxo de Assinatura Digital. Apenas para tentar esclarecer os erros dos itens: a) Não se trata da chave pública do receptor, mas sim da chave privada do emissor. b) A questão começa bem com os aspecto de envio da mensagem com o HASH. Mas não apresenta qualquer uso das chaves privadas e públicas do emissor, logo, não será posível garantir nada. c) Correto como comentamos. d) O processo descrito se aproxima do fluxo com chave simétrica, não sendo o utilizado nesse contexto. e) A perspectiva das chaves deve ser no emissor, e não no receptor como apresentado. Gabarito: C Mais uma vez pessoal, é muito importante que entendam o modelo para ficar claro o funcionamento. As diversas tecnologias que utilizam certificados digitais usam esse modelo como base. Acrescentam-se alguns passos, elementos de validação, como a Autoridade Certificadora, entre outros, porém, o princípio é o mesmo. CESPE / CEBRASPE - 2022 - BANRISUL - Analista de Segurança da Tecnologia da Informação Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 10 66 Adquirido em @Xinyuu_bot - Telegram O certificado digital valida uma assinatura digital por meio da vinculação de um arquivo eletrônico a essa assinatura, de modo que tanto a assinatura quanto esse arquivo são protegidos por criptografia pelo certificado digital. Comentários: Pessoal, nessa questão, a banca deu como certo. Sempre reforço que não estamos aqui para tentar sempre confrontar a banca, pois nosso objetivo é acertar as questões. Então, para a banca CESPE, fica essa referência de entendimento. O que quero chamar sua atenção é que não necessariamente a assinatura digital deve ser protegido pelo certificado digital, como a banca coloca. Esse recurso pode ou não ser utilizado. Por isso a minha crítica à questão quando foi dado como certa, pois traz o entendimento de que é uma ação necessária. Gabarito: C (Gabarito do Professor: E) CESPE - TJ STF/Apoio Especializado/Tecnologia da Informação/2013 A assinatura digital garante vínculo lógico entre o documento e a assinatura e possibilita a verificação da integridade do conteúdo assinado e a validação da identificação do assinante em conjunto com a certificação digital. Comentários: Exatamente a combinação desses fatores permite o uso da assinatura digital. Lembrando que o certificado digital permite a extração da chave pública do Emissor, entre outras informações relevantes. Gabarito: C CESPE / CEBRASPE - 2021 - SEFAZ-AL - Auditor Fiscal de Finanças e Controle de Arrecadação da Fazenda Estadual O certificado digital é um código anexado a uma mensagem enviada eletronicamente e é utilizado para verificar a origem e o conteúdo da mensagem. Comentários: Pessoal, o código anexado é justamente a assinatura digital. Muito cuidado aqui. O Certificado é um arquivo digital que pode ser consultado publicamente, através de repositórios de infraestruturas de chaves públicas. Gabarito: E Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 11 66 Adquirido em @Xinyuu_bot - Telegram ICP - INFRAESTRUTURA DE CHAVES PÚBLICAS – PKI (PUBLIC KEY INFRASTRUCTURE) Todo o conjunto de hardware e software, pessoal, políticas e procedimentos necessários para criar e implementar uma infraestrutura de certificação digital chama-se PKI ou ICP. É uma estrutura hierárquica que permite uma melhor organização e gerenciamento dos certificados, além de tratar aspectos de auditabilidade e controle. Esta pode ser composta por quatro componentes básicos: • Autoridade Certificadora – (CA – Certificate Authority) • Autoridade Registradora – (RA – Registration Authority) • Certificados Digitais • Lista de Certificados Revogados (CRL – Certification Revocation List) Vamos falar um pouquinho sobre cada um deles. Autoridade Certificadora – AC Como vimos, é a responsável pela emissão dos certificados digitais. Antes de iniciar o processo de emissão, a AC deverá processar as requisições de emissão por parte dos clientes com os devidos parâmetros apresentados. As requisições de certificado também devem seguir uma rotina e padrão para que seja válida e aceita. A estrutura dessa requisição deve contemplar, basicamente: 1. Informação de Requisição do Certificado; 2. Identificador do Algoritmo de Assinatura; 3. Assinatura Digital da Informação de Requisição; Além disso, a AC é responsável pela manutenção e gerenciamento da lista de Certificados Revogados, devendo publicar essa informação Outra função presente na AC é responder às requisições de consultas de verificação de certificados geradas pelos clientes com vistas a validação dos certificados. • Autoridade Certificadora Raiz – AC Raiz Como a PKI possui uma estrutura hierarquizada, a AC Raiz surge para ser a entidade mais alta dentre as diversas AC’s que podem compor uma PKI. Assim, pode-se ter uma estrutura rígida, confiável e descentralizada em termos de papéis e operação. Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 12 66 Adquirido em @Xinyuu_bot - Telegram A AC Raiz se utiliza do recurso de certificado auto-assinado. Como ela é o primeiro elemento de uma infraestrutura, não há nenhum outro elemento que possa validar sua assinatura. Por esse motivo, ela deve ser de conhecimento amplo e difundido. Uma prática de segurança é, após a geração desse certificado, deixar a AC Rais off-line, religando-a apenas para emissão de um novo certiticado auto-assinado. Um outro conceito importante é que para um certificado ser válido, toda a cadeia de CA’s deve possuir certificados válidos. Ou seja, como a PKI é uma estrutura multinível, todos os níveis ascendentes devem ser validos. Uma outra questão a ser discutida é a relação de confiança entre AC’s Raiz. Desse modo, essas AC’s trocam informações entre si e os certificados de uma passam a ser aceitos e válidos para toda a cadeia da outra AC Raiz. Esse modelo é amplamente utilizado na comunicação de AC’s Raiz de países distintos ou de empresas distintas. Esse tipo de relacionamento é conhecido como Bridge. Caso haja mais de duas AC’s Raiz que possuem relação de confiança mútua, chamamos de modelo Misto. CESPE – TCE-PR/Analista de Controle – Área TI/2016 Na certificação digital, a autoridade certificadora é responsável por a) gerar os certificados digitais, assiná-los, entregá-los aos solicitantes e reconhecê-los durante seu período de validade. b) assinar digitalmente mensagens de e-mail para proprietários de certificados digitais emitidos por uma autoridade de registro conveniada. c) verificar a identidade de um solicitante e passar a solicitação a uma autoridade de registro. d) criptografar todas as mensagens geradas por um proprietário de um certificado digital e entregá- las ao correto destinatário. e) alterar os campos ou as chaves de um certificado digital e reemiti-lo sempre que isso for solicitado pelo proprietário do certificado. Comentários: Pessoal, temos a descrição das principais atividades das autoridades certificadoras elencadas no item “A”. Não temos muito o que acrescentar por aqui. Gabarito: A Autoridade Registradora – AR Algumas estruturas de PKI permitem segmentar os papéis e funcionalidade presentes na AC, a saber: registro, emissão e validação. Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 13 66 Adquiridoem @Xinyuu_bot - Telegram Assim, a principal função de uma AR é funcionar como um intermediário na comunicação entre cliente e AC, reduzindo a sobrecarga na AC. Importante deixar claro que a AR não possui permissão e capacidade de EMITIR CERTIFICADOS. Entretanto, pode exercer as seguintes funções: 1. Distribuir chaves; 2. Receber e aceitar registros; 3. Validar requisições de verificação de certificado; A Autoridade de Registro pode estar localizada fisicamente em conjunto com a AC ou localizada remotamente em outros servidores. Além disso, ela não é obrigatória na estrutura da PKI. CESPE / CEBRASPE - 2022 - BANRISUL - Analista de Segurança da Tecnologia da Informação O componente que faz a interface entre o titular do certificado digital e a autoridade certificadora é a autoridade de registro (AR). Comentários: Exatamente pessoal. Como se fosse o posto avançado de credenciamento que comentamos. Lembrando que se trata de um componente opcional. Gabarito: C CESPE - AJ TRT10/Apoio Especializado/Tecnologia da Informação/2013 Um requisito para uma entidade tornar-se uma autoridade de registro é ser uma entidade jurídica, não podendo as pessoas físicas tornarem-se autoridades de registro. Comentários: Temos aqui uma questão de caráter normativo. A legislação prevê que as AC’s e AR’s devem ser órgãos ou entidades de direito público; ou pessoas jurídicas de direito privado. Por esse motivo, não poderá ser pessoas físicas para tal finalidade. Gabarito: C Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 14 66 Adquirido em @Xinyuu_bot - Telegram Certificados Digitais A seguir, temos um breve exemplo de algumas informações que estão presentes em um certificado digital. Para os alunos que estão estudando em frente a um computador, recomendo darem uma olhada nos certificados digitais de algum site que tenham costume de navegar. Por exemplo, basta clicar no cadeado fechado e buscar a opção de verificar o certificado digital. No exemplo em questão, podemos verificar algumas informações. O referido certificado digital foi emitido para o domínio www4.receita.fazenda.gov.br. A Autoridade Certificadora responsável por emitir tal certificado é a “Autoridade Certificadora do SERPRO SRF v1”. Ora pessoal, aqui já começamos a identificar uma estrutura hierárquica de uma infraestrutura de chaves públicas. Além disso, avançando para a aba de “caminho de certificação”, utilizando o navegador CHROME, obtemos a imagem abaixo: Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 15 66 Adquirido em @Xinyuu_bot - Telegram Na imagem a seguir, vemos qual foi a Autoridade Certificadora raiz que valida todas as demais Autoridades Certificadoras abaixo dela, dando validade também ao certificado. Os browsers atuais já possuem instalados diversas autoridades certificadoras reconhecidas mundialmente. Assim, qualquer certificado que faça parte de uma dessas estruturas, será considerado como válido de forma nativa. Tais certificados geralmente são pagos e mantidos por terceiros. Entretanto, temos um modelo em que queremos gerar certificados digitais internos a uma organização ou para troca entre duas ou mais organizações que confiam entre si mutuamente. Entretanto, ao acessarmos esses serviços com certificados digitais e que não façam parte da estrutura de certificados emitidos por Autoridades Certificadoras nativamente reconhecidas pelos Browsers, receberemos um alerta, como algo do tipo da imagem abaixo: Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 16 66 Adquirido em @Xinyuu_bot - Telegram Nesse caso, para que o Browser pare de gerar os alertar em questão, basta instalar a cadeia de certificados, ou seja, a cadeia das Autoridades Certificadoras que emitiram o referido certificado. Assim, o Browser, a partir desse momento, considerará como válido quaisquer certificados emitidos por este novo grupo de CA’s. Este conceito é denominado como certificados auto assinados, pois não há uma terceira parte confiável que dê a devida veracidade a essas informações. CESPE - APF (DEPEN)/Área 7/2015 Um certificado digital contém, entre outros aspectos, a chave privada do emissor do certificado para que seja possível a verificação da chave pública. Comentários: A chave privada é de conhecimento apenas do dono. Não há o que se falar de inserir essa informação no certificado digital para acesso público. Gabarito: E Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 17 66 Adquirido em @Xinyuu_bot - Telegram • Protocolos de Gerenciamento Um contexto que tem começado a aparecer em provas é o de entendimento dos Protocolos de Gerenciamento previstos na norma. Ao olharmos diretamente a norma, e é daí que as questões estão sendo tiradas, podemos destacar alguns protocolos e serviços que são possíveis de serem habilitados na infraestrutura como um todo. Alguns são mais óbvios e conhecidos, outros nem tanto. Por isso, vamos conhecê- los: 1. REGISTRO - Este é o processo pelo qual um usuário primeiro se faz conhecido por uma CA (diretamente ou por meio de uma RA), antes de essa CA emitir um certificado ou certificados para esse usuário. 2. INICIALIZAÇÃO - Antes que um sistema cliente possa operar com segurança, é necessário instalar materiais chave que tenham a relacionamento apropriado com chaves armazenadas em outro lugar na infraestrutura. Por exemplo, o cliente precisa ser considerado seguro e inicializado com a chave pública e outras informações garantidas da(s) CA(s) confiável(is), para ser garantida a cadeia de certificados. Além disso, um cliente normalmente precisa ser inicializado com seu(s) próprio(s) par(es) de chaves. 3. CERTIFICAÇÃO - Este é o processo no qual uma CA emite um certificado para a chave pública de um usuário e retorna esse certificado para o sistema cliente do usuário e/ou postagens que certificado em um repositório. 4. RECUPERAÇÃO DO PAR DE CHAVES – É possível armazenar informações base que geraram os pares de chaves para posterior recuperação em caso de perda de senha. 5. ATUALIZAÇÃO DO PAR DE CHAVES – Todas as chaves precisam ser renovadas periodicamente, isto é, gerar um novo par de chaves e novos certificados. 6. REQUISIÇÃO DE REVOCAÇÃO - Uma pessoa ou instância autorizada indica a uma AC sobre um situação anormal exigindo a revogação do certificado. 7. CERTIFICAÇÃO CRUZADA - Duas ACs trocam informações usadas em estabelecimento de um certificado cruzado. Um certificado cruzado é um certificado emitido por uma CA para outra CA que contém uma CA chave de assinatura usada para emitir certificados. FGV/CGU/2022 Wallace está implementando em um órgão público um modelo de infraestrutura de chaves públicas baseado no padrão X.509 (PKIX). Wallace identificou que os sistemas clientes, para operarem com Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 18 66 Adquirido em @Xinyuu_bot - Telegram segurança, necessitam da instalação de materiais da chave que possuem o relacionamento apropriado com as chaves armazenadas em outro lugar na infraestrutura de chaves públicas. Para gerenciar a PKIX de forma a atender o requisito identificado, Wallace deve implementar a função: A registro; B inicialização; C certificação; D certificação cruzada; E solicitação de revogação. Comentários: Temos aí as palavras chave que aparecem na descrição que é justamentea instação de materiais chave que guardam relação com o armazenamento das chaves. Lembrando que se trata de uma etapa no processo inicial entre o Registro e a Certificação. Gabarito: B Lista De Certificados Revogados - CRL Os certificados digitais devem possuir plena validade para serem devidamente reconhecidos e utilizados pelos diversos sistemas e serviços. Entretanto, algumas questões podem surgir no dia a dia de utilização que implicam em tornar esses certificados inválido e, portanto, devem ser revogados. Para que isto ocorra, podemos citar alguns exemplos: 1. Caso o prazo de validade do certificado expire; 2. Caso o usuário perca a informação de sua chave privada e não haja custódia de um terceiro; 3. Caso haja violação da chave privada, ou seja, algum terceiro obtenha a informação da chave privada de um usuário ou sistema. Todos esses certificados inválidos figuram então na lista de certificados revogados e ficam disponíveis para consulta por parte dos clientes. • OCSP – Online Certificate Status Protocol Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 19 66 Adquirido em @Xinyuu_bot - Telegram Este protocolo foi criado para resolver problemas de troca de listas de certificados revogados. A principal dificuldade é que o cliente ou servidor que deseja verificar essa lista deve realizar download desta constantemente com vistas a manter sua base atualizada. Com o uso do OCSP, não há necessidade de download da lista. O procedimento agora é bem mais simplificado, pois basta ser enviado o número de série do certificado para o servidor OCSP e este será responsável por verificar em uma lista atualizada, respondendo a consulta com o status obtido. FGV/SEFAZ-AM/TI/2022 Quando há o comprometimento de um certificado digital antes do fim de sua validade, ele deve ser revogado pela autoridade certificadora que o emitiu. A forma dessa revogação ser implementada e divulgada para os usuários finais é por meio do(a) A invalidação da chave privada do usuário, o que torna impossível o uso do respectivo certificado digital. B uso do protocolo OCSP, em que um usuário pode obter o status de revogação de um dado certificado digital. C alteração da data de validade do certificado digital, de modo que ele expire imediatamente. D emissão de uma lista única contendo os certificados digitais revogados de todas as autoridades certificadoras. E anulação da assinatura digital do certificado digital, o que torna esse certificado inválido. Comentários: Pessoal, lembrar da ideia básica que é não depender de consultas a listas e download dessas informações. O OCSP veio justamente para trazer um modelo integrado de serviços para consulta individual dos certificados que se deseja obter o status ou a condição. Gabarito: B CESPE - AJ TRT10/Apoio Especializado/Tecnologia da Informação/2013 O certificado digital revogado deve constar da lista de certificados revogados, publicada na página de Internet da autoridade certificadora que o emitiu. Comentários: Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 20 66 Adquirido em @Xinyuu_bot - Telegram Questão bem tranquila a respeito da operacionalização de divulgação das listas de certificados revogados. Gabarito: C ICP Brasil No Brasil, temos uma PKI a nível nacional, conhecida como ICP Brasil, controlada pelo governo brasileiro que agrega legitimidade aos certificados digitais no nosso país. Desse modo, esses certificados possuem validade com plena eficácia, sendo capazes de produzir efeitos jurídicos. Entretanto, é importante mencionar que há pessoas jurídicas de direito privado como AC’s e AR’s. As principais informações a respeito da ICP Brasil podem ser obtidas no site www.iti.gov.br/icp-brasil. Desse modo, podemos extrair a definição do ICP-Brasil do próprio site: “A Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) é uma cadeia hierárquica e de confiança que viabiliza a emissão de certificados digitais para identificação virtual do cidadão. Observa-se que o modelo adotado pelo Brasil foi o de certificação com raiz única, sendo que o ITI, além de desempenhar o papel de Autoridade Certificadora Raiz (AC-Raiz), também tem o papel de credenciar e descredenciar os demais participantes da cadeia, supervisionar e fazer auditoria dos processos” O responsável pela definição das diretrizes e políticas a serem aplicadas à ICP Brasil é o Comitê Gestor da ICP Brasil. Assim, compete à AC Raiz dessa ICP emitir, expedir, distribuir, revogar e gerenciar os certificados das autoridades certificadoras de nível imediatamente inferior ao seu. Possui ainda como competência a fiscalização e responsabilidade de auditoria das AC’s, AR’s e demais prestadores de serviço. A hierarquia completa de todas as AC’s e AR’s que compõem a ICP Brasil pode ser obtida no link: https://estrutura.iti.gov.br/ Um ponto que recorrentemente cai em prova são as definições constantes no Glossário da ICP Brasil que consta no link: https://www.gov.br/iti/pt-br/centrais-de-conteudo/glossario Sugiro uma leitura desse documento pelo menos uma vez para se ter uma visão geral das definições. CESPE / CEBRASPE - 2021 - SEFAZ-AL - Auditor Fiscal de Finanças e Controle de Arrecadação da Fazenda Estadual No âmbito da ICP-Brasil, o único certificado digital autoassinado é o da autoridade certificadora raiz. Comentários: Exatamente pessoal. Ela é a estrutura raiz de confiança de toda a cadeia, trazendo a credibilidade que se precista para a infraestrutura de chaves públicas. Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 21 66 Adquirido em @Xinyuu_bot - Telegram Apenas a título de referência, pode-se criar novas infraestruturas de chaves públicas. Essas novas infraestruturas podem ter novas autoridades com certificado autoassinado conforme regramento estabelecido para as suas infraestruturas. Por isso essa vinculação do enunciado é importante, ao indicar o contexto da ICP Brasil. Gabarito: C CESPE / CEBRASPE - 2022 - BANRISUL - Analista de Segurança da Tecnologia da Informação Entre os componentes de uma PKI, como ICP-Brasil, a autoridade certificadora raiz (AC-raiz) é a responsável pela emissão da lista de certificados revogados (LCR). Comentários: Lembremos que as funções de emissão de certificados e gerenciamento das listas de certificados ficam com todas as autoridades certificadoras, não só a AC-Raiz. Gabarito: E FGV/SEFAZ-AM/TI/2022 Leia o fragmento a seguir. “X.509 é um padrão importante porque a estrutura de certificado e os protocolos de autenticação definidos nele são usados em diversos contextos. O núcleo do esquema X.509 é o certificado de _________ associado a cada usuário. Esses certificados do usuário são considerados como sendo criados por alguma _________ confiável e colocados no diretório pela CA ou pelo usuário. O próprio ________ não é responsável pela criação das chaves públicas ou pela função de certificação; ele simplesmente oferece um local de fácil acesso para os usuários obterem certificados”. Assinale a opção cujos itens completem corretamente as lacunas do fragmento acima. A confiabilidade – instituição – usuário. B segurança cibernética – empresa – servidor de segurança. C transparência digital – autoridade certificadora – administrador. D chave privada – autarquia – servidor de autenticação. E chave pública – autoridade certificadora – servidor de diretório. Comentários: Pessoal, apesar do tamanho, temos uma questão muito tranquila. Veja que a primeira lacuna já nos dá o horizonte de resposta. Então bastaria lembrar a esturutra de chaves públicascomo base para o X.509. Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 22 66 Adquirido em @Xinyuu_bot - Telegram Logo, nossa primeira lacuna é justamente a “chave pública”. E aí nos leva ao restante, uma vez que somente as “Autoridades Certificadoras” geram os certificados. E por fim, esses certificados são armazenados em um "Servidor de Diretório”, não sendo estes responsáveis pela emissão, mas tão somente o armazenamento. Gabarito: E A seguir, apresento ainda um tópico que tem caído em algumas provas. • Tipos de Certificados Digitais: o Certificado de Assinatura Digital (A1, A2, A3 e A4) ▪ São os certificados usados para confirmação da identidade na web, correio eletrônico, transações online, redes privadas virtuais, transações eletrônicas, informações eletrônicas, cifração de chaves de sessão e assinatura de documentos com verificação da integridade de suas informações. o Certificado de Sigilo (S1, S2, S3 e S4) ▪ São os certificados usados para cifração de documentos, bases de dados, mensagens e outras informações eletrônicas. o Certificado do Tipo A1 e S1 ▪ É o certificado em que a geração das chaves criptográficas é feita por software e seu armazenamento pode ser feito em hardware ou repositório protegido por senha, cifrado por software. Sua validade máxima é de um ano, sendo a frequência de publicação da LCR no máximo de 48 horas e o prazo máximo admitido para conclusão do processo de revogação de 72 horas. o Certificado do Tipo A2 e S2 ▪ É o certificado em que a geração das chaves criptográficas é feita em software e as mesmas são armazenadas em Cartão Inteligente ou Token, ambos sem capacidade de geração de chave e protegidos por senha. As chaves criptográficas têm no mínimo 1024 bits. A validade máxima do certificado é de dois anos, sendo a frequência de publicação da LCR no máximo de 36 horas e o prazo máximo admitido para conclusão do processo de revogação de 54 horas. o Certificado do Tipo A3 e S3 ▪ É o certificado em que a geração e o armazenamento das chaves criptográficas são feitos em cartão Inteligente ou Token, ambos com capacidade de geração de chaves e protegidos por senha, ou hardware criptográfico aprovado pela ICP-Brasil. As chaves criptográficas têm no mínimo 1024 bits. A validade máxima do certificado é de três anos, sendo a frequência de publicação da LCR no máximo de 24 horas e o prazo máximo admitido para conclusão do processo de revogação de 36 horas. Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 23 66 Adquirido em @Xinyuu_bot - Telegram o Certificado do Tipo A4 e S4 ▪ É o certificado em que a geração e o armazenamento das chaves criptográficas são feitos em cartão Inteligente ou Token, ambos com capacidade de geração de chaves e protegidos por senha, ou hardware criptográfico aprovado pela ICP-Brasil. As chaves criptográficas têm no mínimo 2048 bits. A validade máxima do certificado é de três anos, sendo a frequência de publicação da LCR no máximo de 12 horas e o prazo máximo admitido para conclusão do processo de revogação de 18 horas. Ainda no âmbito da ICP Brasil, podemos categorizar os certificados considerando o usuário ou sistema que irá utilizá-lo. Nesse sentido, podemos fazer a primeira distinção, quais sejam: • Pessoa Física (e-CPF; • Pessoa Jurídica (e-CNPJ); • Sistemas; Então a depender da utilização, devemos trabalhar com tipos diferenciados de certificados. Vamos fazer algumas considerações de cunho prático sobre os certificados, tendo em vista que é um assunto novo em provas, porém, já tem aparecido nos editais. Apenas destacar que no Brasil, como já mencionamos, os certificados possuem validade jurídica e fiscal... Então é possível realizar atos legais a partir do certificado digital. 2. e-CPF a. Utilizado para pessoa física; b. Tem a mesma validade jurídica que um CPF; c. Não ser para emissão de Nota Fiscal Eletrônica; d. Alguns serviços que suportam sua utilização: i. Declaração de Imposto de Renda; ii. Serviços Gerais da Receita Federal, entre outros serviços da justiça, saúde e educação; 3. e-CNPJ a. Utilizado por pessoa jurídica; b. Versão digital do CNPJ da empresa; c. Amplamente utilizado para simplificação e desmaterialização de processos, permitindo otimizar o tempo e reduzindo custos legais e operacionais; d. Alguns serviços que suportam sua utilização: i. Entregar Declaração de imposto de Renda e outras declarações de empresa; ii. Serviços diversos da Receita Federal; iii. Serviços Gerais da Receita Federal, entre outros serviços da justiça, saúde e educação; iv. Outros serviços como o sistema social da CAIXA (FGTS), sistema integrado de comércio exterior (Siscomex); CESPE / CEBRASPE - 2021 - PG-DF - Técnico Jurídico - Tecnologia e Informação Julgue o item a seguir, relativo aos certificados digitais na segurança de sistemas. Na obtenção de um certificado digital do tipo A3, a autoridade de registro (AR) orientará o responsável sobre os procedimentos exigidos para baixar o certificado no computador do cliente. Comentários: Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 24 66 Adquirido em @Xinyuu_bot - Telegram Cuidado pessoal. Tais instruções se aplicação aos certificados que não estão associados a um Token, ou seja, os A1 e A2. No caso do A3, temos um token, e o certificado fica vinculado a ele, ou seja, não há o que se falar em baixar o certificado. Gabarito: E FGV - 2021 - SEFAZ-ES - Auditor Fiscal da Receita Estadual – Manhã Segundo o Guia Prático EFD-ICMS/IPI, os arquivos digitais devem ser assinados por meio de certificado digital, tipo A1 ou A3. Na tabela de referência a seguir, considere as comparações sobre esses dois tipos. Dessas comparações, estão corretas A I e II, somente. B I, III e IV, somente. C II, III e IV, somente. DIII e IV, somente. E I, II, III e IV .Comentários: Questão muito interessante, que traz uma análise comparativa dos certificados A1 e A3 em suas diferentes perspectivas. Então vamos a cada uma das comparações: I – O A1, por ser um arquivo solto, pode ser replicado em vários dispositivos. Enquanto o A3, não, pois este está vinculado a um único token. Logo está CORRETO. II – A validade do A3 é de 36 meses, enquanto o A1 é até 12 meses. Então está INCORRETO. III – Está adequado. Por ser um arquivo solto no A1, é possível utilizar o certificado sem senha, somente com o arquivo instalado. Diferente do A3, que depende de senha para acionar o certificado via TOKEN. Item está CORRETO. Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 25 66 Adquirido em @Xinyuu_bot - Telegram IV – Exatamente pessoal. O A1 é um arquivo solto e não depende de mídias, enquanto o A3 depende da mídia como token. Logo está CORRETO. Gabarito: B • EV SSL (Validação Avançada) Como já mencionamos, os Certificados Digitais são ancorados nas tecnologias SSL/TLS. Considerando a navegação web dos usuários, um consórcio de especialistas na Internet criou uma metodologia, a partir de 2007, que permite a identificação por parte dos Browsers de que os sites utilizam o certificado digital. São os famosos cadeados verdes, o URL’s verdes que aparecem nos browsers. Com isso, é muito mais fácil combater o PHISHING (falsificação de páginas), chamando a atenção do usuário de maneira simples a partir do browser sobre a confiabilidade deste. Cada Browser apresenta o resultado de uma forma. No Caso do Google Chrome, podemos ver o símbolo conforme acima. Destaca-se que o processode obtenção do certificado passa por uma sequência de ações e comprovação de documentos para gerar a maior confiabilidade possível. CESPE – TCE-SC/AFCE – Área TI/2016 O Brasil adota o modelo de ICP de certificação com raízes múltiplas e hierárquicas, no qual o ITI desempenha o papel de credenciar e descredenciar os demais atores participantes da cadeia quanto o de supervisionar e auditar os processos. Comentários: Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 26 66 Adquirido em @Xinyuu_bot - Telegram A ICP Brasil é, sem dúvida, uma estrutura hierárquica. Entretanto, não possui raízes múltiplas, mas sim, uma única raiz, chamada de AC RAIZ. No link a seguir, pode-se verificar a estrutura completa atualizada da ICP Brasil: https://estrutura.iti.gov.br/ Gabarito: E Considerando a utilização de certificados digitais nas páginas web, temos que a vinculação do certificado, em regra, se dá para determinada URL. Nesse sentido, por exemplo, cria-se um certificado digital que será utilizado pelo site do ESTRATEGIA CONCURSOS, por exemplo, que seria para a URL- www.estrategiaconcursos.com.br. Desse modo, todas as chamadas feitas para dentro do domínio em questão, são aceitas, como por exemplo: https://www.estrategiaconcursos.com.br/cursosPorProfessor/andre-castro-3353/ Percebam que se trata de uma mesma URL, havendo distinção apenas dos objetos que são chamados a partir do site, ou seja, diretórios do servidor web. Agora imagine que se deseja criar subdomínios distintos a partir de uma mesma URL padrão. Vamos supor que o objetivo seja criar três subdomínios para o ESTRATEGIA conforme abaixo: • www.alunos.estrategiaconcursos.com.br • www.professores.estrategiaconcursos.com.br • www.administrativo.estrategiaconcursos.com.br Considerando o certificado padrão, seriam necessários 3 certificados digitais, sendo um para cada URL... Percebam que a URL mudou, ainda que sejam vinculados a uma mesma raiz. Nesse contexto surgem os certificados digitais WILDCARDS. Com esse certificado, pode-se utilizar ilimitados subdomínios. Diz-se, portanto, que se deve emitir o certificado para o domínio www.*.estrategiaconcursos.com.br. Ou seja, o símbolo “*” representa as possíveis variações dos subdomínios. Mas você, aluno fiel do professor André Castro, está sempre pensando à frente. E sabendo do crescimento da maior empresa de concursos do país, iria fazer a seguinte pergunta: “André, mas na taxa de crescimento do estratégia, como impedir que outros sites tentem utilizar o mesmo nome com outras extensões? E se o ESTRATEGIA quisesse ter visibilidade para o mundo com o domínio .com?” Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 27 66 Adquirido em @Xinyuu_bot - Telegram Bom, aí surgem os certificados conhecidos como SAN (Subject Alternate Name). Podem ser referenciados também como UCC (Unified Communication Certificate). Na prática, são conhecidos como certificados “Multi- Domínio”. Nesse sentido, a ideia é gerar um único certificado que suporte outros domínios, por exemplo: • www.estrategiaconcursos.com.br • www estrategiaconcursos.com • www.administrativo.estrategiaconcursos.net • Entre outros.... A figura abaixo nos dá um exemplo do site da geotrust, considerando esse contexto: Por fim, apenas a título de referência, temos os modelos de certificador corporativos ou funcionais. Basicamente a diferença é porque exite uma estrutura de conselho associado onde é possível vincular os profissionais às suas respectivas categorias, garantindo ainda mais credibilidade e controle. Nesse contexto, podemos citar: ❖ e-Saúde — para profissionais de saúde assinarem prontuários eletrônicos, prescreverem medicamentos e emitirem atestados; ❖ e-Jurídico - para advogados acessarem remotamente processos e assinarem petições e procurações; e ❖ e-Contador - para contadores assinarem documentos e enviarem informações para órgãos públicos. Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 28 66 Adquirido em @Xinyuu_bot - Telegram CESPE / CEBRASPE - 2022 - BANRISUL - Analista de Segurança da Tecnologia da Informação Existem versões específicas de certificados digitais para determinados profissionais liberais, como advogados, contadores e médicos, o que lhes permite executar atividades afins às suas respectivas áreas de atuação. Comentários: Exatamente como comentamos pessoal. Não tem muito o que acrescentar nessa questão, a não ser a ratificação do nosso entendimento. Gabarito: C APLICAÇÕES DE CRIPTOGRAFIA Algumas bancas têm cobrado alguns assuntos mais específicos no que tange a conceitos atrelados a aplicações que dependem da criptografia como base de seu funcionamento. Entretanto, apesar de constar nos editais, não tenho visto esses assuntos caírem nas provas e, por isso, a ausência de questões sobre o assunto. Criptomoedas E Blockchain Tudo se ancora no conceito de moeda digital. No modelo antigo, tínhamos entes centrais que atuavam como garantidores dos recursos e fundos. Ou seja, um banco, por exemplo, era capaz de dizer para a parte tomadora do recurso se, de fato, você tem aquele crédito ou não para realizar a operação. Muito básico para a realidade que temos hoje, certo? Entretanto, o surgimento das criptomoedas vai além desse cenário restrito. O pseudônimo SATOSHI NAKAMOTO foi o responsável por essa façanha. Ele publicou um artigo conhecido como “Bicoint: A Peer-to-Peer Electronic Cash System”. Em seu artigo, ele cria um modelo de moeda digital descentralizado, sob o conceito de criptomoeda e comunicação peer-to-peer. Além disso, aplica metodologias de pagamento eletrônico baseado em garantias Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 29 66 Adquirido em @Xinyuu_bot - Telegram criptográficas e não na relação de confiança, como existia antes com os bancos. Ou seja, não há gerenciamento por instituições financeiras. O BITCOIN está amparado em 4 pilares básicos, quais sejam: Dessa forma, ao mesmo tempo que o modelo prevê um acesso e utilização de forma pública, há um caráter de zelar pela anonimidade em todo o processo, o que, infelizmente, é utilizado por muitos como forma de gerar fluxos financeiros de maneira ilícita e, portanto, não rastreável. Em relação ao seu funcionamento, tem-se a criação de blocos transacionais, onde cada bloco possui informação das transações atuais, bem como links para os blocos anteriores, inclusive com relação até o primeiro bloco. Daí surge o conceito de BLOCKCHAIN. Em cada bloco, tem-se o valor de referência de 25 bitcoins por bloco. BITCOIN Transações Garantia do Trabalho Mineração Carteira Digital Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 30 66 Adquirido em @Xinyuu_bot - Telegram Uma das diferenças que agrega confiabilidade ao processo é o fato de se ter o armazenamento do “arquivo block chain” em cada nó envolvido na rede do blockchain, e não de maneira centralizada em um nó ou datacenter de um grande branco. Assim, é possível que os nós envolvidos na transação tenham condições de conferir se tais arquivos não foram adulterados de maneira simples e fácil. Ou seja, se alguém tem a intenção de adulterar tal conteúdo, deverá também alterá-lo em todos os nós da rede, o que é, na prática, impossível. Aqui vale a máximo de que, a minoria de usuários que tentam burlar o processo não terá força para “alterar” algumainformação sem a anuência e confirmação da “maioria honesta”. Importante destacar que essa operação será considerada válida somente após ser validada por 6 nós aleatórios. Tão logo seja validada, ela é propagada para toda a rede para registro nos arquivos da blockchain e armazenamento do histórico. Nesse contexto, surgem os mineradores. São responsáveis por gerarem os blocos e processarem os algoritmos de cada transação. Quanto mais mineradores na rede, mais robusto se torna o sistema. Esses mineradores são remunerados por intermédio de comissões do sistema, intrínsecos ao modelo. Justamente por demandar grande poder de processamento, utiliza-se de placas gráficas em paralelo para tal finalidade. Não é muito difícil se encontrar placas de videogames sendo utilizadas para tal propósito. Essas comissões são geradas em um regime decrescente. Ou seja, a cada 10 minutos, gera-se uma quantidade de bitcoins para ser distribuída entre os mineradores. O regime decrescente apresenta um cenário em que a quantidade de bitcoins geradas a cada 10 minutos então vai reduzindo, até que chegue ao limite do modelo, que é de 21 milhões de bitcoins. Nesse momento, não serão geradas mais comissões. Uma forma de controlar a geração dos bitcoins a cada 10 minutos se dá pelo fato de aumentar, cada vez mais, a complexidade dos cálculos matemáticos. Ou seja, ainda que se aumente o poder computacional, os processos vão ficando cada vez mais difíceis, traçando um comportamento em termos de período mais uniformes. Todas as transações e blocos ficam armazenadas em um “livro de registro”. Essas transações são conhecidas por terem como característica o fato de “serem de difícil solução (por isso exigem muito processamento), porém, de fácil comprovação”. Obviamente não discutiremos o funcionamento do algoritmo. Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 31 66 Adquirido em @Xinyuu_bot - Telegram A título e registro, temos a utilização da função HASH SHA256. Todo o processo de criptografia e identificação das entidades envolvidas são ancoradas no processo de assinatura digital (chaves públicas e privadas). Falando um pouco mais da blockchain, é importante destacar que a utilização dos pares de chaves pelos usuários se dá pelos seguintes motivos: 1. Chave pública é de amplo acesso e permite que qualquer usuário saiba da existência de uma conta ou carteira digital para usuários específicos. 2. Entretanto, a chave privada, de conhecimento exclusivamente do dono é que permite o acesso aos dados e informações, bem como autoriza e realiza transações para a referida carteira. Nada mais do que a aplicação dos conceitos da criptografia assimétrica. Importante destacar que os conceitos atrelados à blockchain não se restringem a redes para troca de criptomoedas. Atualmente, diversas soluções podem utilizar a blockchain como um protocolo de confiança digital para uma infinidade de aplicações, como emissão de diplomas, certificados, operações governamentais, decisões coletivas, apostas, seguros, certidões, entre muitos outros. Então basicamente, tem-se uma rede para registrar e garantir os documentos envolvidos. Nessa mesma linha de raciocínio é que surge o conceito de ALTCOINS. Simplesmente são outras criptomoedas ou soluções baseadas em blockchain com seus modelos próprios e aplicações específicas. Com pesquisas simples na Internet é possível identificar uma infinidade de ALTCOINS já disponíveis no mercado. QUESTÕES COMENTADAS Assinatura Digital e Certificados Digitais 1. (CESPE – TCE-SC/AFCE – Área TI/2016) O Brasil adota o modelo de ICP de certificação com raízes múltiplas e hierárquicas, no qual o ITI desempenha o papel de credenciar e descredenciar os demais atores participantes da cadeia quanto o de supervisionar e auditar os processos. Comentários: Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 32 66 Adquirido em @Xinyuu_bot - Telegram A ICP Brasil é, sem dúvida, uma estrutura hierárquica. Entretanto, não possui raízes múltiplas, mas sim, uma única raiz, chamada de AC RAIZ. No link a seguir, pode-se verificar a estrutura completa atualizada da ICP Brasil: http://iti.gov.br/images/icp-brasil/estrutura/2016/05_maio/atualizacao_21/estrutura_completa.pdf Gabarito: E 2. (CESPE – TCE-PR/Analista de Controle – Área TI/2016) Na certificação digital, a autoridade certificadora é responsável por a) gerar os certificados digitais, assiná-los, entregá-los aos solicitantes e reconhecê-los durante seu período de validade. b) assinar digitalmente mensagens de email para proprietários de certificados digitais emitidos por uma autoridade de registro conveniada. c) verificar a identidade de um solicitante e passar a solicitação a uma autoridade de registro. d) criptografar todas as mensagens geradas por um proprietário de um certificado digital e entregá- las ao correto destinatário. e) alterar os campos ou as chaves de um certificado digital e reemiti-lo sempre que isso for solicitado pelo proprietário do certificado. Comentários: Pessoal, temos a descrição das principais atividades das autoridades certificadoras elencadas no item “A”. Não temos muito o que acrescentar por aqui. Gabarito: A 3. (CESPE - PCF/Área 3/2013) Embora o algoritmo RSA satisfaça aos requisitos necessários para prover assinatura digital, ele é utilizado, por questões de desempenho, em conjunto com funções de hashes criptográficos, como SHA-1. Comentários: Exatamente isso pessoal. Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 33 66 Adquirido em @Xinyuu_bot - Telegram Gabarito: C 4. (CESPE – TCE-PR/Analista de Controle – Área TI/2016) Os serviços relacionados a assinatura digital incluem a) a disponibilidade e a integridade de dados. b) a autenticação de entidade par e a irretratabilidade. c) a irretratabilidade e a confidencialidade do fluxo de tráfego. d) o controle de acesso e a confidencialidade. e) a autenticação da origem de dados e o controle de acesso. Comentários: Pessoal, questão típica, certo? A assinatura digital nos garantirá três princípios, quais sejam: autenticidade, irretratabilidade e integridade. Gabarito: B 5. (CESPE - Ana (BACEN)/Área 2 - Suporte à Infraestrutura de Tecnologia da Informação/2013) O uso de assinatura digital objetiva comprovar a autenticidade e a integridade de uma informação, sendo a integridade garantida mediante a codificação de todo o conteúdo referente à assinatura. Comentários: Não pessoal! Vimos que a integridade é garantida após a comparação dos HASHES gerados nas duas pernas da assinatura digital no lado do destinatário. Na primeira, deve-se desencriptar a assinatura digital para obter o HASH. Na segunda, deve-se aplicar a respectiva função HASH sobre a mensagem original recebida. Agora, basta comparar. Gabarito: E 6. (CESPE - Ana Info (TCE-RO)/2013) Assinatura digital é um mecanismo capaz de garantir a autenticidade e a integridade de um arquivo transferido via Internet. Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 34 66 Adquirido em @Xinyuu_bot - Telegram Comentários: Questão bem simples e objetiva quanto às características da Assinatura Digital. Gabarito: C 7. (CESPE - TJ STF/Apoio Especializado/Tecnologia da Informação/2013) A assinatura digital garante vínculo lógico entre o documento e a assinatura e possibilita a verificação da integridade do conteúdo assinado e a validação da identificação do assinante em conjunto com a certificaçãodigital. Comentários: Exatamente a combinação desses fatores permite o uso da assinatura digital. Lembrando que o certificado digital permite a extração da chave pública do Emissor, entre outras informações relevantes. Gabarito: C 8. (CESPE - AnaTA SUFRAMA/Tecnologia da Informação/2014) A assinatura digital de um documento digitalizado pode ser substituída pela assinatura eletrônica, a qual permite aferir, com segurança, a origem e a integridade do documento. Comentários: Pessoal, não se deixem confundir. Assinatura digital e eletrônica são coisas distintas. A assinatura digital visa garantir a autenticidade de integridade. A assinatura eletrônica nada mais é do que um meio de você inserir uma assinatura em um documento digital. Este está sujeito a uma série de alterações. Gabarito: E 9. (CESPE - AJ TRT17/Apoio Especializado/Tecnologia da Informação/2013) A assinatura digital garante a confidencialidade da transmissão da informação. Comentários: Não né pessoal? A Assinatura Digital por si só não garantir confidencialidade, mas tão somente autenticidade e integridade. Gabarito: E Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 35 66 Adquirido em @Xinyuu_bot - Telegram 10. (CESPE - AA (ANCINE)/II/2013) A assinatura digital, que é uma unidade de dados originada de uma transformação criptográfica, possibilita que um destinatário da unidade de dados comprove a origem e a integridade dessa unidade e se proteja contra falsificação. Comentários: Agora temos os princípios corretos elencados. Gabarito: C 11. (CESPE - Tec MPU/Técnico Administrativo/Tecnologia da Informação e Comunicação/2013) Se um usuário assina uma mensagem com sua própria chave pública e a envia, o destinatário será capaz de verificar a autenticidade e a integridade da mensagem. Comentários: Se ele fizer isso, o único capaz de abrir a mensagem será o próprio emissor, pois o respectivo par de chave será a chave privada do emissor. Gabarito: E 12. (CESPE - AA (ANATEL)/Suporte e Infraestrutura de Tecnologia da Informação/2014) A assinatura eletrônica vinculada a um certificado emitido no âmbito da ICP-Brasil tem função específica e restrita de determinar a não violação do conteúdo de um documento assinado eletronicamente, e não conduz à presunção de autenticidade do emissor do documento subscrito. Comentários: Pessoal, primeiro que assinatura eletrônica é diferente de assinatura digital. E segundo, que a assinatura digital não visa garantir apenas a não violação (integridade), mas também a autenticidade. Gabarito: E 13. (CESPE - PCF/Área 3/2013) Ao acessar um sítio seguro na Internet e receber o certificado digital do servidor, o navegador do cliente faz uma consulta à autoridade certificadora que assinou aquele certificado para verificar, por exemplo, se o certificado é válido ou não está revogado. Essa verificação é feita com o uso do protocolo OCSP (Online Certificate Status Protocol). Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 36 66 Adquirido em @Xinyuu_bot - Telegram Comentários: Conforme vimos, o protocolo OCSP permite verificar a validade dos certificados de forma online. Entretanto, gostaria de registrar aqui uma observação em relação a afirmação de que o OSCP será sempre utilizado. O termo mais correto seria dizer que “poderá” ser feita essa verificação via OCSP. Gabarito: C 14. (CESPE - APF (DEPEN)/Área 7/2015) Um certificado digital contém, entre outros aspectos, a chave privada do emissor do certificado para que seja possível a verificação da chave pública. Comentários: A chave privada é de conhecimento apenas do dono. Não há o que se falar de inserir essa informação no certificado digital para acesso público. Gabarito: E 15. (CESPE - AJ TRT10/Apoio Especializado/Tecnologia da Informação/2013) Um certificado digital é um documento em que são registradas diversas informações, tais como titular e sua chave pública, assim como nome e assinatura da autoridade certificadora que garantirá a emissão do certificado. Comentários: Agora sim temos uma lista de possíveis elementos que estarão presentes em um certificado digital. Gabarito: C 16. (CESPE - AJ (STF)/Apoio Especializado/Suporte em Tecnologia da Informação/2013) Ao utilizar um certificado digital de 2.048 bits, tanto a chave privada quanto a chave pública terão 1024 bits, que somadas geram o certificado de 2048 bits. Comentários: Diversos erros neste item. Primeiro, que, mais uma vez, não há o que se falar de chave privada em certificado digital. Segundo, que não é o certificado digital que tem 2.048 bits e sim a chave pública do algoritmo utilizado. Atualmente, a utilização do algoritmo RSA com chave de 2.048 bits tem se apresentado como uma solução robusta em termos de segurança. Gabarito: E Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 37 66 Adquirido em @Xinyuu_bot - Telegram 17. (CESPE - Ana MPU/Tecnologia da Informação e Comunicação/Suporte e Infraestrutura/2013) Uma empresa cuja matriz está localizada em Brasília possui três filiais localizadas em outras cidades do Brasil. As atribuições da matriz incluem analisar todas as propostas de negócio e autorizar os valores finais da negociação, além de analisar a documentação dos clientes para a liberação do crédito. Como atende a clientes em cidades onde não possui pontos de atendimento, a empresa recebe as propostas e documentos dos clientes eletronicamente e fecha contratos à distância. Os clientes também podem ser atendidos nas filiais, caso em que elas se responsabilizam pela recepção dos documentos e pelo seu envio, por meio eletrônico, para a matriz. Com base nessa situação hipotética, julgue o seguinte item. O uso de certificados autoassinados para assinar eletronicamente os documentos digitais enviados pelos clientes às filiais é suficiente para garantir a autoria do envio desses documentos. Comentários: Se é auto-assinado, quer dizer que o próprio emissor do certificado é quem assinou a sua validade, ou seja, não há um terceiro confiável que confirme essa assinatura e, portanto, a sua autenticidade. Nesse modelo, nada impede que um usuário mal-intencionado obtenhas as informações e gere um certificado falso com as mesmas informações dos certificados originais e também realize a auto-assinatura. Gabarito: E 18. (CESPE - AUFC/Controle Externo/Auditoria de Tecnologia da Informação/2015) A autoridade de registro, além de ser a emissora de certificados e listas de revogação de certificados, é um componente obrigatório nas PKI e está associada ao registro das autoridades certificadoras. Comentários: Pessoal, autoridade de registro não exerce a função de emissão de certificados. Além disso, também não é um elemento obrigatório em uma PKI. E por último, está associado ao registro de certificados digitais e não ao registro das autoridades certificadoras. Gabarito: E 19. (CESPE - AJ TRT10/Apoio Especializado/Tecnologia da Informação/2013) As autoridades de registro, que se devem vincular a uma autoridade certificadora, recebem, validam, verificam e encaminham as solicitações de emissão e de revogação dos certificados digitais para as autoridades certificadoras. Comentários: Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 38 66 Adquirido em @Xinyuu_bot - Telegram Exatamente como vimos em nossa teoria. A AR está subordinada a uma AC e visa tratar as requisições e encaminhar às AC’s para emissão ou revogação. Gabarito:C 20. (CESPE - AJ TRT10/Apoio Especializado/Tecnologia da Informação/2013) Um requisito para uma entidade tornar-se uma autoridade de registro é ser uma entidade jurídica, não podendo as pessoas físicas tornarem-se autoridades de registro. Comentários: Temos aqui uma questão de caráter normativo. A legislação prevê que as AC’s e AR’s devem ser órgãos ou entidades de direito público; ou pessoas jurídicas de direito privado. Por esse motivo, não poderá ser pessoas físicas para tal finalidade. Gabarito: C 21. (CESPE - AJ TRT10/Apoio Especializado/Tecnologia da Informação/2013) A Infraestrutura de Chaves Públicas do Brasil compõe-se de duas categorias de certificados digitais: A, destinada a atividades sigilosas, e S, destinada à autenticação e identificação. Comentários: Tivemos uma inversão das características das categorias de certificados digitais. Gabarito: E 22. (CESPE - AJ TRT10/Apoio Especializado/Tecnologia da Informação/2013) No Brasil, a infraestrutura de chaves públicas foi implantada com o objetivo de prover soluções de criptografia para chaves públicas, sendo o governo brasileiro o único órgão responsável pela emissão e administração de certificados digitais. Comentários: Como vimos, há a participação de pessoas jurídicas de direito privado como AC’s. Gabarito: E Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 39 66 Adquirido em @Xinyuu_bot - Telegram 23. (CESPE - AJ TRT10/Apoio Especializado/Tecnologia da Informação/2013) O certificado digital revogado deve constar da lista de certificados revogados, publicada na página de Internet da autoridade certificadora que o emitiu. Comentários: Questão bem tranquila a respeito da operacionalização de divulgação das listas de certificados revogados. Gabarito: C 24. (CESPE - Ana (BACEN)/Área 2 - Suporte à Infraestrutura de Tecnologia da Informação/2013) A autoridade certificadora é responsável por divulgar informações caso o certificado por ela emitido não seja mais confiável. Comentários: Reforçando o conceito que vimos na questão anterior. Gabarito: C 25. (CESPE - AJ (STF)/Apoio Especializado/Análise de Sistemas de Informação /2013) Na Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), a autoridade de registro é uma entidade na qual os usuários de serviços de Carimbo do Tempo confiam para emitir certificado para provar a sua existência em determinado período. Comentários: Pessoal, essas características, conforme o ITI, está presente na Autoridade Certificadora de Tempo – ACT. Temos a descrição dessa entidade: “Uma Autoridade Certificadora do Tempo (ACT) é uma entidade na qual os usuários de serviços de Carimbo do Tempo confiam para emitir Carimbos do Tempo. A ACT tem a responsabilidade geral pelo fornecimento do Carimbo do Tempo, conjunto de atributos fornecidos pela parte confiável do tempo que, associado a uma assinatura digital, confere provar a sua existência em determinado período. Na prática, um documento é produzido e seu conteúdo é criptografado. Em seguida, ele recebe os atributos ano, mês, dia, hora, minuto e segundo, atestado na forma da assinatura realizada com certificado digital servindo assim para comprovar sua autenticidade. A ACT atesta não apenas a questão temporal de uma transação, mas também seu conteúdo. ” Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 40 66 Adquirido em @Xinyuu_bot - Telegram Gabarito: E 26. (CESPE - AA (ANTAQ)/TI - Analista de Infraestrutura/2014) Para a utilização de criptografia assimétrica, a distribuição das chaves públicas é comumente realizada por meio de certificado digital, que contém o nome do usuário e a sua chave pública, sendo a autenticidade dessas informações garantida por assinatura digital de uma terceira parte confiável, denominada AC. Comentários: De fato, o papel da AC é fundamental para garantir a autenticidade das informações contidas no certificado digital, entre elas o nome do usuário e sua chave pública. Gabarito: C Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 41 66 Adquirido em @Xinyuu_bot - Telegram QUESTÕES COMENTADAS COMPLEMENTARES Assinaturas e Certificados Digitais 1. FGV - 2021 - TCE-AM - Auditor Técnico de Controle Externo - Tecnologia da Informação - 2ª dia Sobre certificação digital, analise as afirmativas a seguir. I. A revogação de um certificado digital é implementada através de listas de revogação emitidas pelas autoridades certificadoras, ou através do protocolo OCSP. II. O certificado digital do tipo A1 armazena a chave privada em hardware criptográfico, com uso de token ou smartcard. III. Os certificados digitais emitidos pelas autoridades certificadoras que compõem o ICP-Brasil adotam o formato SPDK/SDSI. Está correto somente o que se afirma em: A I; B II; C III; D I e II; E II e III. Comentário: Vamos aos itens: I – Exatamente pessoal. Conforme vimos, temos o modelo mais tradicional de download das listas gerenciadas diretamente pelas AC’s, ou então, por meio da integração de serviço online via OCSP. CORRETO II – Somente a partir do A3 que há o armazenamento em token criptográfico. INCORRETO III – O Brasil, por meio da ICP-Brasil adota o X.509 em sua versão 3. INCORRETO Gabarito: A 2. FGV - 2017 - SEPOG - RO - Analista em Tecnologia da Informação e Comunicação Uma autoridade certificadora deve emitir, expedir, distribuir, revogar e gerenciar certificados digitais. Dentre as informações presentes no certificado do servidor S, emitido pela autoridade certificadora AC, temos o número de série, o período de validade do certificado e a Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 42 66 Adquirido em @Xinyuu_bot - Telegram A chave simétrica do servidor S. B chave privada do servidor S. C chave pública do servidor S. D chave privada da autoridade certificadora AC. E chave pública da autoridade certificadora AC. Comentário: Lembremos que o certificado digital é um documento público, logo, só devem constar nele informações públicas, como a chave pública do Servidor S. Gabarito: C 3. FGV - 2017 - MPE-BA - Analista Técnico - Tecnologia Em relação à assinatura e à certificação digital, analise as afirmativas a seguir. I. A assinatura digital não garante o sigilo das informações. II. O certificado digital permite a identificação segura e inequívoca do autor de uma mensagem ou transação feita em meios eletrônicos. III. A assinatura digital assegura a integridade da mensagem, ou seja, sempre que houver qualquer alteração, o destinatário terá como percebê-la. Está correto o que se afirma em: A somente I; B somente II; C somente III; D somente II e III; E I, II e III. Comentário: Vamos aos itens: I – De fato, a assinatura só garante a autenticidade, integridade e não repúdio. CORRETO II – Essa é a ideia, a partir da publicização da sua chave pública e dados associados. CORRETO Diego Carvalho, André Castro Aula 08 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 43 66 Adquirido em @Xinyuu_bot - Telegram III – Conforme comentamos no primeiro item. CORRETO Gabarito: E 4. FGV - 2017 - IBGE - Analista Censitário - Análise de Sistemas - Desenvolvimento de Aplicações Com relação aos certificados digitais, analise as afirmativas a seguir: I. Se um navegador informar que um certificado não é confiável, o motivo pode estar