CRIPTOGRAFIA E SEGURANÇA NA COMUNICAÇÃO

Prévia do material em texto

<p>1 - A criptografia assimétrica é caracterizada pelo uso de duas chaves, também conhecidas por chave privada e chave pública.</p><p>A chave pública é utilizada para cifrar e a chave privada para decifrar os dados.</p><p>Dentre as alternativas abaixo, selecione a alternativa que representa corretamente um algoritmo de chave assimétrica</p><p>Resposta</p><p>Diffie-Hellman</p><p>2 - O protocolo HTTPS representa a combinação dos protocolos de aplicação HTTP e SSL.</p><p>Ele utiliza a porta 443 e o protocolo de transporte TCP.</p><p>É capaz de prover conexão segura entre um servidor web e um navegador web, ou seja, toda informação trafegada entre o navegador do usuário e o servidor web será criptografada, garantindo confidencialidade.</p><p>Considerando o texto acima, avalie as seguintes asserções e a relação proposta entre elas.</p><p>I - Os atuais navegadores web suportam o recurso HTTPS, não demandando configuração específica no dispositivo do usuário. Porém, para utilizá-lo o servidor web que será acessado também deve suportar comunicação HTTPS.</p><p>PORQUE</p><p>II - Para configuração de suporte a HTTPS em um servidor web, como por exemplo Apache e Nginx, são necessárias configurações específicas pois os mesmos não suportam nativamente este recurso. Além disso, é preciso contratar um certificado digital junto a uma AC (Autoridade Certificadora).</p><p>A respeito dessas asserções, assinale a opção correta.</p><p>Resposta</p><p>As asserções I e II são proposições verdadeiras, e a II é uma justificativa correta da I.</p><p>3 - A criptografia simétrica é caracterizada pelo uso de uma única chave pelo emissor e receptor, também conhecida como chave privada. Transmitir essa chave através de um meio seguro e manter o segredo da mesma são desafios desse modelo de criptografia.</p><p>Dentre as alternativas abaixo, selecione a alternativa que representa corretamente um algoritmo de chave simétrica tradicional.</p><p>Resposta</p><p>AES</p><p>4 - Podemos dividir os cifradores em dois tipos: de fluxo e de bloco. Cada um possui características específicas e vantagens e desvantagens, dependendo do cenário de utilização.</p><p>Assinale a alternativa que representa corretamente o tipo de cifra mais indicado para criptografar dados estáticos, ou seja, quando já se conhece anteriormente o tamanho dos dados.</p><p>Resposta</p><p>Cifradores de bloco.</p><p>5 - A norma ABNT NBR ISO/IEC 27005 foi criada especificamente para Gestão de riscos de segurança da informação. Ela define um processo de avaliação de riscos baseado em etapas.</p><p>Fonte: ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27005:2019: Tecnologia da informação - Técnicas de segurança - Gestão de riscos de segurança da informação. Rio de Janeiro, 2019.</p><p>Selecione a etapa que corresponde corretamente a descrição abaixo:</p><p>· O trabalho inicial dessa etapa é priorizar os riscos encontrados, colocando como os primeiros a serem tratados aqueles que têm mais chances de se concretizar. Devem também ser determinadas opções de tratamento, que podem ser: reduzir, reter, evitar e transferir.</p><p>Resposta</p><p>Avaliação de riscos</p><p>6 - O protoco IPSec (IP Security) atua na camada de rede do Modelo OSI e oferece recursos de segurança a um pacote.</p><p>Ele pode ser utilizado de duas formas: modo de transporte ou modo túnel.</p><p>Normalmente o modo túnel é usado entre dois roteadores ou firewall, nas VPNs conhecidas como Site-to-Site.</p><p>No modo túnel estão disponíveis dois protocolos de segurança, AH e ESP, com a função de oferecer autenticação e/ou criptografia para pacotes no nível IP.</p><p>Abaixo, uma tabela comparando os serviços de segurança oferecidos por ambos:</p><p>Serviços</p><p>AH</p><p>ESP</p><p>Controle de acesso</p><p>Sim</p><p>Sim</p><p>Autenticação de mensagens (integridade de mensagens)</p><p>Sim</p><p>Sim</p><p>Autenticação de entidades (autenticação de fontes de dados)</p><p>Sim</p><p>Sim</p><p>Confidencialidade</p><p>Não</p><p>Sim</p><p>Proteção de ataque de reprodução</p><p>Sim</p><p>Sim</p><p>Fonte:FOROUZAN, Behrouz A. Comunicação de Dados e Redes de Computadores. 4 ed. Porto Alegre: AMGH, 2008. Tabela 32.1 Serviços oferecidos pelo IPSec, página 1001.</p><p>Considerando o texto apresentado, avalie as afirmações a seguir:</p><p>I - Através de uma função hash e uma chave simétrica o AH cria um resumo de mensagem. Este resumo é inserido no cabeçalho de autenticação.</p><p>II - Para fornecer confidencialidade, o ESP adiciona um cabeçalho e trailer e também modifica o valor do campo de protocolo no cabeçalho IP.</p><p>III - O ESP foi criado depois do AH, como uma evolução, com o objetivo de oferecer recursos que o AH não fornece. Portanto, é melhor utilização-lo do que o AH.</p><p>É correto o que se afirma em:</p><p>Resposta</p><p>I, II e III.</p><p>7 - O problema conhecido como ponto único de falha em um datacenter pode comprometer a disponibilidade de um sistema ou do serviço de TI por completo. Para reduzir sua ocorrência são projetados e implementados sistemas com redundância.</p><p>Selecione a alternativa que representa corretamente uma implementação de redundância que provê caminhos de rede adicionais para os pacotes de dados.</p><p>Resposta</p><p>Agregação de portas em switch.</p><p>8 - O criptosistema RSA é utiliza criptografia de chaves assimétricas, ou seja, uma chave pública e uma chave privada.</p><p>Ele recebe o nome de RSA pois foi criado por Ron Rivest, Len Adleman e Adi Shamir, nos laboratórios do MIT em 1977.</p><p>A chave pública é utilizada para cifrar e a chave privada para decidir. Dessa forma, ele resolve um importante problema da criptografia simétrica, dispensando a necessidade do destinatário se relacionar anteriormente a troca de dados para compartilhar as chaves de criptografia.</p><p>É um dos algoritmos de chave assimétrica mais utilizados.</p><p>Considerando o texto apresentado, avalie as afirmações a seguir.</p><p>I - O criptosistema RSA é um cifrador de bloco.</p><p>II - Uma utilização popular do RSA é em servidores web.</p><p>III - RSA é capaz de garantir confidencialidade e autenticidade.</p><p>Está correto o que se afirma em:</p><p>Resposta</p><p>II e III, apenas.</p><p>9 - Segundo MACHADO (2014), o processo de encriptação e decriptação é constituído de 5 etapas sequências.</p><p>MACHADO, Felipe Nery Rodrigues. Segurança da Informação: princípios e controle de ameaças. 1. ed. --São Paulo:Érica, 2014</p><p>Selecione a alternativa que representa corretamente a ordem das 5 etapas.</p><p>Resposta</p><p>Texto Claro > Encriptação > Texto Criptografado > Decriptação > Texto Claro,</p><p>10 – Para fortalecer a proteção de redes de computadores, se faz necessário implementar medidas de controle de acesso.</p><p>MACHADO definiu controle de acesso como "o gerenciamento da visualização de informações e da utilização dos recursos digitais de uma rede de computadores, considerando as propriedades da segurança da informação, quais sejam: confidencialidade, integridade e disponibilidade."</p><p>Fonte: MACHADO, Felipe Nery Rodrigues. Segurança da Informação: princípios e controle de ameaças. 1. ed. --São Paulo: Érica, 2014.</p><p>A correta implementação de controle de acesso evitará incidentes relacionados a visualização não autorizada dos dados.</p><p>O controle de acesso contempla dois pontos: 1 - identificar o usuário; 2 - verificar sua autenticidade.</p><p>Considerando o texto acima, avalie as seguintes asserções e a relação proposta entre elas.</p><p>I - A identificação de um usuário pode ser comprovada através de seu nome de usuário acrescido da senha.</p><p>PORQUE</p><p>II - Senhas são um mecanismo comum de autenticação. Usuários devem dar importância em manter senhas fortes.</p><p>A respeito dessas asserções, assinale a opção correta.</p><p>Resposta</p><p>A asserção I é uma proposição falsa, e a II é uma proposição verdadeira.</p><p>11 - A LGPD (Lei Geral de Proteção de Dados), prevê sanções administrativas caso um agente de tratamento de dados cometa alguma infração prevista na Lei, que serão aplicadas pela autoridade nacional.</p><p>Lei Geral de Proteção de Dados Pessoais (LGPD), disponível em http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm acesso em 02 de Março de 2021.</p><p>Selecione a alternativa que representa corretamente uma sanção prevista na LGPD:</p><p>· Publicização da infração após devidamente apurada e confirmada a sua ocorrência.</p><p>12 - Sabe-se que a dificuldade de se resolver problemas matemáticos é o método escolhido para promover a segurança dos criptosistemas</p><p>assimétricos (criptografia de chave pública). Sendo assim, o criptosistema de curvas elípticas atende perfeitamente essa necessidade, pois essas funções matemáticas são simples de calcular, mas muito difíceis de reverter, garantindo grande dificuldade a um atacante, caso ele tente decifrar os dados cifrados.</p><p>Dentre as alternativas abaixo, selecione a que representa corretamente uma vantagem do criptosistema de curvas elípticas em relação ao algoritmo criptográfico RSA.</p><p>· Utilização de chaves de tamanho menores que o RSA com mesma efetividade.</p><p>13 - Em 1997 o NIST (National Institute of Standards and Technologies) promoveu uma competição para criar um substituto para o algoritmo DES.</p><p>Em 2001 o algoritmo AES (Advanced Encryption Standard) foi declarado vencedor, tendo como seus criadores Vincent Rijmen e Joan Daemen.</p><p>Ele pode ser utilizado com chaves de 128, 192 ou 256 bits de comprimento.</p><p>Segundo GOODRICH, "No início de 2010, o AES-256 foi amplamente considerado como a melhor escolha para um criptossistema simétrico de propósito geral. Ele é suportado pelos principais sistemas operacionais, incluindo Windows, Mac OS e Linux."</p><p>Fonte: GOODRICH, Michael T. Introdução a Segurança de Computadores. Porto Alegre: Artmed, 2012.</p><p>Considerando o texto acima, avalie as seguintes asserções e a relação proposta entre elas.</p><p>I - O algoritmo AES é do tipo assimétrico e utilizada cifra de fluxo.</p><p>PORQUE</p><p>II - Algoritmos assimétricos utilizam uma única chave para criptografar e descriptografar e durante o processo de criptografia realizam transformações bit a bit.</p><p>A respeito dessas asserções, assinale a opção correta.</p><p>· As asserções I e II são proposições falsas.</p><p>14 - SOMASUNDARAM (2011) e SHRIVASTAVA (2011), definiram conceitos fundamentais sobre a relação "Disponibilidade X Infraestrutura".</p><p>Analise a frase a seguir:</p><p>• Define o momento exato ou a janela de tempo (determinado horário do dia, semana, mês e/ou ano, conforme especificado) no qual as informações devem estar acessíveis.</p><p>Fonte: SOMASUNDARAM, G.; SHRIVASTAVA, Alok; EMC Education Services; tradução: FERNANDES, Acauan Pereira; revisão técnica: EMC Brasil. Armazenamento e gerenciamento de informações: como armazenar, gerenciar e proteger informações digitais. Porto Alegre: Bookman, 2011.</p><p>A alternativa que representa corretamente este conceito é definida como:</p><p>Resposta</p><p>Prontidão</p><p>15 - Uma rede de computadores pode sofrer diversos tipos de ataques, então, é importante conhecê-los para implementar medidas de proteção. Esses ataques exploram vulnerabilidades, que podem ser provenientes de uma falha na implementação ou configuração de um software ou hardware.</p><p>Selecione a alternativa que representa, corretamente, o tipo de ataque que acontece quando uma interface de rede está operando de modo promíscuo.</p><p>· Espionagem de pacotes.</p><p>16 - O criptossistema de curvas elípticas beneficia-se da matemática envolvida na inviabilidade de calcular o logaritmo discreto de um elemento de curva elíptica aleatório em relação a um ponto de base, conhecido como problema de logaritmo discreto de curva elíptica (ECDLP).</p><p>Selecione a alternativa que representa corretamente uma vantagem da utilização de criptografia de curvas elípticas.</p><p>· Menor esforço computacional se comparado ao algoritmo RSA.</p><p>17 - Servidores web, que são servidores que disponibilizam páginas para que usuários possam acessar, cada vez mais utilizam criptografia a fim de proteger as informações trafegadas entre o dispositivo do usuário e o servidor. Para esse cenário, um tipo de criptografia é preferido em relação a outro, pois apresenta vantagens práticas no dia a dia.</p><p>Analise as alternativas, a seguir, e assinale a que apresenta o tipo de criptografia utilizada em servidores web.</p><p>resposta</p><p>· Criptografia ASSimétrica</p><p>18 - Para garantir a segurança da informação, diversas soluções de segurança podem ser adotadas.</p><p>Segundo MORAES (2015), existe uma solução de segurança que se trata de um aprimoramento, ela realiza as tarefas de uma solução tradicional mais uma série de novos recursos que o equipamento padrão não executa.</p><p>MORAES, Alexandre Fernandes de. Firewalls: segurança no controle de acesso. São Paulo:Érica, 2015.</p><p>Selecione a alternativa abaixo que representa corretamente esta solução.</p><p>· NGFW (Firewall de Nova Geração)</p><p>19 - Considere um usuário que faz grande utilização de correio eletrônico em seu dia a dia. Este usuário demonstrou preocupação em relação a um incidente de segurança envolvendo as informações trocadas no e-mail e que a confidencialidade das mesmas possa ser comprometida.</p><p>Sendo assim, dentre as opções abaixo, selecione a alternativa que representa corretamente um protocolo de segurança utilizado especificamente para proteger correio eletrônico oferecendo privacidade, integridade e autenticação.</p><p>Resposta</p><p>PGP</p><p>20 - A criptografia simétrica é caracterizada pelo uso de uma única chave pelo emissor e receptor, também conhecida como chave privada. Transmitir essa chave através de um meio seguro e manter o segredo da mesma são desafios desse modelo de criptografia.</p><p>Dentre as alternativas abaixo, selecione a alternativa que representa corretamente um algoritmo de chave simétrica tradicional.</p><p>Reposta</p><p>AES</p><p>21 - Em criptografia, é considerados sistema criptográfico aquele que é capaz de criptografar e descriptografar dados. Esse sistema pode ser criado por hardware ou software. Dessa forma, a informação será transformada em algo ilegível durante o transporte e somente emissor e receptor poderão conhecer o conteúdo real da mensagem.</p><p>De acordo com a informação acima, selecione a alternativa que representa corretamente a base da maioria dos métodos de criptografia.</p><p>Resposta</p><p>Chaves</p><p>22 - Uma importante limitação dos algoritmos assimétricos é que não é possível confirmar se a chave pública pertence realmente a pessoas que se diz dona dela.</p><p>Para resolver esse problema foram criados os certificados digitais, que na prática é um certificado da chave pública, que é a chave visível por todos os usuários.</p><p>Considerando o texto acima, avalie as seguintes asserções e a relação proposta entre elas.</p><p>I - Para certificar uma chave pública, ou seja, gravar nela as informações de seu dono para que usuários posteriormente possam conferir e confirmar a veracidade dessa informação, é necessário utilizar os serviços de uma Autoridade Certificadora (AC), que é definida como "uma entidade, que pode ser pública ou privada, responsável por emitir, distribuir, renovar, revogar e gerenciar Certificados Digitais" pela CertiSign.</p><p>PORQUE</p><p>II - Para adquirir o certificado digital o usuário deve entrar em contato diretamente com a Autoridade Certificadora (AC) que realizará a conferência da documentação para posterior emissão do certificado.</p><p>(Fonte: Certificado Digital: o que é? Disponível em: <https://blog.certisign.com.br/o-que-e-certificado-digital/?cod_rev=38788>. Acesso em: 06 de nov. 2020.)</p><p>A respeito dessas asserções, assinale a opção correta.</p><p>· A asserção I está correta, é através da certificação da chave pública que será permitido aos usuários conferirem quem é o dono do certificado. E é fundamental que seja realizada por uma Autoridade Certificadora (AC), pois através da conferência de documentos que ela realiza podemos confiar que o dono do certificado é quem diz ser. Existe a possibilidade de um certificado ser auto assinado, porém é recomendado que sejam rejeitados, pois não há o crivo de uma entidade em relação a veracidade das informações. Já a asserção II está incorreta pois certificados não são solicitados diretamente a Autoridade Certificadora (AC), para isso existem as Autoridades de Registro (AR), que estão abaixo da AC e recebem o cliente para realizar conferência da documentação e posterior emissão do certificado. Dessa forma ela não pode ser uma justificativa da asserção I.</p><p>· A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.</p><p>24 - A autenticação por meio do uso de senhas é um mecanismo muito utilizado. Portanto, é importante criar senhas consideradas fortes, ou seja, difíceis de serem quebradas por</p><p>atacantes. Dentre as opções de senhas, a seguir, quais são consideradas seguras?</p><p>I - Cyb3r_Sec#</p><p>II - aluno123</p><p>III - An1m@2021#</p><p>IV - 03121973</p><p>Resposta correta</p><p>I e III.</p><p>image1.png</p><p>image2.png</p>