Unidade III - Questionário

Prévia do material em texto

Curso
	CRIPTOGRAFIA E CERTIFICAÇÃO DIGITAL
	Teste
	QUESTIONÁRIO UNIDADE III
	Iniciado
	02/09/20 14:12
	Enviado
	02/09/20 14:13
	Status
	Completada
	Resultado da tentativa
	2,5 em 2,5 pontos  
	Tempo decorrido
	0 minuto
	Resultados exibidos
	Todas as respostas, Respostas enviadas, Respostas corretas, Comentários, Perguntas respondidas incorretamente
· Pergunta 1
0,25 em 0,25 pontos
	
	
	
	É correto afirmar sobre a Infraestrutura de Chaves Públicas – ICP:
 
I – ICP é o nome dado ao conjunto de tecnologias, técnicas e procedimentos criado para gerar, validar e gerenciar certificados digitais.
II – O modelo ICP utiliza o conceito de hierarquia para saber de quem é a chave privada incluída no certificado digital.
III – A autoridade precisa de um par de chaves e deve garantir que sua chave privada seja mantida altamente protegida.
IV – Devido às suas características de confiança, não pode ser utilizada para valor jurídico.
	
	
	
	
		Resposta Selecionada:
	e. 
I, II e III estão corretas.
	Respostas:
	a. 
I, II e IV estão corretas.
	
	b. 
II e III estão corretas.
	
	c. 
III e IV estão corretas.
	
	d. 
II e IV estão corretas.
	
	e. 
I, II e III estão corretas.
	Feedback da resposta:
	Resposta: E
Comentário: é exatamente o contrário. Se gerida por órgão devidamente outorgado pelo governo, a ICP pode perfeitamente ter valor jurídico, a exemplo da ICP-Brasil.
	
	
	
· Pergunta 2
0,25 em 0,25 pontos
	
	
	
	É fundamental que a Infraestrutura de Chaves Públicas – ICP possua algumas entidades que trabalham em conjunto e que devam ser totalmente confiáveis que darão segurança e confiabilidade ao sistema. Sobre essas entidades é correto afirmar que: 
 
I – As ACs – Autoridades Certificadoras são entidades que atestam a identidade do usuário, dando fé pública à sua chave pública e privada mediante a emissão de um certificado.
II – As ARs – Autoridades de Registro são entidades vinculadas às ACs que efetuam a análise dos documentos do solicitante ao certificado.
III – A AC efetua toda a parte física da geração do certificado.
IV – A AR efetua toda a parte lógica da geração do certificado.
	
	
	
	
		Resposta Selecionada:
	b. 
I e II estão corretas.
	Respostas:
	a. 
I, II e IV estão corretas.
	
	b. 
I e II estão corretas.
	
	c. 
III e IV estão corretas.
	
	d. 
II e IV estão corretas.
	
	e. 
I, II e III estão corretas.
	Feedback da resposta:
	Resposta: B
Comentário: na prática, quem efetua a análise dos documentos do solicitante ao certificado é outra entidade chamada de AR, Autoridade de Registro. Ela confere documentos e requisita que a AC emita o certificado. A AR efetua toda a parte física da geração do certificado e a AC, a parte lógica.
	
	
	
· Pergunta 3
0,25 em 0,25 pontos
	
	
	
	A autenticação do serviço é muito importante para as assinaturas digitais. Sobre a autenticação de serviço é correto afirmar que:
 
I – Um dos problemas das assinaturas digitais é que são atemporais, pois, mesmo que contenham um campo que indica a data-hora da assinatura, esse campo é gerado pelo assinante e pode sofrer imprecisão pelas inevitáveis discrepâncias entre relógios, sendo também passível de abusos.
II – O modelo PGP atua por meio do conceito de teia de confiança, o modelo de certificados PGP oferece uma alternativa a esse modelo, pois cria uma rede de confiança na horizontal, em vez de na vertical.
III – Como no modelo PKI, na base do modelo PGP também há um par de chaves assimétricas, de posse exclusiva de uma pessoa ou organização. Geralmente esse par de chaves está associado a uma identidade, composta de um nome e endereço de e-mail, entre outras informações.
IV – Para ampliar essas garantias de autenticação de serviço é preciso formar uma rede de confiança.
	
	
	
	
		Resposta Selecionada:
	e. 
I, II, III e IV estão corretas.
	Respostas:
	a. 
I, II e IV estão corretas.
	
	b. 
I, II e III estão corretas.
	
	c. 
III e IV estão corretas.
	
	d. 
II e IV estão corretas.
	
	e. 
I, II, III e IV estão corretas.
	Feedback da resposta:
	Resposta: E
Comentário: para formar uma teia de confiança, na prática, a chave PGP funciona como auxiliar para dois dos mais importantes serviços de segurança: a assinatura digital, que profere garantia de autenticidade aos arquivos e às mensagens eletrônicas; e o envelopamento seguro, que provê garantias de confidencialidade a eles.
	
	
	
· Pergunta 4
0,25 em 0,25 pontos
	
	
	
	A figura demonstra a autenticação por certificado digital do Sefaz para emissão da nota fiscal eletrônica.
Fonte: acervo pessoal
 
Com base na imagem e para validação jurídica da nota fiscal eletrônica é correto afirmar que:
I – O documento eletrônico que permite todos esses trâmites de verificação e autenticação é conhecido como Certificado Digital.
II – No processo de autenticação da emissora da nota é necessário que o Sefaz confirme se o certificado da emissora ainda está válido, para isso é necessário verificar as chamadas LCRs – Listas de Certificados Revogados.  
III – Também é necessário marcar o horário exato da emissão para evitar fraudes, para isso é utilizado o horário do equipamento do emissor da nota.
IV – No exemplo da imagem, a AC – Autoridade Certificadora é responsável por validar o certificado do emissor junto a ICP para autorizar a emissão da nota.
	
	
	
	
		Resposta Selecionada:
	a. 
I, II e IV estão corretas.
	Respostas:
	a. 
I, II e IV estão corretas.
	
	b. 
II e III estão corretas.
	
	c. 
III e IV estão corretas.
	
	d. 
II e IV estão corretas.
	
	e. 
I, II e III estão corretas.
	Feedback da resposta:
	Resposta: A
Comentário: para a emissão da nota é necessário marcar exatamente o horário da emissão para evitar fraudes e manter a confiabilidade do sistema. O equipamento do emissor pode ter a hora adulterada facilmente, para isso se utiliza no Brasil, como gerador da hora oficial, o relógio do Observatório Nacional, o qual possui conectado o equipamento gerador do “carimbo de tempo”, no qual os documentos são datados com precisão.
	
	
	
· Pergunta 5
0,25 em 0,25 pontos
	
	
	
	A necessidade de um processo seguro para geração das chaves criptográficas entre os equipamentos exige certos padrões que chamamos de cerimoniais de chaves. Sobre os cerimoniais, é correto afirmar que:
 
I – Cerimonial é um conjunto de procedimentos, transcritos detalhadamente em um formato de roteiro para se gerar a chave, transportá-la, inseri-la em outro sistema ou equipamento, guardá-la e descartá-la.
II – Para os procedimentos de transporte e inserção da chave é necessária a decomposição dela em componentes. Esses componentes são custodiados por custódios durante esses procedimentos.
III – O certificado tipo A é utilizado apenas para assinatura de documentos digitais, permitindo a correta identificação do assinante, bem como impedindo repúdios de transações por eles assinadas.
IV – O cerimonial é totalmente automatizado.
	
	
	
	
		Resposta Selecionada:
	a. 
I, II e III estão corretas.
	Respostas:
	a. 
I, II e III estão corretas.
	
	b. 
I e II estão corretas.
	
	c. 
III e IV estão corretas.
	
	d. 
II e IV estão corretas.
	
	e. 
I, II, III e IV estão corretas.
	Feedback da resposta:
	Resposta: A
Comentário: como o cerimonial é um conjunto não automatizado de procedimentos realizados por pessoas, cabe à aplicação de controles que garantam e atestam que durante sua realização não houve a possibilidade de quebra de sigilo do conteúdo desses componentes, e por consequente da chave.
	
	
	
· Pergunta 6
0,25 em 0,25 pontos
	
	
	
	Após o cerimonial é importante fazer gestão das chaves. Referente a esse aspecto é correto afirmar que:
 
I – Dentro do ciclo de vida das chaves, temos algumas fases que devem ser respeitadas que são: nascimento (geração, transporte e inoculação), vida útil (tempo de uso), morte (descarte) e lembrança (manutenção do histórico).
II – O processo de gestão de chaves criptográficas deve considerar: aspectos técnicos da chave a ser utilizada.
III – Quando conduzida de forma eficaz, a gestão de chaves não requer um Plano de Continuidadedo Negócio.
IV – O Modelo de Gestão de Chaves Criptográficas se refere ao processo de gestão de chaves criptográficas. Podem ocorrer três tipos de gestão: descentralizada, centralizada e mista.
	
	
	
	
		Resposta Selecionada:
	a. 
I, II e IV estão corretas.
	Respostas:
	a. 
I, II e IV estão corretas.
	
	b. 
I e II estão corretas.
	
	c. 
III e IV estão corretas.
	
	d. 
II e IV estão corretas.
	
	e. 
I, II, III e IV estão corretas.
	Feedback da resposta:
	Resposta: A
Comentário: o PCN de cada gestor deverá conter os requisitos necessários para rápida recomposição e ativação de uma chave nos equipamentos relacionados ao negócio em caso de perda delas, seja por falha no equipamento ou troca deles. Também deverá haver plano de execução de novo cerimonial caso haja evidências de que a chave foi corrompida. Sendo assim, mesmo os melhores modelos de gestão de chaves requerem um PCN.
	
	
	
· Pergunta 7
0,25 em 0,25 pontos
	
	
	
	As identidades digitais são fundamentais para vida virtual e a criptografia deverá garantir a confiabilidade das identidades. Diante desse cenário é correto afirmar que:
 
I – O modelo PKI está presente em bilhões de cartões de débito e crédito pelo mundo todo. Esses cartões com chip incorporam vários certificados digitais no intuito de facilitar uma verificação de sua autenticidade pelos terminais de pagamento.
II – Os documentos originais do X.509 delineavam os principais conceitos e estruturas dos modos de operação dos certificados digitais para uso geral, a maioria dos quais continua válida.
III – O padrão EMV é complexo e extenso e permite ao banco optar entre inúmeras opções na hora da emissão do cartão.
IV – O padrão X.509 não possui falhas devido sua criticidade.
	
	
	
	
		Resposta Selecionada:
	b. 
I, II e III estão corretas.
	Respostas:
	a. 
I, II e IV estão corretas.
	
	b. 
I, II e III estão corretas.
	
	c. 
III e IV estão corretas.
	
	d. 
II e IV estão corretas.
	
	e. 
I, II, III e IV estão corretas.
	Feedback da resposta:
	Resposta: B
Comentário: com o tempo, foi percebida uma falha nesse processo, pois não existe nada no padrão X.509 que proíba a emissão de dois ou mais certificados com o mesmo titular. Inclusive, tais certificados podem ser emitidos por autoridades certificadoras globais, em locais diferentes, sem que o verdadeiro titular daquele nome saiba.
	
	
	
· Pergunta 8
0,25 em 0,25 pontos
	
	
	
	Sobre a adoção de modelos híbridos de autenticação dos serviços é correto afirmar que:
 
I – Existe certo paradoxo em relação à situação atual do modelo PKI, ao considerar que esse modelo fica obrigado a conviver com algumas centenas de raízes, ao passo que funciona plenamente no caso de existir uma única raiz.
II – É aconselhável desenvolver um modelo híbrido centralizado e unificado para resolver grande parte dos problemas atuais.
III – Não podemos mais confiar nos certificados gerados por essa multiplicidade de autoridades certificadoras públicas, passamos a consultar algum servidor de reputação na internet sobre se realmente podemos confiar em determinado certificado.
IV – O modelo PKI gradativamente se aproxima do modelo PGP. Ao analisar os dois modelos, não resta dúvida de que ambos sofrem de sérias deficiências, o que leva à conclusão de que a criação de um modelo novo, híbrido, talvez seja o mais indicado.
	
	
	
	
		Resposta Selecionada:
	b. 
I, III e IV estão corretas.
	Respostas:
	a. 
I, II e IV estão corretas.
	
	b. 
I, III e IV estão corretas.
	
	c. 
III e IV estão corretas.
	
	d. 
II e IV estão corretas.
	
	e. 
I, II, III e IV estão corretas.
	Feedback da resposta:
	Resposta: B
Comentário: ao criarmos um modelo híbrido, é aconselhável que, embora seja descentralizado, seja unificado, poderíamos resolver grande parte dos problemas atuais.
	
	
	
· Pergunta 9
0,25 em 0,25 pontos
	
	
	
	Sobre os certificados digitais é correto afirmar que:
 
I – Um certificado digital é um documento eletrônico que basicamente declara que “Eu garanto que esta chave pública particular está associada com um usuário específico, acredite em mim!”.
II – Na essência, um certificado representa a associação entre essa chave e um conjunto de informações que, de alguma forma, identificam a pessoa ou entidade proprietária de um par de chaves.
III – No Brasil, somente a ICP-Brasil é reconhecida por lei (Medida Provisória n. 2.200-2, de 24 de agosto de 2001), e os documentos assinados digitalmente por chaves certificadas por essa infraestrutura têm reconhecimento legal.
IV – A AC-Raiz do Brasil está sob administração do Instituto Nacional de Tecnologia da Informação (ITI), o qual tem a função de credenciar e descredenciar todos os participantes da cadeia hierárquica de confiança, supervisionar e auditar os processos.
	
	
	
	
		Resposta Selecionada:
	e. 
I, II, III e IV estão corretas.
	Respostas:
	a. 
I, II e IV estão corretas.
	
	b. 
I e II estão corretas.
	
	c. 
III e IV estão corretas.
	
	d. 
II e IV estão corretas.
	
	e. 
I, II, III e IV estão corretas.
	Feedback da resposta:
	Resposta: E
Comentário: no certificado pode-se identificar e validar vários elementos que atestam sua autenticidade e quem deu a fé pública, a saber: chave pública do titular, nome do titular, endereço de e-mail do titular, período de validade do certificado, nome da AC que emitiu o certificado, número de série, assinatura digital da AC. A ICP-Brasil reconhecida por lei está vinculada ao ITI que se reporta diretamente ao Governo Federal.
	
	
	
· Pergunta 10
0,25 em 0,25 pontos
	
	
	
	Sobre os tipos de certificados homologados pela ICP-Brasil, é correto afirmar que:
 
I – Existem dois tipos de certificados homologados pela ICP-Brasil.
II – O certificado tipo A é utilizado apenas para assinatura de documentos digitais, permitindo a correta identificação do assinante, bem como impedindo repúdios de transações por eles assinadas.
III – O tipo S é utilizado apenas para transmissão de informações com sigilo.
IV – Nos certificados dependentes de softwares, as chaves estão inseridas em um arquivo que não está protegido por hardware.
	
	
	
	
		Resposta Selecionada:
	e. 
I, II, III e IV estão corretas.
	Respostas:
	a. 
I, II e IV estão corretas.
	
	b. 
I e II estão corretas.
	
	c. 
III e IV estão corretas.
	
	d. 
II e IV estão corretas.
	
	e. 
I, II, III e IV estão corretas.
	Feedback da resposta:
	Resposta: E
Comentário: quanto à finalidade de uso, hoje estão homologados pela ICP-Brasil 2 tipos: os certificados de Assinatura e os de Sigilos, conhecidos, respectivamente, como tipo A e tipo S. O tipo A é utilizado apenas para assinatura de documentos digitais, permitindo a correta identificação do assinante, bem como impedindo repúdios de transações por eles assinadas. O tipo S é utilizado apenas para transmissão de informações com sigilo.
Quanto ao nível de segurança, varia conforme o tamanho da chave e se o processo criptográfico será executado por hardware ou software. Os certificados que dependem de hardware são mais seguros, pois a chave não migra do dispositivo que a contém para a memória para realizar os procedimentos criptográficos. Pelo contrário, as informações são submetidas ao hardware para que ele execute o procedimento sem exposição da chave. Já nos certificados dependentes de softwares, as chaves estão inseridas em um arquivo que não está protegido por hardware, mas apenas pelo PIN. O PIN é utilizado nas chaves em hardware apenas para habilitar o uso da chave.