Buscar

Infraestrutura de Chaves Públicas - ICP

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você viu 3, do total de 9 páginas

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você viu 6, do total de 9 páginas

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você viu 9, do total de 9 páginas

Prévia do material em texto

 Pergunta 1 
0,25 em 0,25 pontos 
 
É correto afirmar sobre a Infraestrutura de Chaves Públicas – ICP: 
 
I – ICP é o nome dado ao conjunto de tecnologias, técnicas e procedimentos criado para gerar, 
validar e gerenciar certificados digitais. 
II – O modelo ICP utiliza o conceito de hierarquia para saber de quem é a chave privada 
incluída no certificado digital. 
III – A autoridade precisa de um par de chaves e deve garantir que sua chave privada seja 
mantida altamente protegida. 
IV – Devido às suas características de confiança, não pode ser utilizada para valor jurídico. 
 
Resposta Selecionada: e. 
I, II e III estão corretas. 
Respostas: a. 
I, II e IV estão corretas. 
 b. 
II e III estão corretas. 
 c. 
III e IV estão corretas. 
 d. 
II e IV estão corretas. 
 e. 
I, II e III estão corretas. 
Feedback da 
resposta: 
Resposta: E 
Comentário: é exatamente o contrário. Se gerida por órgão devidamente 
outorgado pelo governo, a ICP pode perfeitamente ter valor jurídico, a 
exemplo da ICP-Brasil. 
 
 
 Pergunta 2 
0,25 em 0,25 pontos 
 
É fundamental que a Infraestrutura de Chaves Públicas – ICP possua algumas entidades que 
trabalham em conjunto e que devam ser totalmente confiáveis que darão segurança e 
confiabilidade ao sistema. Sobre essas entidades é correto afirmar que: 
 
I – As ACs – Autoridades Certificadoras são entidades que atestam a identidade do usuário, 
dando fé pública à sua chave pública e privada mediante a emissão de um certificado. 
II – As ARs – Autoridades de Registro são entidades vinculadas às ACs que efetuam a análise 
dos documentos do solicitante ao certificado. 
III – A AC efetua toda a parte física da geração do certificado. 
IV – A AR efetua toda a parte lógica da geração do certificado. 
 
Resposta Selecionada: b. 
I e II estão corretas. 
Respostas: a. 
I, II e IV estão corretas. 
 b. 
I e II estão corretas. 
 c. 
III e IV estão corretas. 
 
 d. 
II e IV estão corretas. 
 e. 
I, II e III estão corretas. 
Feedback da 
resposta: 
Resposta: B 
Comentário: na prática, quem efetua a análise dos documentos do solicitante ao 
certificado é outra entidade chamada de AR, Autoridade de Registro. Ela 
confere documentos e requisita que a AC emita o certificado. A AR efetua toda 
a parte física da geração do certificado e a AC, a parte lógica. 
 
 Pergunta 3 
0,25 em 0,25 pontos 
 
A autenticação do serviço é muito importante para as assinaturas 
digitais. Sobre a autenticação de serviço é correto afirmar que: 
 
I – Um dos problemas das assinaturas digitais é que são atemporais, 
pois, mesmo que contenham um campo que indica a data-hora da 
assinatura, esse campo é gerado pelo assinante e pode sofrer 
imprecisão pelas inevitáveis discrepâncias entre relógios, sendo 
também passível de abusos. 
II – O modelo PGP atua por meio do conceito de teia de confiança, o 
modelo de certificados PGP oferece uma alternativa a esse modelo, 
pois cria uma rede de confiança na horizontal, em vez de na vertical. 
III – Como no modelo PKI, na base do modelo PGP também há um 
par de chaves assimétricas, de posse exclusiva de uma pessoa ou 
organização. Geralmente esse par de chaves está associado a uma 
identidade, composta de um nome e endereço de e-mail, entre 
outras informações. 
IV – Para ampliar essas garantias de autenticação de serviço é 
preciso formar uma rede de confiança. 
 
Resposta Selecionada: e. 
I, II, III e IV estão corretas. 
Respostas: a. 
I, II e IV estão corretas. 
 b. 
I, II e III estão corretas. 
 c. 
III e IV estão corretas. 
 d. 
II e IV estão corretas. 
 e. 
I, II, III e IV estão corretas. 
 
Feedback 
da 
resposta: 
Resposta: E 
Comentário: para formar uma teia de confiança, na 
prática, a chave PGP funciona como auxiliar para dois dos 
mais importantes serviços de segurança: a assinatura 
digital, que profere garantia de autenticidade aos 
arquivos e às mensagens eletrônicas; e o envelopamento 
seguro, que provê garantias de confidencialidade a eles. 
 
 Pergunta 4 
0,25 em 0,25 pontos 
 
A figura demonstra a autenticação por certificado digital do Sefaz 
para emissão da nota fiscal eletrônica. 
 
Fonte: acervo pessoal 
 
Com base na imagem e para validação jurídica da nota fiscal 
eletrônica é correto afirmar que: 
I – O documento eletrônico que permite todos esses trâmites de 
verificação e autenticação é conhecido como Certificado Digital. 
II – No processo de autenticação da emissora da nota é necessário 
que o Sefaz confirme se o certificado da emissora ainda está válido, 
para isso é necessário verificar as chamadas LCRs – Listas de 
Certificados Revogados. 
III – Também é necessário marcar o horário exato da emissão para 
evitar fraudes, para isso é utilizado o horário do equipamento do 
emissor da nota. 
IV – No exemplo da imagem, a AC – Autoridade Certificadora é 
responsável por validar o certificado do emissor junto a ICP para 
autorizar a emissão da nota. 
 
Resposta Selecionada: a. 
I, II e IV estão corretas. 
Respostas: a. 
I, II e IV estão corretas. 
 b. 
II e III estão corretas. 
 c. 
III e IV estão corretas. 
 d. 
II e IV estão corretas. 
 e. 
I, II e III estão corretas. 
 
Feedback 
da 
resposta: 
Resposta: A 
Comentário: para a emissão da nota é necessário marcar 
exatamente o horário da emissão para evitar fraudes e 
manter a confiabilidade do sistema. O equipamento do 
emissor pode ter a hora adulterada facilmente, para isso 
se utiliza no Brasil, como gerador da hora oficial, o relógio 
do Observatório Nacional, o qual possui conectado o 
equipamento gerador do “carimbo de tempo”, no qual os 
documentos são datados com precisão. 
 
 Pergunta 5 
0,25 em 0,25 pontos 
 
A necessidade de um processo seguro para geração das chaves criptográficas entre os 
equipamentos exige certos padrões que chamamos de cerimoniais de chaves. Sobre os 
cerimoniais, é correto afirmar que: 
 
I – Cerimonial é um conjunto de procedimentos, transcritos detalhadamente em um formato de 
roteiro para se gerar a chave, transportá-la, inseri-la em outro sistema ou equipamento, guardá-
la e descartá-la. 
II – Para os procedimentos de transporte e inserção da chave é necessária a decomposição dela 
em componentes. Esses componentes são custodiados por custódios durante esses 
procedimentos. 
III – O certificado tipo A é utilizado apenas para assinatura de documentos digitais, permitindo 
a correta identificação do assinante, bem como impedindo repúdios de transações por eles 
assinadas. 
IV – O cerimonial é totalmente automatizado. 
 
Resposta Selecionada: a. 
I, II e III estão corretas. 
Respostas: a. 
I, II e III estão corretas. 
 b. 
I e II estão corretas. 
 c. 
III e IV estão corretas. 
 d. 
II e IV estão corretas. 
 e. 
I, II, III e IV estão corretas. 
Feedback 
da resposta: 
Resposta: A 
Comentário: como o cerimonial é um conjunto não automatizado de 
procedimentos realizados por pessoas, cabe à aplicação de controles que 
garantam e atestam que durante sua realização não houve a possibilidade de 
quebra de sigilo do conteúdo desses componentes, e por consequente da chave. 
 
 
 Pergunta 6 
0,25 em 0,25 pontos 
 
Após o cerimonial é importante fazer gestão das chaves. Referente a 
esse aspecto é correto afirmar que: 
 
 
I – Dentro do ciclo de vida das chaves, temos algumas fases que 
devem ser respeitadas que são: nascimento (geração, transporte e 
inoculação), vida útil (tempo de uso), morte (descarte) e lembrança 
(manutenção do histórico). 
II – O processo de gestão de chaves criptográficas deve considerar: 
aspectos técnicos da chave a ser utilizada. 
III – Quando conduzida de forma eficaz, a gestão de chaves não 
requer um Plano de Continuidade do Negócio. 
IV – O Modelo de Gestão de Chaves Criptográficas se refere ao 
processo de gestão de chaves criptográficas. Podem ocorrer três 
tipos de gestão: descentralizada,centralizada e mista. 
Resposta Selecionada: a. 
I, II e IV estão corretas. 
Respostas: a. 
I, II e IV estão corretas. 
 b. 
I e II estão corretas. 
 c. 
III e IV estão corretas. 
 d. 
II e IV estão corretas. 
 e. 
I, II, III e IV estão corretas. 
Feedback 
da 
resposta: 
Resposta: A 
Comentário: o PCN de cada gestor deverá conter os 
requisitos necessários para rápida recomposição e 
ativação de uma chave nos equipamentos relacionados 
ao negócio em caso de perda delas, seja por falha no 
equipamento ou troca deles. Também deverá haver 
plano de execução de novo cerimonial caso haja 
evidências de que a chave foi corrompida. Sendo assim, 
mesmo os melhores modelos de gestão de chaves 
requerem um PCN. 
 
 
 Pergunta 7 
0,25 em 0,25 pontos 
 
As identidades digitais são fundamentais para vida virtual e a criptografia deverá garantir a 
confiabilidade das identidades. Diante desse cenário é correto afirmar que: 
 
I – O modelo PKI está presente em bilhões de cartões de débito e crédito pelo mundo todo. 
Esses cartões com chip incorporam vários certificados digitais no intuito de facilitar uma 
verificação de sua autenticidade pelos terminais de pagamento. 
 
II – Os documentos originais do X.509 delineavam os principais conceitos e estruturas dos 
modos de operação dos certificados digitais para uso geral, a maioria dos quais continua válida. 
III – O padrão EMV é complexo e extenso e permite ao banco optar entre inúmeras opções na 
hora da emissão do cartão. 
IV – O padrão X.509 não possui falhas devido sua criticidade. 
Resposta Selecionada: b. 
I, II e III estão corretas. 
Respostas: a. 
I, II e IV estão corretas. 
 b. 
I, II e III estão corretas. 
 c. 
III e IV estão corretas. 
 d. 
II e IV estão corretas. 
 e. 
I, II, III e IV estão corretas. 
Feedback 
da resposta: 
Resposta: B 
Comentário: com o tempo, foi percebida uma falha nesse processo, pois não 
existe nada no padrão X.509 que proíba a emissão de dois ou mais certificados 
com o mesmo titular. Inclusive, tais certificados podem ser emitidos por 
autoridades certificadoras globais, em locais diferentes, sem que o verdadeiro 
titular daquele nome saiba. 
 
 
 Pergunta 8 
0,25 em 0,25 pontos 
 
Sobre a adoção de modelos híbridos de autenticação dos serviços é 
correto afirmar que: 
 
I – Existe certo paradoxo em relação à situação atual do modelo PKI, 
ao considerar que esse modelo fica obrigado a conviver com 
algumas centenas de raízes, ao passo que funciona plenamente no 
caso de existir uma única raiz. 
II – É aconselhável desenvolver um modelo híbrido centralizado e 
unificado para resolver grande parte dos problemas atuais. 
III – Não podemos mais confiar nos certificados gerados por essa 
multiplicidade de autoridades certificadoras públicas, passamos a 
consultar algum servidor de reputação na internet sobre se 
realmente podemos confiar em determinado certificado. 
IV – O modelo PKI gradativamente se aproxima do modelo PGP. Ao 
analisar os dois modelos, não resta dúvida de que ambos sofrem de 
sérias deficiências, o que leva à conclusão de que a criação de um 
modelo novo, híbrido, talvez seja o mais indicado. 
 
Resposta Selecionada: b. 
I, III e IV estão corretas. 
Respostas: a. 
I, II e IV estão corretas. 
 b. 
I, III e IV estão corretas. 
 c. 
III e IV estão corretas. 
 d. 
II e IV estão corretas. 
 e. 
I, II, III e IV estão corretas. 
Feedback da 
resposta: 
Resposta: B 
Comentário: ao criarmos um modelo híbrido, é 
aconselhável que, embora seja descentralizado, seja 
unificado, poderíamos resolver grande parte dos 
problemas atuais. 
 
 Pergunta 9 
0,25 em 0,25 pontos 
 
Sobre os certificados digitais é correto afirmar que: 
 
I – Um certificado digital é um documento eletrônico que 
basicamente declara que “Eu garanto que esta chave pública 
particular está associada com um usuário específico, acredite em 
mim!”. 
II – Na essência, um certificado representa a associação entre essa 
chave e um conjunto de informações que, de alguma forma, 
identificam a pessoa ou entidade proprietária de um par de chaves. 
III – No Brasil, somente a ICP-Brasil é reconhecida por lei (Medida 
Provisória n. 2.200-2, de 24 de agosto de 2001), e os documentos 
assinados digitalmente por chaves certificadas por essa 
infraestrutura têm reconhecimento legal. 
IV – A AC-Raiz do Brasil está sob administração do Instituto Nacional 
de Tecnologia da Informação (ITI), o qual tem a função de credenciar 
e descredenciar todos os participantes da cadeia hierárquica de 
confiança, supervisionar e auditar os processos. 
 
Resposta Selecionada: e. 
I, II, III e IV estão corretas. 
Respostas: a. 
I, II e IV estão corretas. 
 
 b. 
I e II estão corretas. 
 c. 
III e IV estão corretas. 
 d. 
II e IV estão corretas. 
 e. 
I, II, III e IV estão corretas. 
Feedback 
da 
resposta: 
Resposta: E 
Comentário: no certificado pode-se identificar e validar 
vários elementos que atestam sua autenticidade e quem 
deu a fé pública, a saber: chave pública do titular, nome 
do titular, endereço de e-mail do titular, período de 
validade do certificado, nome da AC que emitiu o 
certificado, número de série, assinatura digital da AC. A 
ICP-Brasil reconhecida por lei está vinculada ao ITI que se 
reporta diretamente ao Governo Federal. 
 
 Pergunta 10 
0,25 em 0,25 pontos 
 
Sobre os tipos de certificados homologados pela ICP-Brasil, é 
correto afirmar que: 
 
I – Existem dois tipos de certificados homologados pela ICP-Brasil. 
II – O certificado tipo A é utilizado apenas para assinatura de 
documentos digitais, permitindo a correta identificação do 
assinante, bem como impedindo repúdios de transações por eles 
assinadas. 
III – O tipo S é utilizado apenas para transmissão de informações 
com sigilo. 
IV – Nos certificados dependentes de softwares, as chaves estão 
inseridas em um arquivo que não está protegido por hardware. 
 
Resposta Selecionada: e. 
I, II, III e IV estão corretas. 
Respostas: a. 
I, II e IV estão corretas. 
 b. 
I e II estão corretas. 
 c. 
III e IV estão corretas. 
 
 d. 
II e IV estão corretas. 
 e. 
I, II, III e IV estão corretas. 
Feedback 
da 
resposta: 
Resposta: E 
Comentário: quanto à finalidade de uso, hoje estão 
homologados pela ICP-Brasil 2 tipos: os certificados de 
Assinatura e os de Sigilos, conhecidos, respectivamente, 
como tipo A e tipo S. O tipo A é utilizado apenas para 
assinatura de documentos digitais, permitindo a correta 
identificação do assinante, bem como impedindo 
repúdios de transações por eles assinadas. O tipo S é 
utilizado apenas para transmissão de informações com 
sigilo. 
Quanto ao nível de segurança, varia conforme o tamanho 
da chave e se o processo criptográfico será executado 
por hardware ou software. Os certificados que dependem 
de hardware são mais seguros, pois a chave não migra do 
dispositivo que a contém para a memória para realizar os 
procedimentos criptográficos. Pelo contrário, as 
informações são submetidas ao hardware para que ele 
execute o procedimento sem exposição da chave. Já nos 
certificados dependentes de softwares, as chaves estão 
inseridas em um arquivo que não está protegido 
por hardware, mas apenas pelo PIN. O PIN é utilizado nas 
chaves em hardware apenas para habilitar o uso da 
chave.

Outros materiais