Noes de Informtica ICMS/SP Questes comentadas Prof.

Alexandre Lnin Aula 11

AULA 14: Segurana da Informao.

SUMRIO 1. Certificao Digital 2. Questes comentadas 3. Lista das questes comentadas na aula 4. Gabaritos PGINA 03 20 33 37

Prezados amigos, O tempo passa muito rpido, no ? Parece que foi ontem que comeamos este curso. Hoje, estamos chegando ao final do curso. No foi fcil, mas foi gratificante. Tantos bons comentrios, sugestes, perguntas e elogios fazem a diferena. Minha principal dica a tranquilidade. muito mais fcil fazer uma boa prova quando estamos serenos. , fcil falar, sabemos. Mas possvel obter a calma por meio da segurana no que se fez (cada um fez o melhor que pde) e utilizando-se de treinamento. Treine, faa provas simuladas em casa, na biblioteca, em outros concursos. Mas faa toda a simulao. Prepare-se para o dia, cuide da alimentao, faa uso do mesmo mecanismo de transporte. Antes da prova, v ao local onde far a prova, no horrio marcado para verificar o trajeto, o local e o trnsito. Deixe uma margem de tempo no horrio de chegada! Isso certamente ajuda, pois a agonia de ter de chegar no horrio com algum imprevisto ocorrendo pode atrapalhar e muito a concentrao. Aprenda a fazer escolhas na hora da prova. Primeiro, escolha a disciplina que acredita ter domnio. No gaste tempo lamentando ou tentando resolver questes que no sabe ou que est com dvidas. Marque a questo para depois e siga em frente. O bom de comear pelo que se sabe mais ganhar confiana acertando muitas questes logo no incio. Certamente a ansiedade diminui. Pausas! importante fazer pausas. No gaste todo o tempo fazendo a prova. importante dar um tempo, ir ao banheiro, comer
Prof. Alexandre Lnin www.estrategiaconcursos.com.br 1/37

Noes de Informtica ICMS/SP Questes comentadas Prof. Alexandre Lnin Aula 11 alguma coisa. Sem viajar demais, claro. Uma pequena pausa para recompor. Como professores, sabemos que a ateno em uma aula presencial dura at 50 minutos. Depois, h uma tendncia natural de disperso. O crebro cansa e procura distrao. Por que no assumimos isto e fazemos uma pausa a cada hora? Uma balinha, doce ou chocolate (podem ser alimentos saudveis tambm, claro) j ajuda a descansar a mente! O tempo gasto ser pequeno e os benefcios podem ser grandes. No se preocupe demais nem exagere com alguns minutos gastos com descanso. Podem ser valiosos para acertar mais algumas questes. No perca muito tempo nas questes que so difceis ou que tenha dvidas. Concentre-se em marcar aquelas que sabe primeiro. melhor garantir logo o que sabe e depois voltar para aumentar a pontuao. Ficar preso em uma parte da prova pode obrig-lo a deixar questes que acertaria facilmente. No mais, o de sempre: boa alimentao, cuidar do sono, cuidar da famlia e da sade. Preparar para uma prova requer mais do que estudo, requer uma organizao de vida. O principal vem agora: CONFIANA e DEDICAO. No desista, voc conseguir. Valeu, pessoal! Prof. Lnin (@alexandrelenin)

Prof. Alexandre Lnin

www.estrategiaconcursos.com.br

2/37

Noes de Informtica ICMS/SP Questes comentadas Prof. Alexandre Lnin Aula 11 1. Certificado Digital O que significa SEGURANA? colocar tranca nas portas de sua casa? ter as suas informaes guardadas de forma suficientemente segura para que pessoas sem autorizao no tenham acesso a elas? Vamos nos preparar para que a prxima vtima no seja voc !!! A segurana uma palavra que est presente em nosso cotidiano e refere-se a um estado de proteo, em que estamos livres de perigos e incertezas. A Tecnologia da informao s se torna uma ferramenta capaz de alavancar verdadeiramente os negcios, quando seu uso est vinculado s medidas de proteo dos dados corporativos, para assegurar a sobrevivncia da empresa e a continuidade dos negcios da organizao. Segurana da informao o processo de proteger a informao de diversos tipos de ameaas externas e internas para garantir a continuidade dos negcios, minimizar os danos aos negcios e maximizar o retorno dos investimentos e as oportunidades de negcio. Solues pontuais isoladas no resolvem toda a problemtica associada segurana da informao. Segurana se faz em pedaos, porm todos eles integrados, como se fossem uma corrente.

Isso reafirma o ditado popular, muito citado pelos especialistas em segurana, que diz que nenhuma corrente mais forte do que o seu elo mais fraco. De nada adianta uma corrente ser a mais resistente de todas se existe um elo que fraco. claro que a resistncia da corrente ser a resistncia do elo mais fraco e no dos demais. Se a corrente passar por um teste de esforo, certamente o elo que partir ser o mais fraco. Essa mesma ideia aplica-se ao contexto da informao. Quando precisamos garantir a segurana da informao, precisamos eliminar os elos fracos do ambiente em que a informao est armazenada. J que

Prof. Alexandre Lnin

www.estrategiaconcursos.com.br

3/37

Noes de Informtica ICMS/SP Questes comentadas Prof. Alexandre Lnin Aula 11 eliminar, neste contexto sempre difcil, ento buscamos sempre reduzir ao mximo os riscos de que a segurana da informao seja violada. A segurana da informao no deve ser tratada como um fator isolado e tecnolgico apenas, mas sim como a gesto inteligente da informao em todos os ambientes, desde o ambiente tecnolgico passando pelas aplicaes, infraestrutura e as pessoas. Segurana se faz protegendo todos os elos da corrente, ou seja, todos os ativos (fsicos, tecnolgicos e humanos) que compem seu negcio. Afinal, o poder de proteo da corrente est diretamente associado ao elo mais fraco! Em uma corporao, a segurana est ligada a tudo o que manipula direta ou indiretamente a informao (inclui-se a tambm a prpria informao e os usurios!!!), e que merece proteo. Esses elementos so chamados de ativos, e podem ser divididos em: tangveis: informaes impressas, mveis, hardware (Ex.:impressoras, scanners); intangveis: marca de um produto, nome da empresa, confiabilidade de um rgo federal etc.; lgicos: informaes armazenadas em uma rede, sistema ERP (sistema de gesto integrada) etc.; fsicos: galpo, sistema de eletricidade, estao de trabalho etc.; humanos: funcionrios. Os ativos so os elementos que sustentam a operao do negcio e estes sempre traro consigo VULNERABILIDADES que, por sua vez, submetem os ativos a AMEAAS. Quanto maior for a organizao maior ser sua dependncia com relao informao, que pode estar armazenada de vrias formas: impressa em papel, em meios digitais (discos, fitas, DVDs, disquetes, etc.), na mente das pessoas, em imagens armazenadas em fotografias/filmes... Nesse sentido, propsito da segurana proteger os elementos que fazem parte da comunicao, so eles: as informaes; os equipamentos e sistemas que oferecem suporte a elas; as pessoas que as utilizam.

Prof. Alexandre Lnin

www.estrategiaconcursos.com.br

4/37

Noes de Informtica ICMS/SP Questes comentadas Prof. Alexandre Lnin Aula 11

Elementos que a Segurana da Informao Busca Proteger Princpios de segurana da informao Ao estudarmos o tema, deparamo-nos com alguns princpios norteadores, segundo os padres internacionais. Dentre estes princpios, podemos destacar a trade CID Confidencialidade, Integridade e Disponibilidade. Estes trs atributos orientam a anlise, o planejamento e a implementao da segurana da informao nas organizaes. Segundo a norma ABNT-ISO-IEC 27001, adicionalmente outras propriedades, tais como autenticidade, responsabilidade, no repdio e confiabilidade, podem tambm estar envolvidas. Estudemos, primeiramente, as trs propriedades que fazem parte do conceito de segurana da informao. Confidencialidade: preocupa-se com quem acessa as informaes. Dizemos que existe confidencialidade quando somente as pessoas autorizadas possuem acesso informao. Quando contamos um segredo a algum - fazemos uma confidncia - estamos dando acesso informao. Mas no queremos que outras pessoas tenham acesso ao segredo, exceto pessoa a quem estamos contando. Em outras palavras, a confidencialidade protege as informaes de uma eventual revelao a algum no autorizado. Observe que esta proteo no se aplica apenas informao em sua forma digital; aplica-se a quaisquer mdias onde a informao esteja armazenada: CD, DVD, mdia impressa, entre outros. Alm disso, nem mesmo uma pequena parte da informao poder ser violada. A informao deve ser completamente protegida contra acessos indevidos. Se pensarmos, como exemplo, na Internet, onde os dados trafegam por vrios caminhos e passam por diversas redes de computadores at chegarem ao destino, a confidencialidade deve garantir que os dados no sero vistos nem copiados por agentes no autorizados durante todo o percurso que realizarem na grande rede mundial.

Prof. Alexandre Lnin

www.estrategiaconcursos.com.br

5/37

Noes de Informtica ICMS/SP Questes comentadas Prof. Alexandre Lnin Aula 11 Integridade: a informao deve manter todas as caractersticas originais durante sua existncia. Estas caractersticas originais so as estabelecidas pelo proprietrio da informao quando da criao ou manuteno da informao (se a informao for alterada por quem possui tal direito, isso no invalida a integridade). Existem vrios exemplos de ataques feitos integridade da informao: alterao em mensagens que trafegam na rede; modificao de sites da Internet; substituio de textos impressos ou em mdia digital etc. Em resumo, a Integridade o princpio da proteo da informao contra a criao ou modificao no autorizada. A violao da integridade pode estar relacionada com erro humano, por atos dolosos ou no. Esta violao pode tornar a informao sem valor ou, at, perigosa, especialmente se a violao for uma alterao da informao, o que pode levar a decises equivocadas e causadoras de prejuzos. Disponibilidade: garante que a informao esteja sempre disponvel quando um usurio autorizado quiser acessar. A informao est l quando for necessrio recuper-la. Claro que no consiste em uma violao da disponibilidade as interrupes dos servios de acesso de forma autorizada ou programada, como nos casos de manuteno preventiva do sistema. A disponibilidade aplica-se informao e aos canais de acesso a ela. Veja o quadro abaixo. Resumimos os trs princpios bsicos em segurana da informao.
Segurana da Informao Princpio bsico Conceito Propriedade de que a informao no esteja disponvel ou revelada a indivduos, entidades ou processos no autorizados Propriedade de salvaguarda da exatido e completeza de ativos Propriedade de estar acessvel e utilizvel sob demanda por uma entidade autorizada Objetivo

Confidencialidade

Proteger contra o acesso no autorizado, mesmo para dados em trnsito. Proteger informao contra modificao sem permisso; garantir a fidedignidade das informaes. Proteger contra indisponibilidade dos servios (ou degradao); garantir aos usurios com autorizao, o acesso aos dados.

Integridade

Disponibilidade

Prof. Alexandre Lnin

www.estrategiaconcursos.com.br

6/37

Noes de Informtica ICMS/SP Questes comentadas Prof. Alexandre Lnin Aula 11

O que a segurana da informao pretende diminuir o risco de sofrer qualquer perda do valor da informao. A ideia evitar a ocorrncia de incidentes de segurana da informao que, segundo a ABNT, um simples ou uma srie de eventos de segurana da informao indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a segurana da informao. J um evento uma ocorrncia identificada de um estado de sistema, servio ou rede, indicando uma possvel violao da poltica de segurana da informao ou falha de controles, ou uma situao previamente desconhecida, que possa ser relevante para a segurana da informao. Para a norma ISO 27001, um risco para a segurana da informao uma combinao de fatores. De um modo geral, a combinao de uma ameaa (temos aqui um agente) e uma vulnerabilidade (temos aqui uma fraqueza). Da, combinando um agente com uma fraqueza, temos o risco. um conceito mais geral para a idia de risco. Cuidado para no pensar que as vulnerabilidades so apenas ligadas aos sistemas de informao em si. Lembre-se que existem os aspectos fsicos e os aspectos lgicos. Existem os acontecimentos naturais que podem resultar em incidentes de segurana: incndio, terremotos, inundaes etc. Sem esquecermos dos incidentes com causa humana: negligncia, impercia, imprudncia, vingana, terrorismo etc.; e, claro de fatos puramente tcnicos: equipamentos com defeito, rudos etc. Nesse sentido, uma ameaa qualquer coisa que possa afetar a operao, a disponibilidade, a integridade da informao. Uma ameaa busca explorar uma vulnerabilidade fraqueza por meio de um ataque (tcnica para explorar a vulnerabilidade). Do outro lado esto as contramedidas ou os mecanismos de defesa, que so as tcnicas para defesa contra os ataques ou para reduzir as vulnerabilidades. As principais origens das vulnerabilidades residem em falhas de projeto de hardware ou software, falhas na implantao (configurao errada, falta de treinamento), falhas de gerenciamento (problemas de monitoramento, procedimentos inadequados ou incorretos). Observe a figura a seguir. Ela mostra alguns tipos de ataques em ambientes computacionais.

Prof. Alexandre Lnin

www.estrategiaconcursos.com.br

7/37

Noes de Informtica ICMS/SP Questes comentadas Prof. Alexandre Lnin Aula 11

Origem da Informao

Destino da Informao

O fluxo normal da informao o exemplificado em (a). Os demais exemplos mostram ataques realizados. Em (b) o fluxo interrompido e o destinatrio no recebe a mensagem. Diferentemente de (c), onde o receptor obtm a mensagem, mas h uma interceptao no autorizada. Em (d) e (e) o resultado semelhante, pois o destinatrio recebe uma mensagem diferente da original, sendo que em (d) houve uma modificao e em (e) uma mensagem nova foi encaminhada, com se fosse o remetente que a tivesse enviado. Assim, temos: (b) ataque disponibilidade (c) ataque confidencialidade (d) ataque Integridade (e) ataque autenticidade

Criptografia A palavra criptografia composta dos termos gregos KRIPTOS (secreto, oculto, ininteligvel) e GRAPHO (escrita, escrever). Trata-se de um conjunto de conceitos e tcnicas que visa codificar uma informao de forma que somente o emissor e o receptor possam acess-la. A criptografia , provavelmente, to antiga quanto a prpria escrita, sendo alvo constante de extenso estudo de suas tcnicas. Na informtica, as tcnicas mais conhecidas envolvem o conceito de chaves, as chamadas "chaves criptogrficas". Trata-se de um conjunto de bits (unidade de medida de armazenamento) baseado em um determinado algoritmo capaz de codificar e de decodificar informaes. Se o receptor da mensagem usar uma chave incompatvel com a chave do emissor, no conseguir extrair a informao. Os primeiros mtodos criptogrficos existentes usavam apenas um algoritmo de codificao. Assim, bastava que o receptor da informao

Prof. Alexandre Lnin

www.estrategiaconcursos.com.br

8/37

Noes de Informtica ICMS/SP Questes comentadas Prof. Alexandre Lnin Aula 11 conhecesse esse algoritmo para poder extra-la. No entanto, se um intruso tiver posse desse algoritmo, tambm poder decifr-la, caso capture os dados criptografados. H ainda outro problema: imagine que a pessoa A tenha que enviar uma informao criptografada pessoa B. Esta ltima ter que conhecer o algoritmo usado. Imagine agora que uma pessoa C tambm precisa receber uma informao da pessoa A, porm a pessoa C no pode descobrir qual a informao que a pessoa B recebeu. Se a pessoa C capturar a informao envida pessoa B, tambm conseguir decifr-la, pois quando a pessoa A enviou sua informao, a pessoa C tambm teve que conhecer o algoritmo usado. Para a pessoa A evitar esse problema, a nica soluo usar um algoritmo diferente para cada receptor. Detalhe: Na rea de segurana comum utilizar os nome Alice (A) e Bob (B) para representar as pessoas que querem se comunicar de forma secreta. Terminologia bsica sobre Criptografia: Mensagem ou texto a informao de se deseja proteger. Esse texto quando em sua forma original, ou seja, a ser transmitido, chamado de texto puro ou texto claro. Remetente ou emissor refere-se pessoa que envia a mensagem. Destinatrio ou receptor refere-se pessoa que receber a mensagem. Encriptao o processo em que um texto puro passa, transformando-se em texto cifrado. Desencriptao o processo de recuperao de um texto puro a partir de um texto cifrado. Criptografar o ato de encriptar um texto puro, assim como, descriptografar o ato de desencriptar um texto cifrado. Sistemas Criptogrficos Chave a informao que o remetente e o destinatrio possuem, e que ser usada para criptografar e descriptografar um texto ou mensagem. Chaves criptogrficas Na criptografia, para proteger os dados necessrio um algoritmo (mtodo/processo), que para encriptar (criptografar) os dados, necessita de uma chave (nmero ou frase secreta). Hoje, podemos afirmar que a criptografia computadorizada opera por meio da utilizao de chaves secretas, ao invs de algoritmos secretos. Se protegermos os dados com uma chave, precisamos proteger somente a chave. Se utilizarmos chaves para proteger segredos, podemos utilizar

Prof. Alexandre Lnin

www.estrategiaconcursos.com.br

9/37

Noes de Informtica ICMS/SP Questes comentadas Prof. Alexandre Lnin Aula 11 diversas chaves para proteger diferentes segredos. Em outras palavras, se uma chave for quebrada, os outros segredos ainda estaro seguros. Por outro lado, se um algoritmo secreto for quebrado por um invasor, este ter acesso a todos os outros segredos. Com o uso de chaves, um emissor pode usar o mesmo algoritmo (o mesmo mtodo) para vrios receptores. Basta que cada um receba uma chave diferente. Alm disso, caso um receptor perca ou exponha determinada chave, possvel troc-la, mantendo-se o mesmo algoritmo. Voc j deve ter ouvido falar de chave de 64 bits, chave de 128 bits e assim por diante. Esses valores expressam o tamanho de uma determinada chave. Quanto mais bits forem utilizados, maior ser a chave e mais difcil de descobrir o segredo por meio da fora bruta (tentativa e erro) ou tcnicas automatizadas de quebra da chave. Assim, sendo maior a chave, mais segura ser a criptografia. Explico: caso um algoritmo use chaves de 8 bits, apenas 256 chaves podero ser usadas na decodificao, pois 2 elevado a 8 256. Isso deixa claro que 8 bits inseguro, pois at uma pessoa capaz de gerar as 256 combinaes (embora demore), imagine ento um computador. Porm, se forem usados 128 ou mais bits para chaves (faa 2 elevado a 128 para ver o que acontece), teremos uma quantidade extremamente grande de combinaes, deixando a informao criptografada bem mais segura. Primeiro, tenha em mente que o bit (Binary Digit) ou dgito binrio a menor unidade de armazenamento na memria do computador. Ele pode representar dois valores apenas. No caso da computao, ou armazena o zero ou armazena o um (0-1). Para formar mensagens, preciso agrupar os bits. O padro atual o byte (Binary Term) ou termo binrio, que composto por 8 bits. Isto no ao acaso. Oito bits que podem valer 0 ou 1 cada, permitem 256 combinaes diferentes. Ento, para representar os smbolos, basta existir uma tabela com 256 posies e, em casa posio da tabela, um smbolo. Assim, internamente ao computador temos uma sequencia de 8 dgitos (zeros ou uns), que, associados a uma tabela, representam um smbolo. J ouviu falar da tabela ASCII (American Code for Interchange Information)? Ela o padro para as tabelas de codificao de smbolos. Nela temos desde as letras e dgitos, aos caracteres especiais e outras teclas especiais. Por exemplo, a letra A ocupa a casa de nmero 65 nesta tabela (convertendo 65 para o sistema de numerao binrio zeros e uns temos 1000001). Bom, o interessante que voc pode armazenar smbolos na memria por meio deste sistema de numerao e da tabela ASCII. Veja a mensagem abaixo (texto = PASSEI!

Prof. Alexandre Lnin

www.estrategiaconcursos.com.br

10/37

Noes de Informtica ICMS/SP Questes comentadas Prof. Alexandre Lnin Aula 11

Texto (smbolos) P Tabela ASCII Binrio 80 A 65 S 83 S 83 E 69 I 73 ! 33

1010000 1000001 1010011 1010011 1000101 1001001 100001

essa a ideia. Cada smbolo do texto PASSEI! possui um nmero na tabela ASCII. Este nmero armazenado na memria do computador (em binrio). Ento, falando em criptografia, estamos falando em fazer contas com estes nmeros para encontrar novos nmeros que, quando associados tabela, ficam estranhos. Por exemplo, somemos 30 a cada nmero da tabela ASCII que representa um smbolo do texto claro. Temos: 90, 75, 83, 83, 69, 73 e 43. Usando a tabela, teramos:
Texto (smbolos) Tabela ASCII Binrio P 80 A 65 S 83 S 83 E 69 I 73 ! 33

1010000 1000001 1010011 1010011 1000101 1001001 100001 75 K 93 ] 93 ] 79 O 83 S 43 +

Algoritmo = Ascii+10 90 Texto Cifrado Z

Na tabela acima, temos o texto cifrado como resultado da aplicao do algoritmo: some 10 ao cdigo ASCII de cada smbolo do texto claro. O resultado : ZK]]OS+. Assim, quem conseguir obter a mensagem no conseguir entend-la, exceto se conhecer o algoritmo que cifrou a mensagem. Agora, imagine que o algoritmo fosse tal que ao invs de usar um valor constante para calcular o novo caractere, usasse um valor fornecido pelo usurio. Esta chave informada, resultaria em textos diferentes, para chaves diferentes. Neste caso, a chave deve ser conhecida pelos participantes do processo, tanto o emissor quanto o receptor, alm do algoritmo, claro. Alm deste esquema, existe um que possui no uma, mas duas chaves. Uma para cifrar e outra para decifrar. Vamos estudar estes casos separadamente. Existem dois tipos de chaves: simtricas e assimtricas. Chave simtrica Esse um tipo de chave mais simples, onde o emissor e o receptor fazem uso da mesma chave, isto , uma nica chave usada na codificao e na decodificao da informao.

Prof. Alexandre Lnin

www.estrategiaconcursos.com.br

11/37

Noes de Informtica ICMS/SP Questes comentadas Prof. Alexandre Lnin Aula 11

Nas figuras acima, podemos observar o funcionamento da criptografia simtrica. Uma informao encriptada atravs de um polinmio utilizando-se de uma chave (Chave A) que tambm serve para decriptar a informao. As principais vantagens dos algoritmos simtricos so: Rapidez: Um polinmio simtrico encripta um texto longo em milsimos de segundos Chaves pequenas: uma chave de criptografia de 128bits torna um algoritmo simtrico praticamente impossvel de ser quebrado. A maior desvantagem da criptografia simtrica que a chave utilizada para encriptar igual chave que decripta. Quando um grande nmero de pessoas tem conhecimento da chave, a informao deixa de ser um segredo. O uso de chaves simtricas tem algumas desvantagens, fazendo com que sua utilizao no seja adequada em situaes onde a informao muito valiosa. Para comear, necessrio usar uma grande quantidade de chaves caso muitas pessoas estejam envolvidas. Ainda, h o fato de que tanto o emissor quanto o receptor precisa conhecer a chave usada. A transmisso dessa chave de um para o outro pode no ser to segura e cair em "mos erradas". Existem vrios algoritmos que usam chaves simtricas, como o DES, o IDEA, e o RC: DES (Data Encryption Standard): criado pela IBM em 1977, faz uso de chaves de 56 bits. Isso corresponde a 72 quadrilhes de combinaes (256 = 72.057.594.037.927.936). um valor absurdamente alto, mas no para um computador potente. Em

Prof. Alexandre Lnin

www.estrategiaconcursos.com.br

12/37

Noes de Informtica ICMS/SP Questes comentadas Prof. Alexandre Lnin Aula 11 1997, ele foi quebrado por tcnicas de "fora bruta" (tentativa e erro) em um desafio promovido na internet; IDEA (International Data Encryption Algorithm): criado em 1991 por James Massey e Xuejia Lai, o IDEA um algoritmo que faz uso de chaves de 128 bits e que tem uma estrutura semelhante ao DES. Sua implementao em software mais fcil do que a implementao deste ltimo; RC (Ron's Code ou Rivest Cipher): criado por Ron Rivest na empresa RSA Data Security, esse algoritmo muito utilizado em emails e faz uso de chaves que vo de 8 a 1024 bits. Possui vrias verses: RC2, RC4, RC5 e RC6. Essencialmente, cada verso difere da outra por trabalhar com chaves maiores. H ainda outros algoritmos conhecidos, como o AES (Advanced Encryption Standard) - que baseado no DES, o 3DES, o Twofish e sua variante Blowfish, por exemplo. Chave assimtrica

Tambm conhecida como "chave pblica", a tcnica de criptografia por chave assimtrica trabalha com duas chaves: uma denominada privada e outra denominada pblica. Nesse mtodo, uma pessoa deve criar uma chave de codificao e envi-la a quem for mandar informaes a ela. Essa a chave pblica. Outra chave deve ser criada para a decodificao. Esta a chave privada secreta. Para entender melhor, imagine o seguinte: O USURIO-A criou uma chave pblica e a enviou a vrios outros sites. Quando qualquer desses sites quiser enviar uma informao criptografada ao USURIO-A dever utilizar a chave pblica deste. Quando o USURIO-A receber a informao, apenas ser possvel extra-la com o uso da chave privada, que s o USURIO-A tem. Caso o USURIO-A queira enviar uma informao criptografada a outro site, dever conhecer sua chave pblica.

Prof. Alexandre Lnin

www.estrategiaconcursos.com.br

13/37

Noes de Informtica ICMS/SP Questes comentadas Prof. Alexandre Lnin Aula 11

Entre os algoritmos que usam chaves assimtricas, tm-se o RSA (o mais conhecido) e o Diffie-Hellman: RSA (Rivest, Shamir and Adleman): criado em 1977 por Ron Rivest, Adi Shamir e Len Adleman nos laboratrios do MIT (Massachusetts Institute of Technology), um dos algoritmos de chave assimtrica mais usados. Nesse algoritmo, nmeros primos (nmero primo aquele que s pode ser dividido por 1 e por ele mesmo) so utilizados da seguinte forma: dois nmeros primos so multiplicados para se obter um terceiro valor. Porm, descobrir os dois primeiros nmeros a partir do terceiro (ou seja, fazer uma fatorao) muito trabalhoso. Se dois nmeros primos grandes (realmente grandes) forem usados na multiplicao, ser necessrio usar muito processamento para descobri-los, tornando essa tarefa quase sempre invivel. Basicamente, a chave privada no RSA so os nmeros multiplicados e a chave pblica o valor obtido; ElGamal: criado por Taher ElGamal, esse algoritmo faz uso de um problema matemtico conhecido por "logaritmo discreto" para se tornar seguro. Sua utilizao frequente em assinaturas digitais. Existem ainda outros algoritmos, como o DSA (Digital Signature Algorithm), o Schnorr (praticamente usado apenas em assinaturas digitais) e Diffie-Hellman. Exemplo: Quando Alice quer mandar uma mensagem para Bob, ela procura a chave pblica dele em um diretrio e usa esta chave para encriptar a mensagem. Bob, ao receber a mensagem de Alice, usa a sua chave privada para decriptar a mensagem e l-la. Este sistema tambm

Prof. Alexandre Lnin

www.estrategiaconcursos.com.br

14/37

Noes de Informtica ICMS/SP Questes comentadas Prof. Alexandre Lnin Aula 11 permite a autenticao digital de mensagens, ou seja, possvel garantir ao receptor a identidade do transmissor e a integridade da mensagem. Quando uma mensagem encriptada com uma chave privada, ao invs da chave pblica, o resultado uma assinatura digital: uma mensagem que s uma pessoa poderia produzir, mas que todos possam verificar. Normalmente autenticao se refere ao uso de assinaturas digitais: a assinatura um conjunto inforjvel de dados assegurando o nome do autor ou funcionando como uma assinatura de documentos. Isto indica que a pessoa concorda com o que est escrito. Alm do que, evita que a pessoa que assinou a mensagem depois possa se livrar de responsabilidades, alegando que a mensagem foi forjada (garantia do no-repdio). Sistemas de uma chave so bem mais rpidos, e sistemas de duas chaves so bem mais seguros. Uma possvel soluo combinar as duas, fornecendo assim um misto de velocidade e segurana. Simplesmente usa-se a encriptao de uma chave para encriptar a mensagem, e a chave secreta transmitida usando a chave pblica do destinatrio. NO confunda a chave privada com chave secreta. A primeira mantida em segredo, enquanto que a segunda enviada para as pessoas que efetivaro a comunicao. PGP Pretty Good Privacy Trata-se de um software de criptografia, de uso livre, criado por Philip Zimmermman em 1991. A inteno de Zimmermman foi a de ajudar na defesa da liberdade individual nos Estados Unidos e no mundo inteiro, uma vez que ele percebeu que o uso do computador seria algo cada vez maior e que o direito privacidade deveria ser mantido nesse meio. Por ser disponibilizado de forma gratuita, o PGP acabou se tornando uns dos meios de criptografia mais conhecidos, principalmente na troca de emails. No PGP, chaves assimtricas so usadas. Alm disso, para reforar a segurana, o software pode realizar um segundo tipo de criptografia atravs de um mtodo conhecido como "chave de sesso" que, na verdade, um tipo de chave simtrica. Certificado Digital O Certificado Digital, tambm conhecido como Certificado de Identidade Digital, associa a identidade de um titular a um par de chaves eletrnicas (uma pblica e outra privada) que, usadas em conjunto, fornecem a comprovao da identidade. So elementos comuns dos certificados digitais:

Prof. Alexandre Lnin

www.estrategiaconcursos.com.br

15/37

Noes de Informtica ICMS/SP Questes comentadas Prof. Alexandre Lnin Aula 11 Informao de atributo: a informao sobre o objeto que certificado. No caso de uma pessoa, isto pode incluir seu nome, nacionalidade e endereo e-mail, sua organizao e o departamento da organizao onde trabalha. Chave de informao pblica: a chave pblica da entidade certificada. O certificado atua para associar a chave pblica informao de atributo, descrita acima. A chave pblica pode ser qualquer chave assimtrica, mas usualmente uma chave RSA. Assinatura da Autoridade em Certificao (CA): A CA assina os dois primeiros elementos e, ento, adiciona credibilidade ao certificado. Quem recebe o certificado verifica a assinatura e acreditar na informao de atributo e chave pblica associadas se acreditar na Autoridade em Certificao. Dentre os atributos do certificado deve estar a Data de Validade.

O Certificado Digital pode ser usado em uma grande variedade de aplicaes, como comrcio eletrnico, groupware (Intranet's e Internet) e transferncia eletrnica de fundos. Dessa forma, um cliente que compre em um shopping virtual, utilizando um Servidor Seguro, solicitar o Certificado de Identidade Digital deste Servidor para verificar: a identidade do vendedor e o contedo do Certificado por ele apresentado. Da mesma forma, o servidor poder solicitar ao comprador seu Certificado de Identidade Digital, para identific-lo com segurana e preciso. Caso qualquer um dos dois apresente um Certificado de Identidade Digital adulterado, ele ser avisado do fato, e a comunicao com segurana no ser estabelecida. O Certificado de Identidade Digital emitido e assinado por uma Autoridade Certificadora Digital (Certificate Authority). Para tanto, esta autoridade usa as mais avanadas tcnicas de criptografia disponveis e de padres internacionais (norma ISO X.509 para Certificados Digitais), para a emisso e chancela digital dos Certificados de Identidade Digital. Assinatura Digital A assinatura digital busca resolver dois problemas no garantidos apenas com uso da criptografia para codificar as informaes: a Integridade e a Procedncia. Ela utiliza uma funo chamada one-way hash function, tambm conhecida como: compression function, cryptographic checksum, message digest ou fingerprint. Essa funo gera uma sequencia de smbolos nica (hash) sobre uma informao, se esse valor for o mesmo

Prof. Alexandre Lnin

www.estrategiaconcursos.com.br

16/37

Noes de Informtica ICMS/SP Questes comentadas Prof. Alexandre Lnin Aula 11 tanto no remetente quanto destinatrio, significa que essa informao no foi alterada. Mesmo assim isso ainda no garante total integridade, pois a informao pode ter sido alterada no seu envio e um novo hash pode ter sido calculado. Para solucionar esse problema, utilizada a criptografia assimtrica com a funo das chaves num sentido inverso, onde o hash criptografado usando a chave privada do remetente, sendo assim o destinatrio de posse da chave pblica do remetente poder decriptar o hash. Dessa maneira garantimos a procedncia, pois somente o remetente possui a chave privada para codificar o hash que ser aberto pela sua chave pblica. J o hash, gerado a partir da informao original, protegido pela criptografia, garantir a integridade da informao. Um certificado de chave pblica, normalmente denominado apenas de certificado, uma declarao assinada digitalmente que vincula o valor de uma chave pblica identidade da pessoa, ao dispositivo ou ao servio que contm a chave particular correspondente. A maior parte dos certificados de uso comum se baseia no padro de certificado X.509v31, aplicados em criptografia de chave pblica - mtodo de criptografia no qual duas chaves diferentes so usadas: uma chave pblica para criptografar dados e uma chave particular para descriptograf-los. A criptografia de chave pblica tambm chamada de criptografia assimtrica. Os certificados podem ser emitidos para diversos fins como, por exemplo, a autenticao de usurios da Web, a autenticao de servidores Web, email seguro, segurana do protocolo Internet (IPSec), segurana de camada de transporte do protocolo TCP/IP e assinatura de cdigo. Normalmente, os certificados contm as seguintes informaes: O valor da chave pblica da entidade As informaes de identificao da entidade, como o nome e o endereo de email O perodo de validade (tempo durante o qual o certificado considerado vlido) Informaes de identificao do emissor A assinatura digital do emissor, que atesta a validade do vnculo entre a chave pblica da entidade e as informaes de identificao da entidade. Um certificado s vlido pelo perodo de tempo nele especificado; cada certificado contm datas Vlido de e Vlido at, que definem os prazos do
1

Verso 3 da recomendao X.509 da ITU (International Telecommunication Union) para formato e sintaxe de certificado. o formato de certificado padro usado pelos processos com base em certificados do Windows XP. Um certificado X.509 inclui a chave pblica e informaes sobre a pessoa ou entidade para a qual o certificado emitido, informaes sobre o certificado, alm de informaes opcionais sobre a autoridade de certificao (CA) que emite o certificado.

Prof. Alexandre Lnin

www.estrategiaconcursos.com.br

17/37

Noes de Informtica ICMS/SP Questes comentadas Prof. Alexandre Lnin Aula 11 perodo de validade. Quando o prazo de validade de um certificado termina, a entidade do certificado vencido deve solicitar um novo certificado. Se for preciso desfazer o vnculo declarado em um certificado, esse pode ser revogado pelo emissor. Cada emissor mantm uma lista de certificados revogados, que pode ser usada pelos programas quando a validade de um determinado certificado verificada. Uma das principais vantagens dos certificados que os hosts no tm mais que manter um conjunto de senhas para entidades individuais que precisam ser autenticadas para obterem acesso. Em vez disso, o host simplesmente deposita confiana em um emissor de certificados. Quando um host, como um servidor Web seguro, designa um emissor como uma autoridade raiz confivel, ele confia implicitamente nas diretivas usadas pelo emissor para estabelecer os vnculos dos certificados que emite. Na prtica, o host confia no fato de que o emissor verificou a identidade da entidade do certificado. Um host designa um emissor como uma autoridade raiz confivel colocando o certificado auto-assinado do emissor, que contm a chave pblica do emissor, no armazenamento de certificado da autoridade de certificao raiz confivel do computador host. As autoridades de certificao intermedirias ou subordinadas sero confiveis somente se tiverem um caminho de certificao vlido de uma autoridade de certificao raiz confivel. VPNs - Virtual Private Network Uma Virtual Private Network (VPN) ou Rede Virtual Privada uma rede privada (rede com acesso restrito) construda sobre a estrutura de uma rede pblica (recurso pblico, sem controle sobre o acesso aos dados), normalmente a Internet. Ou seja, ao invs de se utilizar links dedicados ou redes de pacotes para conectar redes remotas, utiliza-se a infraestrutura da Internet, uma vez que para os usurios a forma como as redes esto conectadas transparente. Normalmente as VPNs so utilizadas para interligar empresas onde os custos de linhas de comunicao direta de dados so elevados. Elas criam tneis virtuais de transmisso de dados utilizando criptografia para garantir a privacidade e integridade dos dados, e a autenticao para garantir que os dados esto sendo transmitidos por entidades ou dispositivos autorizados e no por outros quaisquer. Uma VPN pode ser criada tanto por dispositivos especficos, softwares ou at pelo prprio sistema operacional. Alguns aspectos negativos tambm devem ser considerados sobre a utilizao de VPNs:

Prof. Alexandre Lnin

www.estrategiaconcursos.com.br

18/37

Noes de Informtica ICMS/SP Questes comentadas Prof. Alexandre Lnin Aula 11 Perda de velocidade de transmisso: as informaes criptografadas tm seu tamanho aumentado, causando uma carga adicional na rede. Maiores exigncias de processamento: o processo de criptografar e decriptar as informaes transmitidas gera um maior consumo de processamento entre os dispositivos envolvidos.

Prof. Alexandre Lnin

www.estrategiaconcursos.com.br

19/37

Noes de Informtica ICMS/SP Questes comentadas Prof. Alexandre Lnin Aula 11

2. QUESTES COMENTADAS 1. (FCC/2009/TJ-PI/Analista Judicirio/Adaptada) Instruo: Para responder questo, considere os dados abaixo. Item Tarefa V Ao enviar informaes sigilosas via mensagem eletrnica deve-se utilizar de um sistema que faa a codificao (chave, cifra), de modo que somente as mquinas que conhecem o cdigo consigam decifr-lo. O cuidado solicitado em V aplica o conceito de: a) criptografia; b) assinatura digital; c) digitalizao; d) desfragmentao; e) modulao/demodulao. Comentrios Item A. Criptografia um conjunto de tcnicas que permitem tornar incompreensvel uma mensagem escrita com clareza, de forma que apenas o destinatrio a decifre e a compreenda. A criptografia tem como objetivo garantir que uma informao s seja lida e compreendida pelo destinatrio autorizado. Item CERTO. a resposta da questo! Item B. Com a utilizao da assinatura digital o remetente (emissor) ir criptografar a mensagem com sua chave privada e o destinatrio poder comprovar a autenticidade por meio da decifrao pela chave pblica do remetente. Cabe destacar que se a mensagem de e-mail for muito grande (contiver anexos, por exemplo), usar a chave privada do remetente para criptografar a mensagem toda demoraria muito. Hoje, a assinatura digital feita mediante o clculo do hash ( uma funo matemtica que recebe uma mensagem de entrada e gera como resultado um nmero finito de caracteres) da mensagem e a conseguinte criptografia apenas desse hash com o uso da chave privada do remetente. Como o hash pequeno, a assinatura digital no demora para ser realizada! A assinatura digital fornece uma prova inegvel de que uma mensagem veio do emissor. Para verificar este requisito, uma assinatura deve ter as seguintes propriedades: autenticidade: o receptor (destinatrio de uma mensagem) pode confirmar que a assinatura foi feita pelo emissor; integridade: qualquer alterao da mensagem faz com que a assinatura seja invalidada; no repdio (irretratabilidade): o emissor (aquele que assinou digitalmente a mensagem) no pode negar que foi o autor da

Prof. Alexandre Lnin

www.estrategiaconcursos.com.br

20/37

Noes de Informtica ICMS/SP Questes comentadas Prof. Alexandre Lnin Aula 11 mensagem, ou seja, no pode dizer mais tarde que a sua assinatura foi falsificada. A assinatura digital, por si s, no garante a confidencialidade (sigilo) dos dados, pois, teoricamente, todos possuem a chave pblica do remetente. Essa confidencialidade obtida por meio de tcnicas de criptografia, que so utilizadas em conjunto com as assinaturas digitais!! A implementao da assinatura digital s foi possvel com o uso dos algoritmos de criptografia assimtrica, pois eles provm a garantia da autenticidade, e por consequncia, a irretratabilidade da mensagem. A integridade da mensagem verificada por meio das funes de hash. Com a assinatura digital possvel associar, de forma unvoca, um documento digital a uma chave privada e, consequentemente, a um usurio. Item ERRADO. Item C. Digitalizao a converso de um suporte fsico de dados (papel, microfilme) para um suporte em formato digital visando dinamizar o acesso e a disseminao das informaes, mediante a visualizao instantnea das imagens pelas pessoas interessadas. Item ERRADO. Item D. A desfragmentao consiste em um processo de eliminao da fragmentao de dados de um sistema de arquivos. Isso possvel reordenando o espao de armazenamento, de forma que todo arquivo esteja armazenado de maneira contgua (unida) e ordenada, e tambm criando espaos livres contnuos, de forma a evitar a fragmentao de dados no disco. A desfragmentao no diminui o tamanho de um arquivo, apenas aumenta a velocidade de acesso aos dados, j que a cabea de leitura do HD no perde tempo pulando os fragmentos que no fazem parte do arquivo. Item ERRADO. Item E. Em um sistema de transmisso de dados, o processo de modulao pode ser definido como a transformao de um sinal que contm uma informao til, em seu formato original, em um sinal modulado, adequado ao meio de transmisso que se pretende utilizar, e a demodulao o inverso! Item ERRADO. GABARITO: A. 2. (FCC/2010-04/BAHIA GS/ Analista de Processos Organizacionais Administrao ou Cincias Econmicas/Q. 27/D04-G1) Uma assinatura digital um recurso de segurana cujo objetivo (A) identificar um usurio apenas por meio de uma senha. (B) identificar um usurio por meio de uma senha, associada a um token. (C) garantir a autenticidade de um documento.
Prof. Alexandre Lnin www.estrategiaconcursos.com.br 21/37

Noes de Informtica ICMS/SP Questes comentadas Prof. Alexandre Lnin Aula 11 (D) criptografar um documento assinado eletronicamente. (E) ser a verso eletrnica de uma cdula de identidade. Comentrios Conforme destaca Stallings (2008) uma assinatura digital um mecanismo de AUTENTICAO que permite ao criador de uma mensagem anexar um cdigo que atue como uma assinatura. A assinatura formada tomando o hash da mensagem e criptografando-a com a chave privada do criador. A assinatura garante a ORIGEM e a INTEGRIDADE da mensagem. Em outras palavras, a assinatura digital um mecanismo de segurana cujo objetivo o de garantir a autenticidade de um documento (mensagem). GABARITO: C. 3. (FCC/2008/TCE-SP/Adaptada) Em relao a Certificado Digital, correto afirmar que os certificados servem para garantir a segurana dos dados enviados via upload. Comentrios A afirmativa est ERRADA. Quanto aos objetivos do certificado digital, podemos destacar: vincular uma chave pblica a um titular (esse o objetivo principal!); transferir credibilidade, que hoje baseada em papel e conhecimento, para o ambiente eletrnico; assinar digitalmente um documento eletrnico, atribuindo validade jurdica a ele. A estrutura de um certificado digital contm os elementos identificados no quadro a seguir: Quadro: Elementos identificados na estrutura de um certificado digital Verso Indica qual formato de certificado est sendo seguido Nmero de srie Identifica unicamente um certificado dentro do escopo do seu emissor. Nome do titular Nome da pessoa, URL ou demais informaes que esto sendo certificadas. Chave pblica do Informaes da chave pblica do titular. titular Perodo de Data de emisso e expirao. validade Nome do emissor Entidade que emitiu o certificado. Assinatura do Valor da assinatura digital feita pelo emissor. emissor Algoritmo de Identificador dos algoritmos de hash +

Prof. Alexandre Lnin

www.estrategiaconcursos.com.br

22/37

Noes de Informtica ICMS/SP Questes comentadas Prof. Alexandre Lnin Aula 11 assinatura do emissor Extenses Um exemplo: assinatura utilizados pelo emissor para assinar o certificado. Campo opcional para estender o certificado.

GABARITO: E. 4. (FCC/2008/TCE-SP/Adaptada) Em relao a Certificado Digital, correto afirmar que: so plugins que definem a qualidade criptogrfica das informaes que trafegam na WWW. Comentrios A afirmativa est errada. O plug-in um software que adiciona recursos computacionais a um cliente ou browser da WWW. A maioria dos plug-ins est disponvel gratuitamente na prpria Internet. necessrio, por exemplo, que o usurio instale um plug-in para poder visualizar videoclipes em MPG (ou MPEG). GABARITO: E. 5. (FCC/2008/ICMS-SP) Um cdigo anexado ou logicamente associado a uma mensagem eletrnica que permite, de forma nica e exclusiva, a comprovao da autoria de um determinado conjunto de dados : a) uma autoridade certificadora; b) uma trilha de auditoria; c) uma chave simtrica; d) uma assinatura digital; e) um certificado digital.

Prof. Alexandre Lnin

www.estrategiaconcursos.com.br

23/37

Noes de Informtica ICMS/SP Questes comentadas Prof. Alexandre Lnin Aula 11 Comentrios O que garante a comprovao da autoria de um determinado conjunto de dados a assinatura digital. O certificado digital usado para assinar! GABARITO: D. 6. (FCC/2007/Cmara dos Deputados) Um certificado digital : I Um arquivo eletrnico que contm a identificao de uma pessoa ou instituio. II Equivalente ao RG ou CPF de uma pessoa. III O mesmo que uma assinatura digital. Est correto o que consta em: a) I apenas; b) III apenas; c) I e II apenas; d) I e III apenas; e) I, II e III. Comentrios Item I. Um certificado digital um documento eletrnico que identifica pessoas (fsicas ou jurdicas), URLs, contas de usurio, servidores (computadores), entre outras entidades. Esse documento, na verdade, uma estrutura de dados que contm a chave pblica do seu titular e outras informaes de interesse. Item CERTO. Item II. O certificado digital contm informaes relevantes para a identificao real da entidade que visam certificar (CPF, CNPJ, endereo, nome, etc.) e informaes relevantes para a aplicao a que se destinam. Item CERTO. Item III. O certificado digital no o mesmo que assinatura digital! Com o uso de um certificado digital pode-se assinar uma mensagem. A assinatura digital um processo matemtico para atestar a autenticidade de informaes digitais, como uma mensagem de e-mail ou um arquivo, por exemplo. A assinatura digital utiliza-se de chaves pblicas e privadas, tambm, assim como a criptografia assimtrica, mas as usa de forma invertida (o remetente usa sua chave privada para assinar a mensagem e, no outro lado, o destinatrio usa a chave pblica do remetente para conferir a assinatura). Item ERRADO. Como esto certos apenas os itens I e II, a resposta est na alternativa C. GABARITO: C. 7. (FCC/2003/TRF-5. Regio/Analista de Informtica) Os algoritmos de criptografia assimtricos utilizam: a) uma mesma chave privada, tanto para cifrar quanto para decifrar; b) duas chaves privadas diferentes, sendo uma para cifrar e outra para decifrar;

Prof. Alexandre Lnin

www.estrategiaconcursos.com.br

24/37

Noes de Informtica ICMS/SP Questes comentadas Prof. Alexandre Lnin Aula 11 c) duas chaves pblicas diferentes, sendo uma para cifrar e outra para decifrar; d) duas chaves, sendo uma privada para cifrar e outra pblica para decifrar; e) duas chaves, sendo uma pblica para cifrar e outra privada para decifrar. Comentrios Algoritmos de criptografia assimtricos (criptografia de chave pblica) utilizam chaves criptogrficas diferentes, uma pblica e outra privada. A pblica a chave que o remetente utiliza para cifrar a mensagem. A privada a chave que o destinatrio usa para decifrar (decriptografar) a mensagem. bom lembrar que as duas chaves so do destinatrio da mensagem! A chave pblica deve ser disponibilizada para quem quiser criptografar as mensagens destinadas a ele. GABARITO: E. 8. (CONSULPLAN 2011 Municpio de Londrina/PR Administrador) Segurana da informao a proteo de um conjunto de dados, no sentido de preservar o valor que possuem para um indivduo ou organizao. O conceito de Segurana da Informtica ou Segurana de Computadores est intimamente relacionado ao de Segurana da Informao, incluindo no apenas a segurana dos dados/informao, mas tambm a dos sistemas em si. Os principais atributos que orientam a anlise, o planejamento e a implementao da segurana para um grupo de informaes que se deseja proteger so: a) Confidencialidade, Integridade, Disponibilidade. b) Confidencialidade, Persistncia, Disponibilidade. c) Consistncia, Integridade, Disponibilidade. d) Confidencialidade, Integridade, Durabilidade. e) Confiabilidade, Integridade, Disponibilidade. Comentrios Vamos usar o mnemnico CID(A). Os trs princpios bsicos so: Confidencialidade, Integridade e Disponibilidade. Acrescente-se ao este trio a Autenticidade. GABARITO: A. 9. (CONSULPLAN 2011 Cons. Fed. Enfermagem (COFEN) Webdesigner) A utilizao de chaves em algoritmos de criptografia assimtricos definida como: a) Uma mesma chave privada, tanto para cifrar quanto para decifrar. b) Duas chaves privadas diferentes, sendo uma para cifrar e outra para decifrar. c) Duas chaves pblicas diferentes, sendo uma para cifrar e outra para decifrar. d) Duas chaves, sendo uma privada para cifrar e outra pblica para decifrar.

Prof. Alexandre Lnin

www.estrategiaconcursos.com.br

25/37

Noes de Informtica ICMS/SP Questes comentadas Prof. Alexandre Lnin Aula 11 e) Duas chaves, sendo uma pblica para cifrar e outra privada para decifrar. Comentrios Falou em assimtrico falou em duas chaves distintas (no simtricas). Bom, se temos duas chaves, ento temos uma chave secreta ou provada e outra pblica. Utilizamos uma delas para cifrar a mensagem e a outra para decifrar. Depois que a mensagem cifrada com uma destas chaves, somente a chave parceira conseguir decifrar. Da, se algum quer enviar uma mensagem que s eu possa decifrar, ele dever cifrar a mensagem com minha chave pblica (somente eu tenho acesso chave secreta). Se, por outro lado, eu quero que todos vejam a mensagem, mas quero garantir que saibam que foi eu quem escreveu, ento uso minha chave secreta para cifrar. Todos possuem acesso chave pblica e sero capazes de decifrar, mas como somente a minha chave pblica poder fazer a operao, sabero que eu fui o autor da cifragem. O detalhe importante para resolver a questo que o padro que as pessoas enviem mensagens privadas secretas, ou seja, que utilizem a chave pblica para cifrar e a chave privada para decifrar. Esta a segurana do tipo confidencialidade (sigilo). A operao inversa a autenticidade. A integridade faz parte das duas operaes, pois somente ser possvel decifrar se a mensagem estiver ntegra. GABARITO: E. 10. (CESPE/2010/EMBASA/Analista de Saneamento/Analista de Tecnologia da Informao) Na criptografia de chave pblica, os usurios usam um par de chaves, sendo que o que realizado com uma chave s pode ser desfeito com a outra chave. Comentrios Na criptografia de chave pblica existem duas chaves. Lembre-se, que se existisse apenas uma chave e esta fosse pblica, no teria sentido criptografar. Temos um par de chaves, uma pblica e outra privada. Criptografamos com uma e fazemos o inverso com a outra. Publicamos uma e mantemos uma em segredo. Quer mandar algo para mim de forma secreta, use minha chave pblica para gerar o texto secreto. Somente o detentor da chave privada (eu) poder transformar em texto claro. Exemplo: Quando Alice quer mandar uma mensagem para Bob, ela procura a chave pblica dele em um diretrio e usa esta chave para encriptar a mensagem. Bob, ao receber a mensagem de Alice, usa a sua chave privada para decriptar a mensagem e l-la. Este sistema tambm permite a autenticao digital de mensagens, ou seja, possvel garantir ao receptor a identidade do transmissor e a integridade da mensagem.

Prof. Alexandre Lnin

www.estrategiaconcursos.com.br

26/37

Noes de Informtica ICMS/SP Questes comentadas Prof. Alexandre Lnin Aula 11 Quando uma mensagem encriptada com uma chave privada, ao invs da chave pblica, o resultado uma assinatura digital: uma mensagem que s uma pessoa poderia produzir, mas que todos possam verificar. Normalmente autenticao se refere ao uso de assinaturas digitais: a assinatura um conjunto inforjvel de dados assegurando o nome do autor ou funcionando como uma assinatura de documentos. Isto indica que a pessoa concorda com o que est escrito. Alm do que, evita que a pessoa que assinou a mensagem depois possa se livrar de responsabilidades, alegando que a mensagem foi forjada (garantia do no-repdio). GABARITO: C. 11. (CESPE/2010/AGU/Contador) Um arquivo criptografado fica protegido contra contaminao por vrus. Comentrios O arquivo criptografado no elimina a possibilidade de infeco por vrus. Lembre-se de que a criptografia modifica os smbolos do texto, mas no impede a incluso de vrus na sequncia. GABARITO: E. 12. (CESPE/2010/EMBASA/Analista de Saneamento) Na criptografia de chave nica ou simtrica, o tamanho da chave no importante no processo de cifrar porque a segurana est embutida no ocultamento do cdigo contra criptoanlise. Comentrios O tamanho da chave de extrema importncia no processo de cifrar. especialmente quando falamos em chave nica. Uma chave pequena facilita o processo de descoberta da chave. Uma chave de uma posio (8 bits ou 1 byte) possui 256 possibilidades. J uma chave com 64 bits (8 posies 8 bytes) possui 264 possibilidades. A segurana de uma criptografia simtrica (chave nica) est mesmo no segredo da chave, j que nica. Da, quanto maior a chave, mais difcil ser de ser descoberta. GABARITO: E. 13. (CESPE/2010/Caixa/Tcnico Bancrio/Adaptada) A assinatura digital facilita a identificao de uma comunicao, pois baseia-se em criptografia simtrica de uma nica chave. Comentrios

Prof. Alexandre Lnin

www.estrategiaconcursos.com.br

27/37

Noes de Informtica ICMS/SP Questes comentadas Prof. Alexandre Lnin Aula 11 A assinatura digital facilita a identificao de uma comunicao sim, mas baseia-se em criptografia assimtrica com par de chaves: uma pblica e outra privada. GABARITO: E. 14. (CESPE/2010/Caixa/Tcnico Bancrio/Adaptada) O destinatrio de uma mensagem assinada utiliza a chave pblica do remetente para garantir que essa mensagem tenha sido enviada pelo prprio remetente. Comentrios Esta uma das utilidades do uso de criptografia assimtrica. O emissor utiliza sua chave privada para encriptar a mensagem, sendo possvel a decriptao apenas com sua chave pblica. Assim, pode-se confirmar que o emissor quem diz ser, pois somente a chave dele permite decriptar a mensagem. GABARITO: C. 15. (CESPE/2010/EMBASA/Analista de Saneamento - Analista de Tecnologia da Informao) Um certificado digital possui alguns atributos comuns, entre os quais esto a assinatura do emissor do certificado e o prazo de validade. Comentrios O Certificado Digital, tambm conhecido como Certificado de Identidade Digital, associa a identidade de um titular a um par de chaves eletrnicas (uma pblica e outra privada) que, usadas em conjunto, fornecem a comprovao da identidade. So elementos comuns dos certificados digitais: Informao de atributo: a informao sobre o objeto que certificado. No caso de uma pessoa, isto pode incluir seu nome, nacionalidade e endereo e-mail, sua organizao e o departamento da organizao onde trabalha. Chave de informao pblica: a chave pblica da entidade certificada. O certificado atua para associar a chave pblica informao de atributo, descrita acima. A chave pblica pode ser qualquer chave assimtrica, mas usualmente uma chave RSA. Assinatura da Autoridade em Certificao (CA): A CA assina os dois primeiros elementos e, ento, adiciona credibilidade ao certificado. Quem recebe o certificado verifica a assinatura e acreditar na informao de atributo e chave pblica associadas se acreditar na Autoridade em Certificao. Dentre os atributos do certificado deve estar a Data de Validade.

Prof. Alexandre Lnin

www.estrategiaconcursos.com.br

28/37

Noes de Informtica ICMS/SP Questes comentadas Prof. Alexandre Lnin Aula 11 O Certificado Digital pode ser usado em uma grande variedade de aplicaes, como comrcio eletrnico, groupware (Intranets e Internet) e transferncia eletrnica de fundos. Dessa forma, um cliente que compre em um shopping virtual, utilizando um Servidor Seguro, solicitar o Certificado de Identidade Digital deste Servidor para verificar: a identidade do vendedor e o contedo do Certificado por ele apresentado. Da mesma forma, o servidor poder solicitar ao comprador seu Certificado de Identidade Digital, para identific-lo com segurana e preciso. Caso qualquer um dos dois apresente um Certificado de Identidade Digital adulterado, ele ser avisado do fato, e a comunicao com segurana no ser estabelecida. O Certificado de Identidade Digital emitido e assinado por uma Autoridade Certificadora Digital (Certificate Authority). Para tanto, esta autoridade usa as mais avanadas tcnicas de criptografia disponveis e de padres internacionais (norma ISO X.509 para Certificados Digitais), para a emisso e chancela digital dos Certificados de Identidade Digital. GABARITO: C. 16. (CESPE/2010/Caixa/Tcnico Bancrio/Administrativo) Uma autoridade de registro emite o par de chaves do usurio que podem ser utilizadas tanto para criptografia como para assinatura de mensagens eletrnicas. Comentrios a autoridade de registro recebe as solicitaes de certificados dos usurios e as envia autoridade certificadora que os emite. GABARITO: E. 17. (CESPE/2010/TRE-MT/Tcnico Judicirio/Programao de Sistemas) A respeito dos conceitos de segurana da informao, Julgue os itens a seguir.( ) Disponibilidade a garantia de que o acesso informao seja obtido apenas por pessoas autorizadas. Comentrios A disponibilidade garante que a informao estar l quando for preciso acess-la. Obviamente, o acesso s ser permitido a quem de direito. O texto da questo afirma que a disponibilidade a garantia de que o acesso informao seja obtido apenas por pessoas autorizadas, o que a garantia da confidencialidade. GABARITO: E.

Prof. Alexandre Lnin

www.estrategiaconcursos.com.br

29/37

Noes de Informtica ICMS/SP Questes comentadas Prof. Alexandre Lnin Aula 11 18. (CESPE/2010/TRE-BA/ANALISTA) Confidencialidade, disponibilidade e integridade da informao so princpios bsicos que orientam a definio de polticas de uso dos ambientes computacionais. Esses princpios so aplicados exclusivamente s tecnologias de informao, pois no podem ser seguidos por seres humanos. Comentrios Os seres humanos tambm so considerados como ativos em segurana da informao e merecem tambm uma ateno especial por parte das organizaes. Alis, os usurios de uma organizao so considerados at como o elo mais fraco da segurana, e so os mais vulnerveis. Portanto, eles tm que seguir as regras predefinidas pela poltica de segurana da organizao, e esto sujeitos a punies para os casos de descumprimento das mesmas! No adianta investir recursos financeiros somente em tecnologias e esquecer de treinar os usurios da organizao, pois erros comuns (como o uso de um pendrive contaminado por vrus na rede) poderiam vir a comprometer o ambiente que se quer proteger! GABARITO: E. 19. (CESPE/2009/ANATEL/TCNICO ADMINISTRATIVO) Com o desenvolvimento da Internet e a migrao de um grande nmero de sistemas especializados de informao de grandes organizaes para sistemas de propsito geral acessveis universalmente, surgiu a preocupao com a segurana das informaes no ambiente da Internet. Acerca da segurana e da tecnologia da informao, julgue o item seguinte. A disponibilidade e a integridade so itens que caracterizam a segurana da informao. A primeira representa a garantia de que usurios autorizados tenham acesso a informaes e ativos associados quando necessrio, e a segunda corresponde garantia de que sistemas de informaes sejam acessveis apenas queles autorizados a acess-los. Comentrios O trecho que define a disponibilidade como "a garantia de que usurios autorizados tenham acesso a informaes e ativos associados quando necessrio" est correto, no entanto, a afirmativa de que a integridade "a garantia de que sistemas de informaes sejam acessveis apenas queles autorizados a acess-los" falsa (nesse caso o termo correto seria confidencialidade!). A disponibilidade garante que a informao e todos os canais de acesso ela estejam sempre disponveis quando um usurio autorizado quiser acess-la. Como dica para memorizao, temos que a confidencialidade
Prof. Alexandre Lnin www.estrategiaconcursos.com.br 30/37

Noes de Informtica ICMS/SP Questes comentadas Prof. Alexandre Lnin Aula 11 o segredo e a disponibilidade poder acessar o segredo quando se desejar!!. J a integridade garante que a informao deve ser mantida na condio em que foi liberada pelo seu proprietrio, garantindo a sua proteo contra mudanas intencionais, indevidas ou acidentais a informao. Em outras palavras, a informao deve manter todas as caractersticas originais durante sua existncia. Estas caractersticas originais so as estabelecidas pelo proprietrio da informao quando da criao ou manuteno da informao (se a informao for alterada por quem possui tal direito, isso no invalida a integridade, ok!!). GABARITO: E. 20. (CESPE/2010/CAIXA-NM1/ TCNICO BANCRIO/CARREIRA ADMINISTRATIVA) Assinale a opo correta a respeito de certificao digital. A) Autoridade certificadora a denominao de usurio que tem poderes de acesso s informaes contidas em uma mensagem assinada, privada e certificada. B) A autoridade reguladora tem a funo de emitir certificados digitais, funcionando como um cartrio da Internet. C) O ITI (Instituto Nacional de Tecnologia da Informao) tambm conhecido como Autoridade Certificadora Raiz Brasileira. D) PKI ou ICP o nome dado ao certificado que foi emitido por uma autoridade certificadora. E) Um certificado digital pessoal, intransfervel e no possui data de validade. Comentrios Item A. Autoridade certificadora (AC) o termo utilizado para designar a entidade que emite, renova ou revoga certificados digitais de outras ACs ou de titulares finais. Alm disso, emite e publica a LCR (Lista de Certificados Revogados). Item ERRADO. Item B. A Autoridade Certificadora (AC) a entidade responsvel por emitir certificados digitais. Item ERRADO. Item C. A Autoridade Certificadora RAIZ (AC Raiz) primeira autoridade da cadeia de certificao e compete a ela emitir, expedir, distribuir, revogar e gerenciar os certificados das AC de nvel imediatamente subsequente, gerenciar a lista de certificados emitidos, revogados e vencidos, e executar atividades de fiscalizao e auditoria das ACs e das ARs e dos prestadores de servio habilitados na ICP. A funo da AC-Raiz foi delegada ao Instituto Nacional de Tecnologia da Informao ITI, autarquia federal atualmente ligada
Prof. Alexandre Lnin www.estrategiaconcursos.com.br 31/37

Noes de Informtica ICMS/SP Questes comentadas Prof. Alexandre Lnin Aula 11 Casa Civil da Presidncia da Repblica. Logo, o ITI tambm conhecido como Autoridade Certificadora Raiz Brasileira. A AC-Raiz s pode emitir certificados s ACs imediatamente subordinadas, sendo vedada de emitir certificados a usurios finais. Item CERTO. Item D. PKI (Public Key Infrastrusture) a infraestrutura de chaves pblicas. A ICP-Brasil um exemplo de PKI. Item ERRADO. Item E. Um certificado digital um documento eletrnico que identifica pessoas, fsicas ou jurdicas, URLs, contas de usurio, servidores (computadores) dentre outras entidades. Este documento na verdade uma estrutura de dados que contm a chave pblica do seu titular e outras informaes de interesse. Contm informaes relevantes para a identificao real da entidade a que visam certificar (CPF, CNPJ, endereo, nome, etc) e informaes relevantes para a aplicao a que se destinam. O certificado digital precisa ser emitido por uma autoridade reconhecida pelas partes interessadas na transao. Chamamos essa autoridade de Autoridade Certificadora, ou AC. Dentre as informaes que compem um certificado temos: Verso: indica qual formato de certificado est sendo seguido Nmero de srie: identifica unicamente um certificado dentro do escopo do seu emissor. Algoritmo: identificador dos algoritmos de hash+assinatura utilizados pelo emissor para assinar o certificado. Emissor: entidade que emitiu o certificado. Validade: data de emisso e expirao. Titular: nome da pessoa, URL ou demais informaes que esto sendo certificadas. Chave pblica: informaes da chave pblica do titular. Extenses: campo opcional para estender o certificado. Assinatura: valor da assinatura digital feita pelo emissor. Item ERRADO. GABARITO: C.

Prof. Alexandre Lnin

www.estrategiaconcursos.com.br

32/37

Noes de Informtica ICMS/SP Questes comentadas Prof. Alexandre Lnin Aula 11

3. LISTA DAS QUESTES COMENTADAS NA AULA 1. (FCC/2009/TJ-PI/Analista Judicirio/Adaptada) Instruo: Para responder questo, considere os dados abaixo. Item Tarefa V Ao enviar informaes sigilosas via mensagem eletrnica deve-se utilizar de um sistema que faa a codificao (chave, cifra), de modo que somente as mquinas que conhecem o cdigo consigam decifr-lo. O cuidado solicitado em V aplica o conceito de: a) criptografia; b) assinatura digital; c) digitalizao; d) desfragmentao; e) modulao/demodulao. 2. (FCC/2010-04/BAHIA GS/ Analista de Processos Organizacionais Administrao ou Cincias Econmicas/Q. 27/D04-G1) Uma assinatura digital um recurso de segurana cujo objetivo (A) identificar um usurio apenas por meio de uma senha. (B) identificar um usurio por meio de uma senha, associada a um token. (C) garantir a autenticidade de um documento. (D) criptografar um documento assinado eletronicamente. (E) ser a verso eletrnica de uma cdula de identidade. 3. (FCC/2008/TCE-SP) Em relao a Certificado Digital, correto afirmar que: [os certificados servem para garantir a segurana dos dados enviados via upload]. 4. (FCC/2008/TCE-SP/Adaptada) Em relao a Certificado Digital, correto afirmar que: so plugins que definem a qualidade criptogrfica das informaes que trafegam na WWW. 5. (FCC/2008/ICMS-SP) Um cdigo anexado ou logicamente associado a uma mensagem eletrnica que permite, de forma nica e exclusiva, a comprovao da autoria de um determinado conjunto de dados : a) uma autoridade certificadora; b) uma trilha de auditoria; c) uma chave simtrica; d) uma assinatura digital;

Prof. Alexandre Lnin

www.estrategiaconcursos.com.br

33/37

Noes de Informtica ICMS/SP Questes comentadas Prof. Alexandre Lnin Aula 11 e) um certificado digital. 6. (FCC/2007/Cmara dos Deputados) Um certificado digital : I Um arquivo eletrnico que contm a identificao de uma pessoa ou instituio. II Equivalente ao RG ou CPF de uma pessoa. III O mesmo que uma assinatura digital. Est correto o que consta em: a) I apenas; b) III apenas; c) I e II apenas; d) I e III apenas; e) I, II e III. 7. (FCC/2003/TRF-5. Regio/Analista de Informtica) Os algoritmos de criptografia assimtricos utilizam: a) uma mesma chave privada, tanto para cifrar quanto para decifrar; b) duas chaves privadas diferentes, sendo uma para cifrar e outra para decifrar; c) duas chaves pblicas diferentes, sendo uma para cifrar e outra para decifrar; d) duas chaves, sendo uma privada para cifrar e outra pblica para decifrar; e) duas chaves, sendo uma pblica para cifrar e outra privada para decifrar. 8. (CONSULPLAN 2011 Municpio de Londrina/PR Administrador) Segurana da informao a proteo de um conjunto de dados, no sentido de preservar o valor que possuem para um indivduo ou organizao. O conceito de Segurana da Informtica ou Segurana de Computadores est intimamente relacionado ao de Segurana da Informao, incluindo no apenas a segurana dos dados/informao, mas tambm a dos sistemas em si. Os principais atributos que orientam a anlise, o planejamento e a implementao da segurana para um grupo de informaes que se deseja proteger so: a) Confidencialidade, Integridade, Disponibilidade. b) Confidencialidade, Persistncia, Disponibilidade. c) Consistncia, Integridade, Disponibilidade. d) Confidencialidade, Integridade, Durabilidade. e) Confiabilidade, Integridade, Disponibilidade. 9. (CONSULPLAN 2011 Cons. Fed. Enfermagem (COFEN) Webdesigner) A utilizao de chaves em algoritmos de criptografia assimtricos definida como: a) Uma mesma chave privada, tanto para cifrar quanto para decifrar. b) Duas chaves privadas diferentes, sendo uma para cifrar e outra para decifrar.
Prof. Alexandre Lnin www.estrategiaconcursos.com.br 34/37

Noes de Informtica ICMS/SP Questes comentadas Prof. Alexandre Lnin Aula 11 c) Duas chaves pblicas diferentes, sendo uma para cifrar e outra para decifrar. d) Duas chaves, sendo uma privada para cifrar e outra pblica para decifrar. e) Duas chaves, sendo uma pblica para cifrar e outra privada para decifrar. 10. (CESPE/2010/EMBASA/Analista de Saneamento/Analista de Tecnologia da Informao) Na criptografia de chave pblica, os usurios usam um par de chaves, sendo que o que realizado com uma chave s pode ser desfeito com a outra chave. 11. (CESPE/2010/AGU/Contador) Um arquivo criptografado fica protegido contra contaminao por vrus. 12. (CESPE/2010/EMBASA/Analista de Saneamento) Na criptografia de chave nica ou simtrica, o tamanho da chave no importante no processo de cifrar porque a segurana est embutida no ocultamento do cdigo contra criptoanlise. 13. (CESPE/2010/Caixa/Tcnico Bancrio/Adaptada) A assinatura digital facilita a identificao de uma comunicao, pois baseia-se em criptografia simtrica de uma nica chave. 14. (CESPE/2010/Caixa/Tcnico Bancrio/Adaptada) O destinatrio de uma mensagem assinada utiliza a chave pblica do remetente para garantir que essa mensagem tenha sido enviada pelo prprio remetente. 15. (CESPE/2010/EMBASA/Analista de Saneamento - Analista de Tecnologia da Informao) Um certificado digital possui alguns atributos comuns, entre os quais esto a assinatura do emissor do certificado e o prazo de validade. 16. (CESPE/2010/Caixa/Tcnico Bancrio/Administrativo) Uma autoridade de registro emite o par de chaves do usurio que podem ser utilizadas tanto para criptografia como para assinatura de mensagens eletrnicas. 17. (CESPE/2010/TRE-MT/Tcnico Judicirio/Programao de Sistemas) A respeito dos conceitos de segurana da informao,

Prof. Alexandre Lnin

www.estrategiaconcursos.com.br

35/37

Noes de Informtica ICMS/SP Questes comentadas Prof. Alexandre Lnin Aula 11 Julgue os itens a seguir.( ) Disponibilidade a garantia de que o acesso informao seja obtido apenas por pessoas autorizadas. 18. (CESPE/2010/TRE-BA/ANALISTA) Confidencialidade, disponibilidade e integridade da informao so princpios bsicos que orientam a definio de polticas de uso dos ambientes computacionais. Esses princpios so aplicados exclusivamente s tecnologias de informao, pois no podem ser seguidos por seres humanos. 19. (CESPE/2009/ANATEL/TCNICO ADMINISTRATIVO) Com o desenvolvimento da Internet e a migrao de um grande nmero de sistemas especializados de informao de grandes organizaes para sistemas de propsito geral acessveis universalmente, surgiu a preocupao com a segurana das informaes no ambiente da Internet. Acerca da segurana e da tecnologia da informao, julgue o item seguinte. A disponibilidade e a integridade so itens que caracterizam a segurana da informao. A primeira representa a garantia de que usurios autorizados tenham acesso a informaes e ativos associados quando necessrio, e a segunda corresponde garantia de que sistemas de informaes sejam acessveis apenas queles autorizados a acess-los. 20. (CESPE/2010/CAIXA-NM1/ TCNICO BANCRIO/CARREIRA ADMINISTRATIVA) Assinale a opo correta a respeito de certificao digital. A) Autoridade certificadora a denominao de usurio que tem poderes de acesso s informaes contidas em uma mensagem assinada, privada e certificada. B) A autoridade reguladora tem a funo de emitir certificados digitais, funcionando como um cartrio da Internet. C) O ITI (Instituto Nacional de Tecnologia da Informao) tambm conhecido como Autoridade Certificadora Raiz Brasileira. D) PKI ou ICP o nome dado ao certificado que foi emitido por uma autoridade certificadora. E) Um certificado digital pessoal, intransfervel e no possui data de validade.

Prof. Alexandre Lnin

www.estrategiaconcursos.com.br

36/37

Noes de Informtica ICMS/SP Questes comentadas Prof. Alexandre Lnin Aula 11

4. Gabaritos 01 A 11 E 02 C 12 E 03 E 13 E 04 E 14 C 05 D 15 C 06 C 16 E 07 E 17 E 08 A 18 E 09 E 19 E 10 C 20 C

Prof. Alexandre Lnin

www.estrategiaconcursos.com.br

37/37