Uma empresa deseja disponibilizar, de forma segura, sua Extr...

Próximas questões
Com base no mesmo assunto
Q75427
Segurança da Informação Certificação Digital em Segurança da Informação , Autoridade Certificadora (AC) , Autenticação , ICP-Brasil
Ano: 2010 Banca: CESGRANRIO Órgão: EPE Prova: CESGRANRIO - 2010 - EPE - Analista de Gestão Corporativa - Tecnologia da Informação |
Q75427 Segurança da Informação
Uma empresa deseja disponibilizar, de forma segura, sua Extranet aos seus parceiros. Para tanto, ela decidiu permitir o acesso somente por meio de certificados digitais ICP-Brasil. Com base nessa situação, analise as afirmativas a seguir.

I - O certificado ICP-Brasil de pessoa física pode identificar, em uma conexão HTTPS, o titular do certificado, via Client Authentication.
II - É necessário, para autenticar o usuário, que a empresa armazene, seguramente, a senha associada ao certificado digital de cada parceiro.
III - Caso um usuário perca seu certificado, ele deve, por segurança, solicitar sua revogação.

Está correto o que se afirma em
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

A alternativa correta é: D - I e III, apenas.

Para entender a questão, precisamos abordar o tema de Certificados Digitais ICP-Brasil e sua utilização em autenticação. A ICP-Brasil (Infraestrutura de Chaves Públicas Brasileira) é responsável pela emissão de certificados digitais que garantem segurança e autenticidade nas transações eletrônicas.

Vamos analisar as afirmativas:

I - O certificado ICP-Brasil de pessoa física pode identificar, em uma conexão HTTPS, o titular do certificado, via Client Authentication.

Essa afirmativa está correta. Os certificados digitais fornecidos pela ICP-Brasil podem ser utilizados para autenticação de clientes em conexões HTTPS (Client Authentication), permitindo que a identidade do titular seja confirmada de forma segura. Isso é especialmente importante em ambientes onde a segurança e a verificação de identidade são cruciais, como em uma Extranet.

II - É necessário, para autenticar o usuário, que a empresa armazene, seguramente, a senha associada ao certificado digital de cada parceiro.

Essa afirmativa está incorreta. A autenticação via certificados digitais não requer que a empresa armazene a senha do certificado digital. Os certificados são utilizados com suas chaves privadas e públicas para realizar a autenticação de forma segura, sem necessitar do armazenamento de senhas. Armazenar a senha associada ao certificado iria contra os princípios de segurança, pois poderia expor a senha a riscos desnecessários.

III - Caso um usuário perca seu certificado, ele deve, por segurança, solicitar sua revogação.

Essa afirmativa está correta. Em caso de perda do certificado digital, é essencial solicitar sua revogação para evitar que terceiros possam usá-lo indevidamente. A revogação impede que o certificado perdido continue válido e utilizável, garantindo assim a segurança das informações e identidades.

Portanto, apenas as afirmativas I e III estão corretas, o que torna a alternativa D a resposta correta.

Alternativas incorretas:

A - I, apenas. - Incorreta porque desconsidera a afirmativa III, que também está correta.

B - II, apenas. - Incorreta porque a afirmativa II está errada.

C - III, apenas. - Incorreta porque desconsidera a afirmativa I, que também está correta.

E - I, II e III. - Incorreta porque inclui a afirmativa II, que está errada.

Espero que esta explicação tenha ajudado a entender melhor o tema de certificados digitais e sua utilização em autenticação. Se tiver mais dúvidas, estarei por aqui para ajudar!

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

http://yross.wordpress.com/2010/09/16/certificacao-digital-lado-do-servidor/
O certifcado digital é utilizado para distribuição de chaves públicas, logo ele deve ser público! Resposta que marcaria: letra a.
I - O certificado ICP-Brasil de pessoa física pode identificar, em uma conexão HTTPS, o titular do certificado, via Client Authentication.

OK. Pela chave privada, há garantia de autenticidade;

 
II - É necessário, para autenticar o usuário, que a empresa armazene, seguramente, a senha associada ao certificado digital de cada parceiro. 

Errado. Uma das bases para um sistema PKIX é que exista uma AC ou RA que tenha a confiança dos envolvidos na transação, que garanta a autenticidade  do certificado usado.

III - Caso um usuário perca seu certificado, ele deve, por segurança, solicitar sua revogação.

OK. O CD revogado é publicado em uma CRL (normalmente na AC) e, via de regra, emite-se um novo CD.
Faltou recurso nessa questão. A alternativa III está totalmente absurda!

III - Caso um usuário perca seu certificado, ele deve, por segurança, solicitar sua revogação.

Um certificado contém uma CHAVE *PÚBLICA*. Não existe "perder certificado". O certificado É PÚBLICO e, inclusive, está disponível no diretório do CA que o emitiu. O usuário deve solicitar a revogação caso perca A CHAVE PRIVADA, e não o certificado!
Concordo com o amigo acima, faltou recurso nessa questão, o gabarito certo é a letra (A)

Certificado digital é público e so será revogado caso haja suspeita de comprometimento da chave privada, seja por uma invasão sofrida no computador ou pelo surgimento de operações associadas ao uso da chave que não sejam de conhecimento do seu proprietário, a revogação do certificado deve ser solicitada o mais rapidamente possível à AC responsável pela sua emissão. Além disso, é necessário estar alerta às recomendações da DPC quanto aos procedimentos necessários a revogação do certificado.

Sem mais!

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas