Uma empresa cuja matriz está localizada em Brasília possui t...

Próximas questões
Com base no mesmo assunto
Q349059
Segurança da Informação Certificação Digital em Segurança da Informação ,
Ano: 2013 Banca: CESPE / CEBRASPE Órgão: MPU Prova: CESPE - 2013 - MPU - Analista - Suporte e Infraestrutura |
Q349059 Segurança da Informação
Uma empresa cuja matriz está localizada em Brasília possui três filiais localizadas em outras cidades do Brasil. As atribuições da matriz incluem analisar todas as propostas de negócio e autorizar os valores finais da negociação, além de analisar a documentação dos clientes para a liberação do crédito. Como atende a clientes em cidades onde não possui pontos de atendimento, a empresa recebe as propostas e documentos dos clientes eletronicamente e fecha contratos à distância. Os clientes também podem ser atendidos nas filiais, caso em que elas se responsabilizam pela recepção dos documentos e pelo seu envio, por meio eletrônico, para a matriz.

Com base nessa situação hipotética, julgue os seguintes itens.

O uso de certificados autoassinados para assinar eletronicamente os documentos digitais enviados pelos clientes às filiais é suficiente para garantir a autoria do envio desses documentos.
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

A alternativa correta para a questão apresentada é: E - errado.

Vamos agora entender o contexto e os motivos que justificam essa resposta.

O enunciado descreve uma situação em que uma empresa utiliza meios eletrônicos para receber propostas de negócio e documentos dos clientes, tanto diretamente quanto através de suas filiais. Nesse contexto, a empresa precisa garantir a autenticidade e a integridade dos documentos recebidos eletronicamente.

Um ponto crucial da questão é o uso de certificados autoassinados. Para compreender melhor, vamos abordar alguns conceitos importantes:

1. Certificados Digitais: São documentos eletrônicos que utilizam criptografia para associar uma chave pública a uma entidade (pessoa, organização). Eles garantem a autenticidade, integridade e confidencialidade das informações. Esses certificados são emitidos por uma Autoridade Certificadora (CA) confiável.

2. Certificados Autoassinados: São certificados criados e assinados pela própria entidade que pretende utilizá-los. Diferente dos certificados emitidos por uma CA, eles não possuem a mesma garantia de confiança, pois não foram validados por uma entidade reconhecida e independente.

A questão afirma que é suficiente usar certificados autoassinados para garantir a autoria dos documentos enviados pelos clientes. No entanto, isso está incorreto, pois:

1. Falta de Confiabilidade: Certificados autoassinados não são emitidos por uma CA confiável, o que significa que qualquer pessoa pode criar um certificado desse tipo. Assim, não há garantias sobre a identidade do remetente.

2. Risco de Fraudes: Sem a validação de uma entidade confiável, as chances de fraudes aumentam significativamente. Alguém mal-intencionado poderia criar um certificado falso e enviar documentos, fazendo-se passar por outra pessoa.

Portanto, o uso de certificados autoassinados não é suficiente para garantir a autoria do envio dos documentos, pois não atende aos requisitos de segurança necessários para autenticação confiável.

Espero que essa explicação tenha esclarecido suas dúvidas. Se precisar de mais detalhes ou tiver outras questões, estarei à disposição para ajudar!

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

O certificado digital é um registro eletrônico composto por um conjunto de dados que distingue uma entidade e associa a ela uma chave pública. Ele pode ser emitido para pessoas, empresas, equipamentos ou serviços na rede (por exemplo, um site Web) e pode ser homologado para diferentes usos, como confidencialidade e assinatura digital.
 
Um certificado digital pode ser comparado a um documento de identidade, por exemplo, o seu passaporte, no qual constam os seus dados pessoais e a identificação de quem o emitiu. No caso do passaporte, a entidade responsável pela emissão e pela veracidade dos dados é a Polícia Federal. No caso do certificado digital esta entidade é uma Autoridade Certificadora (AC).
 
Alguns tipos especiais de certificado digital que você pode encontrar são:
 
Certificado autoassinado: é aquele no qual o dono e o emissor são a mesma entidade. Costuma ser usado de duas formas:
 
Legítima: além das ACs raízes, certificados autoassinados também costumam ser usados por instituições de ensino e pequenos grupos que querem prover confidencialidade e integridade nas conexões, mas que não desejam (ou não podem) arcar com o ônus de adquirir um certificado digital validado por uma AC comercial.
 
Maliciosa: um atacante pode criar um certificado autoassinado e utilizar, por exemplo, mensagens de phishing (mais detalhes na Seção 2.3 do Capítulo Golpes na Internet), para induzir os usuários a instalá-lo. A partir do momento em que o certificado for instalado no navegador, passa a ser possível estabelecer conexões cifradas com sites fraudulentos, sem que o navegador emita alertas quanto à confiabilidade do certificado.
 
Certificado EV SSL (Extended Validation Secure Socket Layer): certificado emitido sob um processo mais rigoroso de validação do solicitante. Inclui a verificação de que a empresa foi legalmente registrada, encontra-se ativa e que detém o registro do domínio para o qual o certificado será emitido, além de dados adicionais, como o endereço físico.
  
  
Um dos níveis de proteção de conexão usada na Internet envolve o uso de certificados autoassinados e/ou cuja cadeia de certificação não foi reconhecida. Este tipo de conexão não pode ser caracterizado como sendo totalmente seguro (e nem totalmente inseguro) pois, apesar de prover integridade e confidencialidade, não provê autenticação, já que não há garantias relativas ao certificado em uso.

Fonte: http://www.iti.gov.br/

O cara falou ... falou e não saiu do canto!

Resumindo:

Qualquer um pode "autoatestar" uma certificação fingindo ser outra entidade, para garantir sua autoria o certo é você ser atestado por uma entidade confiável que é a entidade certificadora!

"É suficiente".....na CESPE, marca E e corre pro abraço!

 

Acho que a pegadinha foi dizer que o certificado foi autoassinado pelo cliente. O blablabla todo foi para induzir que, entre a matriz e filiais o certificado autoassinado bastaria, o que neste contexto intra-organizacional estaria correto. Contudo, a questão aborda o envio dos clientes à filiais. Neste caso as Filiais não tem como garantir a autenticidade dos certificados assinados pelos Clientes.

"O uso de certificados autoassinados para assinar eletronicamente os documentos digitais enviados pelos clientes às filiais é suficiente para garantir a autoria do envio desses documentos. "

 

Certificado autoassinado: é aquele no qual o dono e o emissor são a mesma entidade. Costuma ser usado de duas formas:

Legítima: além das ACs raízes, certificados autoassinados também costumam ser usados por instituições de ensino e pequenos grupos que querem prover confidencialidade e integridade nas conexões, mas que não desejam (ou não podem) arcar com o ônus de adquirir um certificado digital validado por uma AC comercial.

Maliciosa: um atacante pode criar um certificado autoassinado e utilizar, por exemplo, mensagens de phishing (mais detalhes na Seção 2.3 do Capítulo Golpes na Internet), para induzir os usuários a instalá-lo. A partir do momento em que o certificado for instalado no navegador, passa a ser possível estabelecer conexões cifradas com sites fraudulentos, sem que o navegador emita alertas quanto à confiabilidade do certificado.

 

https://cartilha.cert.br/criptografia/

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas