A chave privada do certificado possui resistência à intrusão...
sociedade acerca da possibilidade de se fazer a votação pela
Internet. Na concepção de um sistema hipotético de votação pela
Internet, foram evidenciados os seguintes requisitos relacionados
com a segurança da informação do sistema.
* Cada votante deverá ser autenticado pelo sistema por
certificado digital, cuja chave privada deve ser armazenada
em dispositivo de mídia removível (pendrive) ou smartcard.
O acesso a essa informação deverá ser protegido por uso de
identificador pessoal numérico (PIN), de uso exclusivo de
cada votante e que deve ser mantido secreto pelo votante.
*autoridade certificadora confiável. A lista de autoridades
certificadoras confiáveis aceitas é de conhecimento dos
votantes, que se responsabilizarão pela obtenção do certificado
digital apropriado junto à autoridade de registro/autoridade
certificadora apropriada.
* Os votantes aptos a participar da votação deverão ser
previamente cadastrados no sistema. Não serão recebidos
votos de indivíduos não cadastrados previamente, mesmo que
estes detenham um certificado digital compatível com o
sistema.
* Por questões de economicidade, não será requerido o uso de
pin pad seguro para digitação do PIN no momento da
autenticação do votante. Assim, a entrada do PIN poderá ser
realizada pelo teclado do terminal usado para acesso à
Internet.
* A sessão entre o navegador de Internet usado como interface
de cliente do sistema de votação e o servidor de aplicação que
disponibiliza a aplicação do sistema deverá utilizar protocolo
TLS/SSL com autenticação do cliente e do servidor. Para
autenticação do cliente TLS/SSL, será utilizado o certificado
digital supramencionado.
Com relação à situação descrita acima, julgue os itens que se
seguem.
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
A alternativa correta é E - errado.
Ao abordar a segurança em um sistema hipotético de votação pela Internet, a questão toca em pontos importantes relacionados à autenticação e integridade dos dados, usando tecnologias como o certificado digital e o protocolo TLS/SSL. A chave privada, em sistemas de certificado digital, é um componente crítico que precisa ser protegido de acessos não autorizados, comumente realizado através de dispositivos seguros conhecidos como Hardware Security Module (HSM) ou dispositivos similares que são tamper-proof (à prova de violação).
Na situação descrita, a chave privada está armazenada em um dispositivo de mídia removível, como um pendrive ou smartcard. Embora esses dispositivos possam implementar camadas de segurança como a exigência de um PIN para acessar a chave privada, eles por si só geralmente não são considerados tamper-proof, ou seja, não têm resistência a intrusões físicas ou lógicas providas pelo hardware de maneira que possam ser comparados a um HSM. A questão indica que a segurança do acesso à chave privada é protegida apenas pelo uso de um PIN, sem menção a um nível de segurança física inerente ao dispositivo de armazenamento que pudesse ser considerado tamper-proof.
Portanto, a afirmativa está incorreta porque não há informações suficientes para afirmar que a chave privada do certificado possui resistência à intrusão provida pelo hardware que a armazena. A menção a dispositivos como pendrive ou smartcard sem especificar funcionalidades avançadas de proteção física contra violações implica que não se pode assumir que eles sejam tamper-proof.
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
O pendrive não possui resistência a intrusão. Mesmo que ele possa criptografar os dados, essa criptografia seria via software e não via hardware como afirma a questão.
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo
Conheça nossos planos