A chave privada do certificado possui resistência à intrusão...
sociedade acerca da possibilidade de se fazer a votação pela
Internet. Na concepção de um sistema hipotético de votação pela
Internet, foram evidenciados os seguintes requisitos relacionados
com a segurança da informação do sistema.
* Cada votante deverá ser autenticado pelo sistema por
certificado digital, cuja chave privada deve ser armazenada
em dispositivo de mídia removível (pendrive) ou smartcard.
O acesso a essa informação deverá ser protegido por uso de
identificador pessoal numérico (PIN), de uso exclusivo de
cada votante e que deve ser mantido secreto pelo votante.
*autoridade certificadora confiável. A lista de autoridades
certificadoras confiáveis aceitas é de conhecimento dos
votantes, que se responsabilizarão pela obtenção do certificado
digital apropriado junto à autoridade de registro/autoridade
certificadora apropriada.
* Os votantes aptos a participar da votação deverão ser
previamente cadastrados no sistema. Não serão recebidos
votos de indivíduos não cadastrados previamente, mesmo que
estes detenham um certificado digital compatível com o
sistema.
* Por questões de economicidade, não será requerido o uso de
pin pad seguro para digitação do PIN no momento da
autenticação do votante. Assim, a entrada do PIN poderá ser
realizada pelo teclado do terminal usado para acesso à
Internet.
* A sessão entre o navegador de Internet usado como interface
de cliente do sistema de votação e o servidor de aplicação que
disponibiliza a aplicação do sistema deverá utilizar protocolo
TLS/SSL com autenticação do cliente e do servidor. Para
autenticação do cliente TLS/SSL, será utilizado o certificado
digital supramencionado.
Com relação à situação descrita acima, julgue os itens que se
seguem.
O pendrive não possui resistência a intrusão. Mesmo que ele possa criptografar os dados, essa criptografia seria via software e não via hardware como afirma a questão.
HÁ ERRO EM AFIRMAR QUE A CHAVE PRIVADA FAZ PARTE DO CERTIFICADO! No caso do pen drive o tamper-proof é obtido via software e não via hardware.Mais uma questão muito mal elaborada pelo CESPE. Pen Drive e smartCard são dispositivos que funcionam de maneira bem diferente. A questão fala de tamper proof. Tampering é a alteração de alguma coisa. Tamper proof, então, seria um sistema que não pode ser alterado e não resistente à intrusão. Além disso, o pen-drive em si não fornece hardware seguro contra invasão ou alteração.
Certificado Digital não possui chave privada.
Se pensar em questão de chaves, sabe-se que o Certificado Digital possui apenas a chave PÚBLICA do seu utilizador e isso já descartaria a questão.
De fato, quem possui essa resistência são os cartões inteligentes ou os Tokens, os quais são protegidos de tal forma que é impossível fazer a leitura de suas chaves privadas!
Assim, sabe-se que o Certificado Digital possui apenas a chave pública mais os dados daquele que o utilizará (entidade final).
A Autoridade Certificadora gera um hash dessas informações (chave pública + dados) e as criptografa com a sua chave privada.
a resistência à intrusão é provida pelo hardware em combinação com o elemento humano (o votante que sabe o PIN)
A alternativa correta é E - errado.
Ao abordar a segurança em um sistema hipotético de votação pela Internet, a questão toca em pontos importantes relacionados à autenticação e integridade dos dados, usando tecnologias como o certificado digital e o protocolo TLS/SSL. A chave privada, em sistemas de certificado digital, é um componente crítico que precisa ser protegido de acessos não autorizados, comumente realizado através de dispositivos seguros conhecidos como Hardware Security Module (HSM) ou dispositivos similares que são tamper-proof (à prova de violação).
Na situação descrita, a chave privada está armazenada em um dispositivo de mídia removível, como um pendrive ou smartcard. Embora esses dispositivos possam implementar camadas de segurança como a exigência de um PIN para acessar a chave privada, eles por si só geralmente não são considerados tamper-proof, ou seja, não têm resistência a intrusões físicas ou lógicas providas pelo hardware de maneira que possam ser comparados a um HSM. A questão indica que a segurança do acesso à chave privada é protegida apenas pelo uso de um PIN, sem menção a um nível de segurança física inerente ao dispositivo de armazenamento que pudesse ser considerado tamper-proof.
Portanto, a afirmativa está incorreta porque não há informações suficientes para afirmar que a chave privada do certificado possui resistência à intrusão provida pelo hardware que a armazena. A menção a dispositivos como pendrive ou smartcard sem especificar funcionalidades avançadas de proteção física contra violações implica que não se pode assumir que eles sejam tamper-proof.