Open jmtannus opened 1 year ago
jmtannus
commented
1 year ago Autoridade de Registro: (não está no edital) Na estrutura hierárquica da ICP-Brasil, a AR é a entidade que tem competência de encaminhar solicitações de emissão ou revogação de certificados digitais e identificação de seus solicitantes, de forma presencial.
jmtannus
commented
1 year ago A cadeia de confiança de certificação digital é a hierarquia existente entre os componentes da ICP-Brasil. Estes componentes são:
Comitê Gestor (aprova normas e resoluções e fiscaliza a AC-Raiz
a AC Raiz (Autoridade Certificadora Raiz). É o ITI - Instituto Nacional de Tecnologia da Informação(Autoridade máxima)
as ACs (Autoridades Certificadoras) de primeiro nível. Responsável pela autenticação, emissão, revogação e gerenciamento de Autoridades Certificadoras. Utilizando função de hash.
as ACs (Autoridades Certificadoras) de segundo nível. Responsável pela autenticação, emissão, revogação e gerenciamento dos certificados virtuais. Utilizando função de hash (cartório virtual).
LCR: é a lista de certificados revogados pela AC Certificados autoassinados não podem existir em uma cadeia certificadora Certificado não é confiável: pode ser pq a cadeia de certificados desatualizados , instalada no computador utilizado.
as ARs (Autoridades de Registros). "Cara-crachá". Responsável pela identificação propriamente dita do usuário e por solicitar e emitir certificados.
e, finalmente,
jmtannus
commented
1 year ago ver mais sobre o tema Certificado Digital em: http://beneficioscd.com.br/cartilha_online/?pagina=oq06
questão do vídeo da GC (https://www.youtube.com/watch?v=Rjn4QDA8_T0&list=PLZIcuMePV18wTmmpTySiupiA3XRUR_KkJ&index=5):
jmtannus
commented
1 year ago
O que a assinatura digital prove: INA (integridade, não repudio e integridade). Não garante o sigilo das informações
Certificado digital permite a identificação segura e inequivoca do autor de uma mensagem ou transação feita em meios eletronicos.
A AC-Raiz pode ter um certificado auto-assinado em uma cadeia de certificados. Só ela.
jmtannus
commented
1 year ago
- NBR ISO/IEC 27001 - LEI DE OBRIGAÇÕES Tem que se assegurar que as partes externas e funcionários entendam suas responsabilidades e sejam conscientizados durante a fase de contratação.
ACRESCENTANDO: E UMA ANÁLISE QUALITATIVA E QUANTITATIVA
- QUESTÃO PROPRIETÁRIO DO ATIVO E NÃO DEFINE DIREITO DE PROPRIEDADE DO ATIVO:
VEJA A EXPLICAÇÃO ABAIXO:
jmtannus
commented
1 year ago QUESTÕES PRA REVISÃO:
2º BLOCO:
- ATIVO É TUDO O QUE TEM VALOR PRA ORGANIZ. TANGIVEL E INTANGIVEL (IMAGEM E INFORMAÇÃO). Existem outros ativos e conforme a criticidade dele, demanda que seja colocada uma classificação pra ele.
obs: segurança em serviço de redes publicas quer dizer, utilizando internet. Segue abaixo a parte na norma:
gabarito:
jmtannus
commented
1 year ago
- Usa cifras de fluxo ou cifras de bloco
- A encriptação é feita em cada Blocos de bits fixos. AES: usa 128 bits cada bloco. Junta o bloco de 128 depois encripta.
jmtannus
commented
1 year ago jmtannus
commented
1 year ago Algoritmos de Criptografia Assimétrica:
Diffie Helman:
Protocolo pra troca de chaves em meio inseguro (internet). Conceito de chave de sessão. Permite que duas partes que, a priori, desconhecem uma à outra e compartilhem entre si uma chave secreta (simetrica) em meio inseguro (internet)
Seu uso em conjunto com algoritmos de curva elípticas, cria um processo chamado Perfect Forward Secrecy (PFS).
Perfect Forward Secrecy (PFS) --> Finalidade : Proporcionar resistência aos ataques de sequestro de sessão no HTTPS. Uma chave é criada por sessão.
El Gamal:
RSA (usa envelopamento digital)
SERVIÇO FEDERAL DE PROCESSAMENTO DE DADOS
SEGURANÇA DA INFORMAÇÃO:
[ ] 1 ISO 27000 – Confiabilidade, integridade e disponibilidade.
[ ] 2 Mecanismos de segurança.
[ ] 3 Gerência de riscos.
[ ] 4 Políticas de segurança.
[ ] 5 Autenticação de dois fatores (MFA).
[ ] 6 OAuth 2, JWT, SSO, Open ID Connect e SAML.
[ ] 7 OWASP Top 10 https://owasp.org/www-project-topten/.