Conecte-se
Fazer login

Galeria de mapas mentais Notas de estudo CISSP-7 (aplicações de PKI e criptografia)

Notas de estudo CISSP-7 (aplicações de PKI e criptografia)

Os pontos de conhecimento, pontos de teste e exercícios importantes no Capítulo 7 do tutorial CISSP podem ajudar os candidatos a dominar sistematicamente os conhecimentos e habilidades na área de segurança da informação e melhorar a eficiência da preparação e a taxa de aprovação nos exames.

Editado em 2024-02-18 18:03:55

WSysQn6v

Trabalhos recentes Ver mais trabalhos>>

Notas de estudo CISSP-7 (aplicações de PKI e criptografia)

WSysQn6v

Trabalhos recentes Ver mais trabalhos>>

Recomendado para você
Descrição

Modelo de habilidades para responder a perguntas de geografia no exame de admissão à faculdade
- 7
75zb2rxr@bccto.cc
Exame de admissão à faculdade Técnicas de resposta a perguntas de aplicação em língua chinesa
- 4
75zb2rxr@bccto.cc
Notas de Estudo CISSP - Domínio 7 (Operações de Segurança)
- 9
- 1
- 1
WSysQn6v
Notas de Estudo CISSP - Domínio 6 (Avaliação e Teste de Segurança)
- 6
- 1
- 1
WSysQn6v
Notas de estudo do CISSP - Domínio 5 (Gerenciamento de acesso de identidade)
- 7
WSysQn6v
Notas de Estudo CISSP - Domínio 4 (Comunicações e Segurança de Rede)
- 5
- 1
- 1
WSysQn6v
Notas de estudo do CISSP - Domínio 3 (Arquitetura e Engenharia de Segurança)
- 8
- 1
- 1
WSysQn6v
Notas de estudo CISSP-21 (código malicioso e ataques a aplicativos)
- 11
- 1
- 1
WSysQn6v
Notas de Estudo CISSP-19 (Investigação e Ética)
- 6
- 1
- 1
WSysQn6v
Notas de estudo CISSP-20 (segurança de desenvolvimento de software)
- 9
- 1
- 1
WSysQn6v

Notas de estudo CISSP-7 (aplicações de PKI e criptografia)

Pontos de conhecimento

tenha em mente

•Se você estiver criptografando uma mensagem, use a chave pública do destinatário. •Se quiser descriptografar uma mensagem enviada a você, use sua própria chave privada. • Se quiser assinar digitalmente uma mensagem que está enviando para outra pessoa, use sua própria chave privada. •Se quiser verificar a assinatura de uma mensagem de outra pessoa, use a chave pública do remetente.

criptografia assimétrica

Chaves públicas e privadas

A chave pública deve ser maior que a chave usada para a chave privada para produzir um criptossistema igualmente forte

RSA

A dificuldade computacional natural de fatorar produtos de grandes números primos

ElGamal

Módulo aritmético e números inteiros grandes

Após a criptografia, a mensagem tem o dobro do comprimento

curva elíptica

Diffie-Hellman

Permite que duas pessoas gerem uma chave secreta compartilhada através de um canal de comunicação não seguro

Usar a chave pública para gerar uma chave secreta compartilhada e usar essa chave para se comunicar com o algoritmo de criptografia simétrica é uma cifra híbrida

Princípio do número primo, igual ao RSA

É um protocolo de troca de chaves, não um protocolo de criptografia

Usado para criar uma chave secreta compartilhada para uso do Transport Layer Security TLS

Criptografia quântica

Função hash

O básico das assinaturas digitais

5 requisitos básicos

Insira qualquer comprimento

Comprimento fixo de saída

Relativamente fácil de inserir

Unidirecional, é difícil determinar a entrada com base na saída

Anti-colisão

SHA

Tamanho do resumo da mensagem

SHA-256

SHA-224

SHA-512

SHA-384

MD5

RIPEMD

Comparação de comprimentos de valores de hash de vários algoritmos de hash

assinatura digital

Propósito

Fornecer não repúdio

A mensagem não foi modificada

Noções básicas: criptozoologia de chave pública e funções hash

HMAC

Fornece integridade, não repúdio

Porque depende de uma chave secreta compartilhada

padrão de assinatura digital

PKI de infraestrutura de chave pública

Certificado

Contém dados

Aplica-se a subdomínios

Autoridade emissora CA

Autoridade de Registro RA

Verifique a identidade do usuário remotamente

CA off-line

O certificado de nível superior para toda a PKI

Desconecte a rede e desligue a energia quando não for necessário

CA Intermediária Secundária

CA on-line

Certificado emitido regularmente

cadeia de certificados

O navegador primeiro verifica a CA intermediária e, em seguida, rastreia a CA raiz conhecida para verificar a identidade de cada link.

A autoridade emissora não é necessariamente um provedor de serviços terceirizado. A CA interna pode fornecer certificados que não são confiáveis para navegadores externos, economizando custos.

Ciclo de vida do certificado

registro

Fornecer informações para comprovar a identidade

O aplicativo de assinatura de certificado CSR fornece chave pública

CA cria um certificado digital X.509

Informações de identificação

Cópia de chave pública

A CA escreve uma assinatura digital com a chave privada da CA e fornece uma cópia do certificado digital assinado ao requerente.

Tipo de certificado

Certificado de validação de domínio DV

A CA apenas verifica se o titular do certificado tem controle sobre o nome de domínio

Certificado estendido EV

Nível superior, verifique se é um negócio legítimo

verificar

Sair

Formato do certificado

Os formatos DER binários mais comuns

.der .ert .cer

O formato do certificado Privacy Enhanced Email PEM é uma versão de texto ASCII do formato DER.

Arquivo .pem .crt

O formato Personal Information Exchange (PFX) é comumente usado por sistemas Windows. Os certificados PPX são salvos em formato binário. Disponível com extensões de arquivo pfx ou p12

Os sistemas Windows também usam certificados P7B, que são salvos em formato de texto ASCII

Gerenciamento de chaves assimétricas

Mantenha a chave privada em segredo

A chave é gerada aleatoriamente

Aposentado

Chave de backup

Módulo de segurança de hardware HSM

criptografia híbrida

Cifra assimétrica para estabelecer link inicial

Troque chaves compartilhadas - aleatórias, temporárias

Ambas as partes se comunicam usando chaves compartilhadas e algoritmos simétricos

Após o término, a chave temporária torna-se inválida.

TLS

criptografia aplicada

aparelho portátil

Módulo de plataforma confiável TPM

Evite a desmontagem para outro dispositivo e proteja os dados

e-mail

regra

•Se você enviar um e-mail que exija confidencialidade, deverá criptografar o e-mail. • Se a integridade do seu e-mail precisar ser mantida, você deverá fazer hash no e-mail. •Se o seu e-mail exigir autenticação, integridade e/ou não repúdio, você deverá assinar digitalmente o e-mail • Se o seu e-mail exigir confidencialidade, integridade, autenticação e não repúdio, você deverá criptografar e assinar digitalmente o e-mail.

Vários padrões usados

Boa privacidade PGP

S/MIME

Usar algoritmo RSA

Aplicativo web

SSL de soquetes seguros

Obsoleto, a base do TLS

via HTTPS

TLS de segurança da camada de transporte

Certificados digitais do servidor Exchange para negociar parâmetros de criptografia/descriptografia entre o navegador e o servidor web

Não é um algoritmo de criptografia em si, é uma estrutura

Esteganografia

rede

criptografia de linha

Criptografia de link

Camada baixa OSI

Criptografia ponta a ponta

OSI de alto nível

SSH

IPSec

Cabeçalho de autenticação AH

Integridade e não repúdio

Autenticação e controle de acesso

Proteja-se contra ataques de repetição

Carga útil de segurança encapsulada ESP

Confidencialidade e Integridade

Criptografia e autenticação limitada

Também pode resistir a ataques de repetição

modelo

Modo de transmissão

Criptografia ponta a ponta

modo túnel

Criptografia de link

correr

Crie uma associação de segurança SA

SA é unilateral

Se você usa AH e ESP ao mesmo tempo, você precisa estabelecer 4 SAs

Aplicações emergentes

Blockchain

Criptografia leve

Criptografia homomórfica

Ataque de senha

Analisar ataques

O foco está na lógica do próprio algoritmo, reduzindo a complexidade do algoritmo de código.

implementar ataque

O foco está no código, não apenas nos erros e defeitos, mas também nos métodos de programação do sistema criptográfico

ataque estatístico

Foco em hardware e sistemas operacionais

Ataque de força bruta

Concentre-se em chaves e senhas

mesa arco-íris

Usado para quebrar senhas armazenadas em forma de hash no sistema

ataque de injeção de falha

Criação de falhas externas que comprometem a integridade dos dispositivos criptográficos

ataque de canal lateral

Explorar mudanças na utilização do processador, consumo de energia ou radiação eletromagnética

ataque cronometrado

Um exemplo de ataque de canal lateral é a prática de calcular operações criptográficas para obter informações que prejudicam a segurança criptográfica.

Análise de frequência e ataques somente de texto cifrado

Analise letras que ocorrem com frequência em texto cifrado

cifra de mudança

Substituir senha

Somente o texto cifrado pode ser obtido

texto simples conhecido

Domine cópias de texto simples e texto cifrado

Selecione texto simples

Domine algum texto simples e texto cifrado

Se o invasor não tiver acesso ao sistema, ele só poderá obter o texto cifrado Se houver, é possível obter o texto não criptografado

Selecione o texto secreto

Parte descriptografada do texto cifrado

encontro no meio

Usando a mensagem de texto simples conhecida, encontre as chaves de criptografia e descriptografia K1 K2

Uma única rodada de criptografia leva 2 n vezes

intermediário

Aniversário

repetir

Dê a cada mensagem um carimbo de data/hora e defina um prazo de validade

mecanismo de desafio-resposta

Chave de sessão temporária para criptografar a sessão de autenticação

Pode resistir a ataques de repetição

Pontos de exame

Aprenda sobre os tipos de chaves usadas na criptografia assimétrica. A chave pública pode ser compartilhada livremente entre os participantes da comunicação, enquanto a chave privada deve ser mantida em segredo. As mensagens criptografadas usam a chave pública do destinatário. Descriptografe mensagens usando sua própria chave privada. Assine a mensagem usando sua própria chave privada e verifique a assinatura usando a chave pública do remetente.

Familiarize-se com os três principais sistemas criptográficos de chave pública. RSA é o criptosistema de chave pública mais conhecido, desenvolvido por Rivest e Shamir Adleman em 1977. Este criptossistema baseia-se na dificuldade de fatorar produtos de números primos. EIGamal é uma extensão do algoritmo de troca de chaves Diffie-Hellman, que se baseia em aritmética modular. O algoritmo da curva elíptica depende do problema do logaritmo discreto da curva elíptica. Se a chave usada tiver o mesmo comprimento que a chave usada por outros algoritmos, sua segurança será maior do que outros algoritmos.

Compreenda os requisitos básicos das funções hash. Existem cinco requisitos para uma boa função hash. Eles devem aceitar entradas de qualquer comprimento, fornecer saídas de comprimento fixo, calcular hashes de forma relativamente fácil para qualquer entrada, fornecer funcionalidade unidirecional e ser resistentes a colisões.

Familiaridade com os principais algoritmos de hash. Os sucessores do Secure Hash Algorithm (SHA), SHA-2 e SHA-3, formam a função de resumo de mensagens padrão do governo que suporta comprimento variável, até 512 bits. SHA-3 melhora a segurança do SHA-2 e suporta o mesmo comprimento de hash.

Aprenda como os sais de senha tornam os hashes de senha mais seguros. Se as senhas forem criptografadas e salvas em um arquivo de senha, um invasor pode usar uma tabela arco-íris de valores pré-calculados para identificar as senhas comumente usadas. No entanto, se você adicionar sal à senha durante a operação de hash, o efeito de ataque da tabela arco-íris pode ser reduzido. Alguns algoritmos de hash de senha comumente usados também usam técnicas de alongamento de chave para aumentar ainda mais a dificuldade dos ataques. PBKDF2, borypt e serypt são três desses algoritmos.

Entenda o processo de geração e verificação de assinaturas digitais. Para escrever uma assinatura digital em uma mensagem. Primeiro, uma função hash deve ser usada para gerar um resumo da mensagem e, em seguida, o resumo deve ser criptografado com a chave privada do proprietário. Para verificar a assinatura digital de uma mensagem, deve-se primeiro descriptografar o resumo com a chave pública do remetente e depois comparar o resumo da mensagem com um resumo gerado automaticamente.

Saiba mais sobre a infraestrutura de chave pública (PKI). Na infraestrutura de chave pública, uma autoridade certificadora (CA) gera um certificado digital contendo a chave pública de um usuário do sistema. Os usuários então distribuem esses certificados para aqueles que precisam se comunicar com eles. O destinatário do certificado verifica o certificado com a chave pública da CA.

Aprenda sobre práticas comuns para proteger e-mails com senha. O protocolo S/MIME é um padrão emergente para criptografia de mensagens de e-mail. Outra ferramenta popular de segurança de e-mail é “Good Privacy” (PGP) de Phil Zimmerman. A maioria dos usuários de criptografia de e-mail equipa seus clientes de e-mail ou serviços de e-mail baseados na Web com essa tecnologia.

Aprenda sobre práticas comuns para proteger atividades na web com senha. O padrão de fato para tráfego seguro da web é o uso de HTTP sobre Transport Layer Security (TLS). Este método depende da criptografia híbrida, que primeiro troca uma chave temporária pela criptografia assimétrica e, em seguida, usa a chave temporária para criptografar simetricamente o restante da sessão.

Aprenda sobre práticas comuns para proteger a Internet com senha. O padrão de protocolo IPsec fornece uma estrutura comum para criptografar o tráfego de rede e está incluído em muitos sistemas operacionais populares. No modo de transporte IPsec, o conteúdo do pacote é criptografado para garantir a confiança dos pares. No modo túnel, todo o pacote (incluindo informações de cabeçalho) é criptografado para permitir a comunicação entre gateways.

Capacidade de descrever IPsec. IPsee é uma estrutura de arquitetura de segurança que oferece suporte à comunicação segura por IP. O IPsec estabelece um canal seguro no modo de transporte ou no modo de túnel. O IPsee pode ser usado para estabelecer comunicação direta entre computadores ou para estabelecer uma VPN entre redes. O IPsec usa dois protocolos: cabeçalho de autenticação AH e carga útil de segurança encapsulada por ESP.

Pode ilustrar ataques comuns de senha. Os ataques somente de texto cifrado requerem apenas acesso ao texto cifrado da mensagem. Um ataque de força bruta que tenta descobrir aleatoriamente a chave de senha correta é um exemplo de ataque somente de texto cifrado. A análise de frequência é outro ataque somente de texto cifrado que funciona de trás para frente para recuperar uma senha alternativa contando caracteres no texto cifrado. Ataques de texto simples conhecido, texto cifrado escolhido e texto simples escolhido exigem que o invasor não apenas obtenha o texto cifrado, mas também algumas informações adicionais. Um ataque meet-in-the-middle utiliza um protocolo de criptografia de duas rodadas. Um ataque man-in-the-middle engana ambas as partes comunicantes para que se comuniquem com o invasor, em vez de diretamente com a outra parte. O ataque de aniversário tenta encontrar o ponto de colisão da função hash. Os ataques de repetição tentam usar a solicitação de autenticação novamente.

Exercícios importantes

Alan acredita que um invasor está coletando informações sobre o consumo de energia de um dispositivo criptográfico sensível e usará essas informações para Os dados criptografados não são descriptografados. Que tipo de ataque ele suspeitava que estava ocorrendo? A. Quebra de força bruta B. Canal lateral C. Texto simples conhecido D. Análise de frequência

Se Richard usasse um sistema criptográfico de chave pública para enviar uma mensagem secreta para Sue, qual chave ele usaria? Criptografia de mensagens? A. Chave pública de Richard B. Chave privada de Richard C. Chave pública de Sue D. Chave privada de Sue

Se uma mensagem de texto simples de 2.048 bits for criptografada usando o sistema criptográfico de chave pública ElGamal, qual será o tamanho da mensagem de texto cifrado? A. 1024 bits B. 2.048 bits C. 4096 bits D.8 192 bits

A empresa de Zhang San agora adotou totalmente o padrão de criptografia RSA de 3.072 bits se mudar para o sistema de criptografia de curva elíptica. Se a empresa quiser manter a mesma força do código, qual comprimento da chave ECC ela deverá usar. A. 256 bits B. 512 bits C.1024 bits D.2048 bits

John pretende gerar um resumo da mensagem para uma mensagem de 2.048 bytes que está prestes a ser enviada para Nary. se ele Usando o algoritmo de hash SHA-2, qual é o tamanho do resumo desta mensagem? A. 160 bits B. 512 bits C.1024 bits D. 2048 bits

Melissa investiga as tecnologias de criptografia usadas em sua organização e suspeita que algumas possam estar desatualizadas e representar um risco à segurança. Qual das quatro tecnologias a seguir é considerada defeituosa e não deve mais ser usada? A.SHA-3 B.TLS 1.2 C.IPsec SSL 3.0

D SSL foi descontinuado SHA1 também está obsoleto As opções restantes são compatíveis com o padrão e o SHA2 é seguro

Você está desenvolvendo um aplicativo. O aplicativo compara a senha com a senha armazenada em um arquivo de senhas UNIX. O hash que você calculou não corresponde corretamente ao hash do arquivo. O que pode ter sido adicionado ao hash da senha salva Um sal B. Hash duplo C. Adicionar criptografia D. Teclado único

Qual chave Richard deve usar para descriptografar a mensagem que Sue lhe enviou? A. Chave pública de Richard B. Chave privada de Richard C. Chave pública de Sue D. Chave privada de Sue

Se Richard quisesse enviar uma mensagem confidencial para Sue e assiná-la digitalmente usando um sistema criptográfico de chave pública, qual chave ele usaria para criptografar o resumo da mensagem? A. Chave pública de Richard B, chave privada de Richard Chave pública de C.Sue D. Chave privada de Sue

Qual dos seguintes algoritmos não é compatível com FIPS 186-4 "Digital Signature Standard"? A. Algoritmo de assinatura digital B.RSA C. ElGamal DSA D. Curva elíptica DSA

C Algoritmo de assinatura digital, RSA ou curva elíptica DSA, função hash SHA1 usada em conjunto

Qual norma da União Internacional de Telecomunicações (GITU) deve ser seguida para a criação e reconhecimento de certificados digitais para comunicações eletrónicas seguras? AX500 BX509 CX900 DX905

Ron acredita que um invasor entrou em um sistema com requisitos de segurança extremamente altos no data center e aplicou alta voltagem nele para quebrar a chave usada pelo sistema. Que tipo de ataque Ron suspeita? A. Implementar o ataque B. Injeção de falha C. Tempo D. Selecione o texto cifrado

Brandon está analisando o tráfego de rede para procurar usuários que acessam o site por meio de uma conexão TLS segura. Em qual porta TCP comum Boudon deve basear esse tráfego? A. 22 B. 80 C. 443 D. 1433

C 22-SSH 1433-Microsoft SQL Server 80-HTTP

Beth está avaliando os ataques a um sistema de senhas e acredita que as senhas estão devidamente protegidas e que o sistema usa um algoritmo de segurança moderno. Qual ataque tem maior probabilidade de ser realizado por um invasor externo que não está afiliado ao sistema e não tem acesso físico às instalações? A. Apenas texto cifrado B. Texto simples conhecido C selecione texto simples D. Injeção de falha

A Não ingressar no sistema - só pode implementar ataques somente de texto cifrado O texto simples conhecido e o texto simples escolhido exigem que o invasor seja capaz de criptografar os dados A injeção de falhas requer acesso às instalações físicas

Qual das seguintes ferramentas pode ser usada para melhorar a eficácia dos ataques de quebra de senha por força bruta? A. Mesa arco-íris B. Triagem hierárquica C. TKIP D Reforço aleatório

Qual dos seguintes formatos de certificado está intimamente relacionado aos arquivos binários de certificado do Windows? A.CCM B.PEM C.PFX D.P7B

C Binário PFX-win Texto P7B-win PEM outro formato de texto Não há formato CCM

Quais são as principais desvantagens de usar a abordagem de lista de certificados revogados? A. Gerenciamento de chaves B. Atraso C.Registre atualizações em tempo real D. Vulnerabilidade a ataques de força bruta

B Observe a diferença de C

Qual dos seguintes algoritmos de criptografia não é mais considerado seguro hoje? A.ElGamal B.RSA C. Criptografia de curva elíptica Mochila D. Merkle-Hellman

Bin está atualizando o sistema para suportar SSH2 em vez de SSH1. Qual das seguintes vantagens ele obtém? A. Suporta autenticação multifator B. Suporta múltiplas sessões ao mesmo tempo C.Suporte a criptografia 3DES D.Suporte a criptografia 1DEA

B Tanto 1 quanto 2 suportam autenticação multifator Tanto 1 quanto 2 suportam 3DES 2 não suporta 1DES