Questão nº 50
Questão de Tecnologia da Informação · FGV CVM 2024 (nº 50)
Analise os registros a seguir.
cvm.com 86400 IN A 35.1.4.5
cvm.com 86400 IN KEY 36367503A8B848F527225B7EF…
cvm.com 86400 IN SIG 86947503A8B848F527225850C6…
Em relação a esses registros, é correto afirmar que o:
- Aregistro KEY é a chave privada de cvm;
- Bregistro do tipo A contém um endereço IPv4 ou IPv6;
- Cregistro SIG contém o hash assinado do servidor com de nível superior dos registros A e KEY; (alternativa correta)
- Dtempo de vida fornece uma indicação de estabilidade do registro, que, no caso acima, é de 60 dias;
- Etempo de vida fornece uma indicação de estabilidade do registro, que, no caso acima, é de 60 horas.
Resposta comentada
Gabarito Alternativa C
DNSSEC (Domain Name System Security Extensions) adiciona segurança ao DNS usando assinaturas digitais para garantir que as informações de um domínio (como endereços IP) são autênticas e não foram alteradas. Essas assinaturas são geradas com chaves privadas e verificadas com chaves públicas publicadas no próprio DNS.
- (A) Incorreta: O registro
KEY(ouDNSKEY) contém a chave pública do domínio, que é usada para verificar as assinaturas. A chave privada é mantida em segredo e usada para gerar as assinaturas. - (B) Incorreta: O registro do tipo
A(Address) contém especificamente um endereço IPv4. Para endereços IPv6, utiliza-se o registroAAAA. Portanto, afirmar que contém "IPv4 ou IPv6" está incorreto, pois um registroAnão pode conter IPv6. - (C) Correta: O registro
SIG(ouRRSIG) contém a assinatura digital (um hash assinado) de um conjunto de registros (como os registrosAeKEY) de um domínio. Essa assinatura é gerada pela chave privada do próprio domínio (cvm.com). A validade e a confiança nessa chave são estabelecidas por uma cadeia de confiança que se estende até o servidor de nível superior (.com), que assina o registroDS(Delegation Signer) do domínio filho. A armadilha da banca aqui reside na imprecisão da frase "do servidor com de nível superior", que pode sugerir que o.comassina diretamente os registrosAeKEYdecvm.com, o que não é o caso. No entanto, no contexto da segurança DNSSEC, a confiança na assinatura doSIGdecvm.comé, de fato, estabelecida e validada através da autoridade do.comna cadeia de confiança. - (D) Incorreta: O tempo de vida (TTL) é de
86400segundos. Para converter para dias: . Portanto, não são 60 dias. - (E) Incorreta: Conforme calculado acima, o tempo de vida de
86400segundos equivale a , ou seja, . Não 60 horas.
Fonte: FGV CVM 2024 Analista CVM - TI Infraestrutura e Segurança (Perfil 9) (Caderno Tipo 1). Reproduzida para fins de estudo.