Главная /
Безопасность /
Инфраструктуры открытых ключей
Инфраструктуры открытых ключей - ответы на тесты Интуит
Правильные ответы выделены зелёным цветом.
Все ответы: В курс включены сведения, необходимые специалистам в области информационной безопасности. Рассматривается технология инфраструктур открытых ключей (Public Key Infrastructure – PKI), которая позволяет использовать сервисы шифрования и цифровой подписи согласованно с широким кругом приложений, функционирующих в среде открытых ключей. Технология PKI считается единственной, позволяющей применять методы подтверждения цифровой идентичности при работе в открытых сетях.
Все ответы: В курс включены сведения, необходимые специалистам в области информационной безопасности. Рассматривается технология инфраструктур открытых ключей (Public Key Infrastructure – PKI), которая позволяет использовать сервисы шифрования и цифровой подписи согласованно с широким кругом приложений, функционирующих в среде открытых ключей. Технология PKI считается единственной, позволяющей применять методы подтверждения цифровой идентичности при работе в открытых сетях.
Критериями оценки степени доверия клиентов к компании, работающей в сфере электронной коммерции, являются:
(1) предсказуемость уровня безопасности, сервиса и качества товаров или услуг компании
(2) известность компании на рынке товаров и услуг
(3) степень риска ущерба или утраты покупателем своих информационных ресурсов при совершении электронной сделки
Путь сертификации – это последовательность сертификатов, в которой:
(1) издатель первого сертификата является пунктом доверия, а субъект последнего сертификата – конечным субъектом
(2) субъект первого сертификата является конечным субъектом, а издатель последнего сертификата – пунктом доверия
(3) издатель первого сертификата и субъект последнего сертификата являются пунктами доверия
В процессе валидации пути сертификации проверяется:
(1) соблюдение ограничений на имена и политики применения сертификатов
(2) период действия каждого сертификата
(3) дата выпуска каждого сертификата
Механизм частного распространения сертификатов и списков САС не рекомендуется использовать в корпоративной PKI из-за:
(1) сложности обмена сертификатами между пользователями
(2) невозможности масштабирования
(3) непрозрачности механизма распространения
Основные требования к политике PKI заключаются в:
(1) подробном описании функционирования удостоверяющего центра
(2) соответствии общей корпоративной политике безопасности
(3) доступности изложения
Какие обязательства удостоверяющего и регистрационного центров закрепляются в разделе "Обязательства" набора положений политики PKI?
(1) уведомление о компрометации секретного ключа владельца сертификата
(2) своевременная публикация сертификатов и информации об аннулировании
(3) уведомление субъекта сертификата об аннулировании или приостановлении действия его сертификата
Стандарты серии X содержат описание:
(1) политики применения сертификатов и регламента, алгоритмов и идентификаторов сертификатов и списков аннулированных сертификатов
(2) стандартов криптографии с открытыми ключами
(3) концепций, моделей и сервиса каталога, а также процедур аутентификации
Защищенный центр датирования базируется на сервисах:
(1) аутентификации
(2) конфиденциальности
(3) целостности
В защищенной электронной почте S/MIME цифровые подписи используются для:
(1) защиты от искажения почтовых сообщений
(2) защиты от перлюстрации
(3) защиты от фальсификации почтовых сообщений
На предварительном этапе развертывания PKI выполняется:
(1) оценка материальных ресурсов и финансовых возможностей организации
(2) выбор приоритетных сервисов безопасности
(3) формирование правовой политики PKI
Способность поставщика PKI-продукта предложить масштабируемое решение оценивается с учетом следующих "узких мест" функционирования PKI:
(1) защищенности всех компонентов PKI
(2) возможности пользователя самостоятельно генерировать пары ключей
(3) возможности хранить сертификаты и другую PKI-информацию в кэш-памяти приложений
Серьезными проблемами аутентификации пользователя сервером при помощи пароля являются:
(1) передача пароля пользователя по незащищенной сети
(2) использование злоумышленником программы-анализатора
(3) ошибки пользователя при вводе пароля
Проектирование PKI должно начинаться с:
(1) определения модели доверия
(2) формирования правовой политики PKI
(3) выбора программного продукта или поставщика услуг PKI
Какой способ ограничения доступа к секретным ключам должен быть выбран при развертывании PKI, чтобы владельцам ключей не было необходимости иметь при себе устройство хранения секрета?
(1) смарт-карты
(2) биометрические средства
(3) защита с помощью пароля
К основным компонентам PKI относятся:
(1) удостоверяющий центр
(2) центр управления ключами конечных субъектов
(3) архив
(4) репозиторий
Сервис конфиденциальности обеспечивает следующие функции:
(1) предотвращает случайное изменение данных при передаче их по сети
(2) реализует аутентификацию участников коммуникации
(3) разрешает доступ к данным только пользователям, имеющим соответствующие права
Под идентичностью субъекта обычно понимают данный ему в реальном мире:
(1) псевдоним
(2) вероним
(3) простое имя
Сертификат открытого ключа однозначно идентифицируется комбинацией:
(1) имени издателя и имени субъекта сертификата
(2) имени субъекта и серийного номера сертификата
(3) имени издателя и серийного номера сертификата
В соответствии с документом RFC 3280 рекомендуется устанавливать срок действия сертификата пользователя не более:
(1) 1 года
(2) 3 лет
(3) 5 лет
В настоящее время принята следующая версия списка аннулированных сертификатов:
(1) первая
(2) вторая
(3) третья
Пункты распространения списков аннулированных сертификатов, по сравнению с полными списками САС, имеют следующие преимущества:
(1) позволяют изменять размеры частей списков САС
(2) позволяют изменять места хранения списков САС
(3) позволяют разбивать всю информацию об аннулировании сертификатов на более управляемые части
Политики конфиденциальности разрабатываются компаниями для того, чтобы:
(1) гарантировать шифрование персональных данных, предоставляемых клиентами
(2) уведомить клиентов о правилах использования предоставляемых ими персональных данных
(3) не допустить разглашения клиентами конфиденциальной информации компании
Типами простой архитектуры PKI являются:
(1) одиночный удостоверяющий центр
(2) простой список доверия
(3) расширенный список доверия
Входными параметрами для валидации пути сертификации являются:
(1) имена издателей сертификатов
(2) предполагаемый путь сертификации
(3) информация о пункте доверия
Под определение репозитория не попадают:
(1) серверы LDAP
(2) серверы аутентификации
(3) система доменных имен
Регламент удостоверяющего центра характеризуется тем, что:
(1) идентифицирует политику применения сертификатов
(2) фиксирует положения договора между удостоверяющим центром и подписчиком
(3) кратко описывает то, как реализуется политика безопасности
Какие обязательства подписчика (владельца сертификата) закрепляются в разделе "Обязательства" набора положений политики PKI?
(1) уведомление других лиц, помимо субъекта сертификата, об аннулировании или приостановлении действия сертификата данного субъекта
(2) сохранение в тайне секретного ключа
(3) использование секретного ключа и сертификата с учетом ограничений политики PKI
Стандарты PKIX содержат описание:
(1) дополнительных стандартов, связанных с PKI и задающих протоколы доступа к каталогу, протоколы защищенной электронной почты, передачи гипертекста, Интернет-протоколы и т.д.
(2) стандартов криптографии с открытыми ключами
(3) политики применения сертификатов и регламента, алгоритмов и идентификаторов сертификатов и списков аннулированных сертификатов
Нотаризация подтверждает валидность цифровой подписи на электронном документе при выполнении следующих условий:
(1) математической корректности результата проверки цифровой подписи при помощи соответствующего открытого ключа
(2) правильного связывания секретного ключа подписи с субъектом, который поставил цифровую подпись
(3) правильного связывания открытого ключа подписи с субъектом, который поставил цифровую подпись
Заверенные цифровой подписью квитанции, которые используются в защищенной электронной почте S/MIME, позволяют отправителю сообщения:
(1) удостовериться, что сообщение было получено адресатом без изменения
(2) удостовериться, что сообщение было получено адресатом вовремя
(3) включить в содержание сообщения частную информацию
Организация принимает решение передать функции PKI на аутсорсинг, если:
(1) выбирает вариант открытой иерархии
(2) причисляет развертывание PKI к стандартному виду деятельности
(3) желает контролировать операции удостоверяющего центра
Надежный поставщик PKI-услуг должен:
(1) поддерживать непрерывность операционной работы удостоверяющего центра
(2) строго документировать процедуры
(3) сохранять документальные свидетельства того, как генерируются, хранятся и подписываются секретные ключи пользователей
Аутентификация при помощи паролей неэффективна в среде со многими серверами, потому что:
(1) применение пользователем одного и того же пароля для доступа ко всем серверам облегчает атаки анализатора
(2) применение пользователем уникального пароля для доступа к каждому серверу требует запоминания паролей и вынуждает пользователя их записывать
(3) процедура аутентификации очень сложна
Соглашение между конечным пользователем и регистрационным центром должно содержать следующие обязательства пользователя:
(1) использовать сертификат в соответствии с регламентом удостоверяющего центра
(2) предоставлять правдивую информацию о себе
(3) проверять статус сертификата перед его использованием
Какой способ публикации списков аннулированных сертификатов должен быть выбран при развертывании PKI, которая должна обслуживать большое сообщество пользователей и множество приложений?
(1) публикация с опросом наличия изменений
(2) онлайновая верификация
(3) принудительная рассылка изменений
Удостоверяющий центр выполняет следующие функции:
(1) выпускает сертификаты открытых ключей подчиненных удостоверяющих центров
(2) публикует информацию о статусе сертификатов
(3) поддерживает реестр сертификатов
Почему сервис неотказуемости относится не к основным сервисам PKI, а к сервисам, базирующимся на PKI?
(1) потому что он предоставляет лишь электронные доказательства времени подписания или передачи данных, которые могут быть оспорены в суде
(2) потому что он является опциональным сервисом
(3) потому что он не обеспечивает конфиденциальности передаваемых данных
Корневой удостоверяющий центр в иерархической PKI действует как:
(1) начальный пункт связей PKI
(2) главный пункт доверия для подчиненных ему субъектов
(3) пункт сертификации всех субъектов PKI
К ограничивающим дополнениям сертификата открытого ключа относятся:
(1) идентификатор ключа субъекта сертификата
(2) назначение ключа
(3) способ доступа к информации удостоверяющего центра
Самоподписанными могут быть сертификаты:
(1) систем
(2) удостоверяющих центров
(3) конечных субъектов
К обязательным полям списка аннулированных сертификатов относятся:
(1) версия САС
(2) идентификатор алгоритма подписи, который применил издатель для подписания САС
(3) перечень аннулированных сертификатов
Переадресующий САС характеризуется следующими свойствами:
(1) содержит информацию обо всех аннулированных сертификатах
(2) содержит указатели на искомые списки САС
(3) содержит информацию о частях САС
Политика доверия компании, занимающейся электронной коммерцией, должна:
(1) раскрывать внутренние механизмы доверия
(2) предлагать финансовые гарантии в случае нарушения конфиденциальности
(3) предусматривать штрафы за предоставление клиентами ложной информации
(4) предусматривать механизм получения согласия клиентов с опубликованной политикой
В иерархической PKI:
(1) каждое отношение доверия удостоверяющего центра представлено двумя сертификатами
(2) все пользователи доверяют одному головному удостоверяющему центру
(3) каждый удостоверяющий центр может подчиняться нескольким вышестоящим удостоверяющим центрам
Обработка каждого списка аннулированных сертификатов в процессе валидации пути сертификации состоит из:
(1) трех шагов
(2) четырех шагов
(3) шести шагов
Общий междоменный репозиторий характеризуется тем, что:
(1) разворачивается на базе одного из доменов PKI и не может поддерживаться третьей доверенной стороной
(2) не требует специальной договоренности между доменами о его структуре
(3) обеспечивает прием сертификатов и списков САС от доменов нескольких PKI
Идентификаторы объектов используются в сертификатах X.509 для:
(1) отображения криптографических алгоритмов
(2) указания назначения сертификатов
(3) идентификации политики применения сертификатов
Какие обязательства доверяющей стороны закрепляются в разделе "Обязательства" набора положений политики PKI?
(1) сохранение в тайне секретного ключа
(2) соблюдение порядка верификации цифровой подписи
(3) использование сертификата только по назначению
Стандарты PKCS характеризуются следующим:
(1) они разработаны корпорацией RSA Security Inc. совместно с неофициальным консорциумом компаний Apple, Microsoft, DEC, Lotus, Sun и MIT
(2) они содержат описание дополнительных стандартов, связанных с PKI и задающих протоколы доступа к каталогу, протоколы защищенной электронной почты, передачи гипертекста, Интернет-протоколы и т.д.
(3) они содержат описание стандартов криптографии с открытыми ключами
Авторизация субъекта предназначена для того, чтобы:
(1) установить, кем является субъект
(2) выявить полномочия субъекта
(3) установить, кем является субъект, и выявить его полномочия
Протоколы SSL и TLS обеспечивают следующие сервисы безопасности:
(1) аутентификацию и целостность
(2) аутентификацию и конфиденциальность
(3) аутентификацию, целостность и конфиденциальность
Организация принимает решение выбрать вариант инсорсинга для развертывания PKI, если:
(1) не считает возможности контроля операций удостоверяющего центра критически важными для своей деятельности
(2) причисляет развертывание PKI к стратегическому виду деятельности
(3) создает частную иерархию
При выборе поставщика PKI-услуг организации необходимо обратить внимание на следующие аспекты технической поддержки:
(1) стоимость оказываемых услуг
(2) режим предоставления технической поддержки
(3) компетентность технических специалистов
Преимущества аутентификации типа "запрос-ответ" (пользователя на удаленном сервере) по сравнению с аутентификацией при помощи паролей заключаются в том, что:
(1) имя пользователя передается в зашифрованном виде
(2) аутентификация может выполняться в открытой сети
(3) злоумышленник не может повторно использовать шифртекст, сгенерированный пользователем
Соглашение между доверяющей стороной и удостоверяющим центром должно содержать:
(1) обязательство доверяющей стороны прекращать использование сертификатов, срок действия которых истек
(2) обязательство доверяющей стороны использовать сертификат только по назначению
(3) размер компенсации доверяющей стороне в случае причинения ей ущерба
Какие ключи, используемые в PKI, подлежат депонированию?
(1) ключи согласования ключей
(2) секретные ключи подписи
(3) секретные ключи шифрования
В функции регистрационного центра может входить:
(1) выпуск сертификатов конечных субъектов
(2) регистрация пользователей
(3) поддержка реестра всех изданных сертификатов
Какое из перечисленных средств подтверждения идентичности можно
охарактеризовать как "то, чем субъект владеет"?
(1) отпечаток пальца
(2) смарт-карта
(3) пароль
В модели строгой иерархии:
(1) каждый субъект доверяет своему удостоверяющему центру
(2) головной удостоверяющий центр сертифицирует все удостоверяющие центры
(3) все субъекты доверяют одному головному удостоверяющему центру
К информационным дополнениям сертификата открытого ключа:
(1) относится расширенное назначение ключа
(2) относится пункт распространения списка аннулированных сертификатов
(3) относятся идентификаторы ключей субъекта сертификата и удостоверяющего центра
Сертификаты обновления ключа обладают следующими свойствами:
(1) составляют две пары
(2) содержат разные имена издателя и субъекта
(3) принадлежат одному и тому же удостоверяющему центру
Каждый аннулированный сертификат в САС задается структурой, которая содержит:
(1) имя субъекта сертификата
(2) дату аннулирования
(3) серийный номер сертификата
Косвенные дельта-списки САС позволяют:
(1) включать указатели на искомые списки САС
(2) изменять размеры частей списков САС
(3) объединять в одном САС информацию об аннулировании сертификатов, полученную от нескольких удостоверяющих центров
Инфраструктура безопасности организации должна:
(1) обеспечивать защищенность программных и аппаратных средств организации
(2) обеспечивать безопасную работу людей
(3) быть доступной для всех приложений и объектов организации, которым необходима безопасность
В иерархиях построение пути сертификации начинается с сертификата:
(1) конечного субъекта
(2) корня иерархии
(3) вышестоящего удостоверяющего центра, которому доверяет конечный субъект
Организации следует выбрать для развертывания PKI иерархическую архитектуру, если:
(1) организация имеет строгую иерархическую структуру
(2) необходимо связать отдельных пользователей разных подразделений
(3) организация не имеет четкой иерархической структуры
Концепция пограничного репозитория была разработана в рамках:
(1) инициативы федерального мостового УЦ США
(2) проекта функциональной совместимости удостоверяющих центров Национальной ассоциации автоматизированных клиринговых палат США
(3) проекта рабочей группы организации инженерной поддержки Интернета IETF
Какие из перечисленных документов, характеризующих политику PKI, носят конфиденциальный характер:
(1) организационные процедуры УЦ
(2) политика применения сертификатов
(3) регламент УЦ
Какой раздел набора положений политики PKI регулирует управление жизненным циклом сертификатов?
(1) "контроль технической безопасности"
(2) "контроль физической, процедурной и кадровой безопасности"
(3) "операционные требования"
Операционные протоколы используются в PKI для:
(1) доставки сертификатов к клиентским системам, применяющим сертификаты
(2) регистрации субъектов для получения сертификатов
(3) выпуска сертификатов
Скрытое делегирование прав пользователя А происходит тогда, когда субъект, проверяющий авторизацию пользователя В:
(1) не может определить, что делегирование имело место
(2) не может определить, от кого пользователь В получил полномочия
(3) не может определить, когда пользователь В получил полномочия
Протокол установления соединений Handshake Protocol отвечает за:
(1) аутентификацию сторон
(2) специальную обработку данных, их шифрование и передачу результата
(3) согласование криптографических алгоритмов
Затраты на развертывание PKI оцениваются в зависимости от количества:
(1) пользователей
(2) удостоверяющих центров
(3) варианта развертывания (инсорсинг или аутсорсинг)
В разделе "Область применения проекта" запроса на предложения (RFP) приводятся следующие сведения:
(1) время, необходимое для проектирования
(2) масштаб организации
(3) суммы и сроки выполнения проекта
Секретный пароль пользователя в системе S/Key One Time Password System не подвергается риску хищения, потому что:
(1) никогда не передается по сети
(2) используется только для генерации одноразового пароля
(3) обновляется при каждой попытке аутентификации
Каковы обязанности администратора удостоверяющего центра?
(1) генерация ключей
(2) контроль за операционной работой PKI-системы
(3) обработка запросов на кросс-сертификацию
Каковы затраты на аппаратное обеспечение в структуре стоимости установки типичной системы PKI (вариант инсорсинга)?
(1) высокие
(2) средние
(3) низкие
На сервер сертификатов возлагаются функции:
(1) хранения информации о сертификатах и атрибутах субъектов сертификатов
(2) выпуска и управления сертификатами
(3) восстановления данных
В симметричных криптографических алгоритмах используется:
(1) два секретных ключа
(2) один секретный ключ
(3) секретный и открытый ключи
Нестрогая иерархия удостоверяющих центров позволяет пользователям при проверке сертификатов друг друга полагаться:
(1) на общий для них локальный удостоверяющий центр
(2) на головной удостоверяющий центр
(3) каждому на свой удостоверяющий центр
Сертификаты SPKI используются для:
(1) авторизации владельцев открытых ключей
(2) аутентификации субъектов сертификатов
(3) защиты секретности файлов и сообщений электронной почты
Секретный ключ подписи, который используется для поддержки неотказуемости, должен:
(1) защищенно храниться в течение всего срока действия
(2) никому не раскрываться
(3) сохраняться в архиве для последующего использования
Дельта-список САС содержит:
(1) все аннулированные сертификаты
(2) сертификаты, аннулированные с момента выпуска предыдущего САС
(3) сертификаты, которые должны быть аннулированы после выпуска текущего САС
Запрос к OCSP-респондеру о статусе сертификатов содержит:
(1) номер версии протокола
(2) тип запроса на обслуживание
(3) отличительное имя доверяющей стороны
Основными проблемами безопасности при регистрации пользователей для удаленного доступа к приложению являются:
(1) передача паролей по ненадежным и незащищенным сетям
(2) ошибки пользователей при вводе паролей
(3) выбор пользователями "плохих" паролей (недостаточной длины и большой предсказуемости)
В сетевой PKI построение пути сертификации начинается с:
(1) пункта доверия того пользователя, который строит путь, и продолжается в направлении издателя сертификата конечного субъекта
(2) издателя сертификата конечного субъекта и продолжается в направлении пункта доверия того пользователя, который строит путь
(3) конечного субъекта и продолжается в направлении пункта доверия того пользователя, который строит путь
Организации следует выбрать для развертывания PKI сетевую архитектуру, если:
(1) необходимо связать небольшое однородное сообщество пользователей
(2) организация имеет строгую иерархическую структуру
(3) организация не имеет четкой иерархической структуры
Прозрачность размещения репозитория обеспечивают:
(1) HTTP-серверы
(2) FTP-серверы
(3) серверы электронной почты
Удостоверяющий центр может перевести информацию о политиках других доменов в информацию, понятную своим пользователям сертификатов, при помо-щи дополнения:
(1) Certificate Policies
(2) Policy Mappings
(3) Policy Constraints
Какой раздел набора положений политики PKI раскрывает использование ограничителей политики применения сертификатов, синтаксис и семантику спецификаторов политики?
(1) "администрирование спецификации"
(2) "операционные требования"
(3) "форматы сертификата и списка аннулированных сертификатов"
Протоколы управления в PKI поддерживают:
(1) регистрацию субъектов для получения сертификатов
(2) доставку сертификатов к клиентским системам, применяющим сертификаты
(3) восстановления пар ключей
Для функционирования защищенного сервиса датирования необходимы:
(1) физически защищенный архив
(2) механизм доставки точного времени
(3) защищенные протоколы
Конфиденциальность IP-пакетов обеспечивает протокол:
(1) AH
(2) ESP
(3) IKE
Расходы на амортизацию PKI не должны превышать (максимально) стоимость приложений, которые планируется защитить с помощью этой инфраструктуры, более чем на:
(1) 10%
(2) 15%
(3) 25%
В разделе "Архитектура безопасности" запроса на предложения (RFP) содержатся следующие сведения:
(1) способы хранения ключей подписи корневого удостоверяющего центра
(2) методы аутентификации и контроля доступа для защиты ресурсов администраторов PKI
(3) методы управления паролями
Система Kerberos позволяет:
(1) выполнять одностороннюю аутентификацию пользователя на удаленном сервере
(2) выполнять взаимную аутентификацию между пользователем и сервером
(3) использовать один и тот же механизм проверки идентичности пользователя и сервера
Каковы обязанности администратора регистрационного центра?
(1) обработка заявок на сертификаты
(2) генерация ключей
(3) хранение данных аутентификации в репозитории
Каковы затраты на аппаратное обеспечение в структуре стоимости установки типичной системы PKI (вариант аутсорсинга)?
(1) низкие
(2) средние
(3) высокие
Действие сертификата открытого ключа пользователя должно быть прекращено, если:
(1) срок действия сертификата истек
(2) секретный ключ пользователя похищен
(3) есть вероятность, что секретный ключ пользователя похищен
Электронная цифровая подпись создается в результате:
(1) оцифровки личной подписи лица, желающего заверить подписью свое сообщение
(2) шифрования хэш-кода сообщения при помощи секретного ключа лица, ставящего подпись
(3) вычисления хэш-кода сообщения, которое зашифровано при помощи секретного ключа лица, ставящего подпись
При наличии n-головных удостоверяющих центров полная сеть требует установления:
(1)
(n2 – n)
-соглашений кросс-сертификации
(2)
(n2
-соглашений кросс-сертификации
(3)
(n2 – n)/2
-соглашений кросс-сертификации PGP представляет собой систему, которая:
(1) использует преимущества асимметричных и симметричных криптографических алгоритмов
(2) базируется на симметричных криптографических алгоритмах
(3) обеспечивает защиту сообщений, которыми обмениваются участники системы электронных транзакций
Сертификат открытого ключа становится валидным после:
(1) аутентификации лица, обратившегося с запросом на сертификат, и выпуска сертификата
(2) его выпуска и заверения удостоверяющим центром
(3) его открытой публикации в репозитории PKI
Код причины аннулирования, в соответствии с которой сформирован САС, задается в поле:
(1) Only Some Reasons
(2) Reason Code
(3) Hold Instruction Code
Протокол OCSP позволяет:
(1) определить, что срок действия сертификата не истек
(2) определить валидность сертификатов
(3) получить информацию о статусе сертификатов
Преимущества системы однократной регистрации (SSO) заключаются в том, что:
(1) пользователи не должны запоминать множество паролей
(2) снижается нагрузка на службу поддержки информации о регистрации и обслуживания паролей
(3) создается единая точка отказа в защите сети
Сколько одноранговых связей необходимо установить для кросс-сертификации пяти корпоративных PKI?
(1) 5
(2) 10
(3) 15
Кросс-сертификацию следует использовать, если необходимо связать:
(1) отдельных пользователей разных PKI
(2) небольшое количество разнородных PKI
(3) организации, которые не имеют четкой иерархической структуры
При распространении PKI-информации функциональную совместимость с внешними пользователями обеспечивают:
(1) HTTP-репозитории
(2) каталоги LDAP
(3) FTP-репозитории
Краткая характеристика политики PKI, документ PDS (PKI Disclosure Statement):
(1) кратко описывает операционную работу удостоверяющего центра
(2) излагается на 2 страницах текста
(3) описывает гарантии, ограничения и юридическую ответственность сторон
С какого этапа начинается разработка политики применения сертификатов?
(1) ознакомление с документом RFC 2527 Certificate Policy and Certification Practices Framework
(2) анализ целей и требований организации-заказчика
(3) составление регламента
Какие обстоятельства влияют на качество стандартов в сфере PKI?
(1) поскольку работа в органах стандартизации обычно ведется на добровольной основе, не существует профессионалов, специализирующихся исключительно на разработке стандартов
(2) иногда существует очень небольшой или противоречивый опыт реализации в сфере приложения стандарта, поэтому он не может быть должным образом учтен в стандарте
(3) проблемы порождает общепринятая практика включения в стандарты механизмов расширения их возможностей, с тем чтобы стандарты сохраняли адекватность при изменении обстоятельств и возникновении новых потребностей реальной жизни
Преимуществами механизма реализации инфраструктуры управления полномочиями на базе Kerberos являются:
(1) централизованное администрирование
(2) высокая производительность
(3) высокая отказоустойчивость
Транспортный режим позволяет защитить:
(1) содержимое IP-пакетов
(2) некоторые поля заголовков
(3) весь IP-пакет
Для инсорсинга как варианта развертывания PKI характерны:
(1) длительный период развертывания
(2) максимальная гибкость в удовлетворении требований организации
(3) низкие первоначальные затраты
Если организация не планирует создавать собственный удостоверяющий центр, а желает передать его функции на аутсорсинг, в разделе "Операционная работа УЦ" запроса на предложения (RFP) должны быть указаны следующие сведения:
(1) способы копирования всех данных
(2) порядок регистрации всех событий в системе
(3) требования к внешнему аудиту УЦ
Инфраструктура открытых ключей обеспечивает:
(1) аутентификацию
(2) именование субъектов
(3) авторизацию
На каком этапе развертывания PKI создается иерархия удостоверяющих центров и система их именования?
(1) на этапе создания прототипа системы
(2) на этапе пилотного проекта
(3) на этапе проектирования
Каковы затраты на аппаратное обеспечение в структуре стоимости технической поддержки типичной системы PKI (вариант инсорсинга)?
(1) низкие
(2) средние
(3) высокие
Пользователю необходима поддержка истории его ключей и сертификатов для того, чтобы:
(1) расшифровывать данные, зашифрованные им в прошлом
(2) вовремя обновлять ключи
(3) выполнять резервное копирование своих ключей
Для обеспечения конфиденциальности необходимо использовать:
(1) симметричные криптографические алгоритмы
(2) асимметричные криптографические алгоритмы
(3) алгоритмы хэширования
Web-модель доверия обеспечивает:
(1) связывание пользователя через браузер с головными удостоверяющими центрами
(2) встраивание в браузер набора открытых ключей удостоверяющих центров, которым пользователь может доверять
(3) кросс-сертификацию всех головных удостоверяющих центров
Протокол SET обладает следующими свойствами:
(1) гарантирует авторизацию владельца пластиковой карты;
(2) базируется на технических стандартах, разработанных компаниями VISA и Master Card
(3) не работает с сертификатами формата X.509
Вмешательство удостоверяющего центра корпоративной PKI в нормальный жизненный цикл сертификата требуется в случаях:
(1) аннулирования сертификата при увольнении служащего – владельца сертификата
(2) приостановления действия сертификата, выпущенного для служащего, который в данный момент увольняется
(3) компрометации секретного ключа служащего – владельца сертификата
Способ проверки сертификата, который заключается в том, что клиентское приложение периодически выполняет поиск последней версии САС в репозитории и использует ее для проверки статуса сертификата, называется способом:
(1) push
(2) pull
(3) онлайновой верификации
Простой протокол валидации сертификатов предназначен для:
(1) получения информации о статусе сертификатов
(2) делегирования доверенным сторонам процессов валидации и построения пути сертификации
(3) валидации и построения пути сертификации
Мостовой УЦ выполняет следующие функции:
(1) устанавливает одноранговые отношения с разными корпоративными PKI
(2) выпускает сертификаты для конечных субъектов PKI
(3) играет роль пункта доверия для подчиненных удостоверяющих центров
Мостовую архитектуру следует использовать, если необходимо связать:
(1) небольшое количество разнородных PKI
(2) большое количество разнородных PKI
(3) совокупность подчиненных друг другу удостоверяющих центров
Обмен PKI-информацией может осуществляться при помощи:
(1) электронной почты S/MIME v3
(2) протокола TLS
(3) протокола FTP
Защищенная электронная почта S/MIME при помощи сертификатов идентифицирует:
(1) пользователей
(2) пользователей и серверы
(3) пользователей, хосты и защитные шлюзы
Для аутсорсинга как варианта развертывания PKI характерны:
(1) максимальная гибкость в удовлетворении требований организации-заказчика
(2) необходимость придерживаться политик, утвержденных для внешнего удо-стоверяющего центра
(3) минимальные усилия со стороны организации-заказчика
На каком этапе развертывания PKI проводится юридическая экспертиза, утверждение политики применения сертификатов и регламента?
(1) на этапе внедрения
(2) на этапе проектирования
(3) на этапе пилотного проекта
Каковы затраты на аппаратное обеспечение в структуре стоимости технической поддержки типичной системы PKI (вариант аутсорсинга)?
(1) низкие
(2) средние
(3) высокие
Атрибутный сертификат обладает следующими свойствами:
(1) может использоваться в сервисе целостности
(2) задает информацию о полномочиях его владельца
(3) содержит открытый ключ подписи субъекта сертификата
Критериями оценки степени доверия клиентов к компании, работающей в сфере электронной коммерции, являются:
(1) профессионализм в оформлении web-сайта компании
(2) риск ущерба или утраты покупателем своих физических (или информационных) ресурсов при совершении электронной сделки
(3) неопределенность, недостаточность информации об электронной сделке и сторонах, участвующих в ней
Путь сертификации строится для валидации:
(1) всех сертификатов пути
(2) сертификата конечного субъекта, являющегося в пути последним
(3) сертификата конечного субъекта, являющегося в пути первым
В процессе валидации пути сертификации проверяется:
(1) статус каждого сертификата
(2) полномочия субъекта каждого сертификата
(3) период действия каждого сертификата
Механизм частного распространения сертификатов и списков САС не рекомендуется использовать в корпоративной PKI из-за:
(1) ненадежности распространения информации
(2) высокой стоимости распространения сертификатов и списков САС
(3) невозможности анонимного доступа к сертификатам и спискам САС
Основные требования к политике PKI заключаются в:
(1) четкости и однозначности формулировок
(2) подробном описании механизмов политики безопасности
(3) разграничении ответственности между субъектами PKI
Какие обязательства удостоверяющего и регистрационного центров закрепляются в разделе "Обязательства" набора положений политики PKI?
(1) уведомление о выпуске сертификата других лиц, помимо субъекта сертификата
(2) соблюдение порядка верификации цифровой подписи
(3) своевременная публикация сертификатов и информации об аннулировании
Стандарты серии X содержат описание:
(1) концепций, моделей и сервиса каталога, а также процедур аутентификации
(2) дополнительных стандартов, связанных с PKI и задающих протоколы доступа к каталогу, протоколы защищенной электронной почты, передачи гипертекста, Интернет-протоколы и т.д.
(3) стандартов криптографии с открытыми ключами
Метка времени на электронном документе образуется в результате заверения цифровой подписью:
(1) комбинации хэш-кода документа и значения времени
(2) заверения цифровой подписью хэш-кода комбинации документа и значения времени
(3) комбинации значения времени и заверенного цифровой подписью хэш-кода документа
В защищенной электронной почте S/MIME конфиденциальность сообщения обеспечивается при помощи:
(1) цифровой подписи
(2) цифрового конверта
(3) контекстов безопасности
На предварительном этапе развертывания PKI выполняется:
(1) определение цели развертывания и сферы применения PKI
(2) выбор архитектуры PKI
(3) анализ данных и приложений
Способность поставщика PKI-продукта предложить масштабируемое решение оценивается с учетом следующих "узких мест" функционирования PKI:
(1) возможности непрерывно выполнять генерацию и обновление сертификатов и ключей, не привязываясь к определенной дате
(2) поддержания непрерывности работы удостоверяющего центра
(3) особенностей системы каталога и возможностей базы данных для хранения, поиска и проверки статуса сертификатов
Проектирование PKI должно начинаться с:
(1) формирования правовой политики PKI
(2) задания архитектуры PKI
(3) выбора программного продукта или поставщика услуг PKI
Какой способ ограничения доступа к секретным ключам должен быть выбран при развертывании PKI, чтобы владельцам ключей не было необходимости иметь при себе устройство хранения секрета?
(1) биометрические средства
(2) карты PCMCIA
(3) смарт-карты
К основным компонентам PKI относятся:
(1) регистрационный центр
(2) центр технической поддержки
(3) конечные субъекты
(4) архив
Сервис конфиденциальности обеспечивает следующие функции:
(1) предотвращает несанкционированное раскрытие информации не имеющим полномочия пользователем
(2) реализует аутентификацию источника данных
(3) предотвращает уничтожение данных при передаче их по сети
Механизм отличительных имен не считается абсолютно удачным, потому что:
(1) более распространен альтернативный способ идентификации субъектов по адресам электронной почты
(2) субъекты находят его слишком сложным
(3) субъекты могут выбрать себе одинаковые имена
Сертификат открытого ключа однозначно идентифицируется комбинацией:
(1) имени издателя и серийного номера сертификата
(2) уникального идентификатора издателя и серийного номера сертификата
(3) имени издателя и имени субъекта сертификата
В соответствии с документом RFC 3280 рекомендуется устанавливать срок действия сертификата системы не более:
(1) 3 лет
(2) 5 лет
(3) 1 года
Критичное дополнение списка аннулированных сертификатов:
(1) не может быть проигнорировано доверяющей стороной
(2) может быть проигнорировано доверяющей стороной
(3) должно быть обработано и понято доверяющей стороной
Пункты распространения списков аннулированных сертификатов, по сравнению с полными списками САС, имеют следующие преимущества:
(1) не допускают чрезмерного разрастания списков САС
(2) позволяют изменять размеры частей списков САС
(3) позволяют изменять места хранения списков САС
Политики конфиденциальности разрабатываются компаниями для того, чтобы:
(1) способствовать установлению доверия клиентов к компании
(2) ограничить доступ клиентов к конфиденциальной информации компании
(3) обязать клиентов не разглашать сведения, предоставляемые компанией при заключении сделки
Путь сертификации в простой PKI может состоять из:
(1) одного сертификата
(2) двух сертификатов
(3) нескольких сертификатов
Входными параметрами для валидации пути сертификации являются:
(1) набор идентификаторов допустимых политик применения сертификатов
(2) информация о пункте доверия
(3) имена субъектов сертификатов
Под определение репозитория не попадают:
(1) серверы аутентификации;
(2) агенты системы каталога X.500
(3) Web-серверы
Регламент удостоверяющего центра характеризуется тем, что:
(1) задает механизмы, обеспечивающие политику безопасности
(2) описывает сервисы УЦ
(3) регулирует ответственность пользователей при получении и использовании сертификатов и ключей
Какие обязательства подписчика (владельца сертификата) закрепляются в разделе "Обязательства" набора положений политики PKI?
(1) использование секретного ключа и сертификата с учетом ограничений политики PKI
(2) уведомление о компрометации секретного ключа
(3) уведомление о выпуске сертификата других лиц, помимо субъекта сертификата
Стандарты PKIX содержат описание:
(1) политики применения сертификатов и регламента, алгоритмов и идентификаторов сертификатов и списков аннулированных сертификатов
(2) стандартов криптографии с открытыми ключами
(3) концепций, моделей и сервиса каталога, а также процедур аутентификации
Нотаризация подтверждает валидность цифровой подписи на электронном документе при выполнении следующих условий:
(1) правильного связывания секретного ключа подписи с субъектом, который поставил цифровую подпись
(2) математической корректности результата проверки цифровой подписи при помощи соответствующего открытого ключа
(3) доступности и надежности всех других данных, необходимых для процесса валидации
Метки безопасности, которые используются в защищенной электронной почте S/MIME, позволяют отправителю сообщения:
(1) удостовериться, что сообщение было получено адресатом без изменения
(2) удостовериться, что сообщение было получено адресатом вовремя
(3) задать управляющие требования к содержанию сообщения
Организация принимает решение передать функции PKI на аутсорсинг, если:
(1) желает контролировать операции удостоверяющего центра
(2) причисляет развертывание PKI к стандартному виду деятельности
(3) не считает возможности контроля операций удостоверяющего центра критически важными для своей деятельности
Надежный поставщик PKI-услуг должен:
(1) сохранять документальные свидетельства того, как генерируются, хранятся и подписываются корневые ключи
(2) регулярно проходить проверки внешних аудиторов
(3) информировать организацию-заказчика обо всех случаях компрометации секретных ключей субъектов
Для взаимной аутентификации пользователя и сервера необходимо, чтобы:
(1) они обменялись своими паролями
(2) пароль сервера был единым для обмена со всеми пользователями
(3) каждый пользователь помнил свой пароль и пароль сервера
Соглашение между конечным пользователем и РЦ должно содержать следующие обязательства пользователя:
(1) компенсировать предоставление регистрационному центру ложной информации
(2) обращаться с заявлением об аннулировании сертификата, если секретный ключ скомпрометирован или потерян
(3) прекращать использование всех пар ключей, срок действия которых истек
В каких PKI может использоваться способ принудительной рассылки изменений списка аннулированных сертификатов?
(1) в PKI больших организаций
(2) в PKI небольших организаций
(3) в любых PKI
Удостоверяющий центр выполняет следующие функции:
(1) выпускает сертификаты открытых ключей конечных субъектов
(2) выпускает сертификат для регистрационного центра
(3) обеспечивает долговременное хранение всех изданных сертификатов
Почему сервис неотказуемости относится не к основным сервисам PKI, а к сервисам, базирующимся на PKI?
(1) потому что он не обеспечивает целостности передаваемых данных
(2) потому что он предоставляет лишь электронные доказательства аутентификации источника данных, которые могут быть оспорены в суде
(3) потому что он является второстепенным по значимости
Все субъекты иерархической PKI:
(1) владеют копией открытого ключа корневого удостоверяющего центра
(2) полагаются на открытый ключ корневого удостоверяющего центра при верификации всех сертификатов
(3) владеют копией секретного ключа корневого удостоверяющего центра
К ограничивающим дополнениям сертификата открытого ключа относятся:
(1) политика применения сертификата
(2) идентификатор ключа издателя сертификата
(3) альтернативные имена субъекта и удостоверяющего центра
Самоподписанные сертификаты имеют формат:
(1) X.509 v1
(2) X.509 v2
(3) X.509 v3
К обязательным полям списка аннулированных сертификатов относятся:
(1) отличительное имя издателя
(2) дополнения САС
(3) версия САС
Переадресующий САС характеризуется следующими свойствами:
(1) обеспечивает реализацию концепции динамического разбиения САС
(2) содержит информацию обо всех аннулированных сертификатах
(3) содержит информацию об изменениях САС, произошедших с некоторого заданного момента времени
Политика доверия компании, занимающейся электронной коммерцией, должна:
(1) обеспечивать корректное использование персональных данных клиентов
(2) дифференцировать потребителей определенных товаров и услуг по их предпочтениям
(3) демонстрировать, что компания строго следит за уровнем подготовки служащих и соблюдением ими политики конфиденциальности
(4) предусматривать регулярный аудит бизнес-процессов компании
В иерархической PKI:
(1) все удостоверяющие центры подчиняются одному головному удостоверяющему центру
(2) каждый пользователь доверяет только своему удостоверяющему центру
(3) издателем сертификата является подчиненный удостоверяющий центр, а субъектом – вышестоящий удостоверяющий центр
Обработка каждого списка аннулированных сертификатов в процессе валидации пути сертификации состоит из:
(1) четырех шагов
(2) шести шагов
(3) семи шагов
Общий междоменный репозиторий характеризуется тем, что:
(1) не требует междоменной репликации
(2) обеспечивает хранение и управление данными таким образом, чтобы домены других PKI могли использовать эту информацию
(3) не требует взаимной договоренности между доменами о его структуре
Идентификаторы объектов используются в сертификатах X.509 для:
(1) указания местонахождения удостоверяющих центров
(2) задания атрибута имени в отличительном имени субъекта
(3) указания расширенного назначения ключа
Какие обязательства доверяющей стороны закрепляются в разделе "Обязательства" набора положений политики PKI?
(1) проверка статуса сертификата перед его использованием
(2) подтверждение соответствующих пределов ответственности и ограничений
(3) уведомление о компрометации секретного ключа
Стандарты PKCS содержат описание:
(1) политики применения сертификатов и регламента, алгоритмов и идентификаторов сертификатов и списков аннулированных сертификатов
(2) стандартов криптографии с открытыми ключами
(3) дополнительных стандартов, связанных с PKI и задающих протоколы доступа к каталогу, протоколы защищенной электронной почты, передачи гипертекста, Интернет-протоколы и т.д.
Управление полномочиями – это общий термин для таких понятий, как:
(1) авторизация
(2) аутентификация
(3) контроль доступа
Протоколы SSL и TLS создавались для защиты коммуникаций между:
(1) субъектами
(2) приложениями
(3) серверами
Организация принимает решение выбрать вариант инсорсинга для развертывания PKI, если:
(1) причисляет развертывание PKI к стандартному виду деятельности
(2) желает контролировать операции удостоверяющего центра
(3) создает частную иерархию
При выборе поставщика PKI-продукта организации необходимо обратить внимание на следующие аспекты технической поддержки:
(1) ограничения на количество ограничений обслуживаемых клиентов, использующих линию технической поддержки
(2) соглашение об уровне обслуживания в случае расширения организации
(3) стоимость оказываемых услуг
Преимущества аутентификации типа "запрос-ответ" (пользователя на удаленном сервере) по сравнению с аутентификацией при помощи паролей заключаются в том, что:
(1) запрос сервера генерируется случайным образом
(2) ключ шифрования известен только пользователю и серверу
(3) имя пользователя передается открыто
Соглашение между доверяющей стороной и удостоверяющим центром должно содержать:
(1) обязательство доверяющей стороны проверять статус сертификата перед его использованием
(2) размер компенсации доверяющей стороне в случае причинения ей ущерба
(3) обязательство доверяющей стороны прекращать использование сертификатов, срок действия которых истек
Кто может выступать агентом депонирования ключей?
(1) независимое подразделение внутри организации, развертывающей PKI
(2) правительственное агентство
(3) правоохранительные органы
В функции регистрационного центра может входить:
(1) взаимодействие пользователей с удостоверяющим центром
(2) предоставление информации о статусе сертификатов
(3) обновление сертификатов
Какое из перечисленных средств подтверждения идентичности можно
охарактеризовать как "то, чем субъект владеет"?
(1) аппаратный ключ
(2) параметры ладони
(3) PIN-код
В модели строгой иерархии:
(1) каждый субъект доверяет только своему удостоверяющему центру
(2) головной удостоверяющий центр выпускает сертификат сам для себя
(3) каждый субъект обладает копией секретного ключа головного удостоверяющего центра
К информационным дополнениям сертификата открытого ключа относятся:
(1) назначение ключа
(2) альтернативные имена субъекта и удостоверяющего центра
(3) пункт распространения списка аннулированных сертификатов
Сертификаты обновления ключа обладают следующими свойствами:
(1) принадлежат разным удостоверяющим центрам
(2) составляют пару
(3) содержат разные имена издателя и субъекта
Каждый аннулированный сертификат в САС задается структурой, которая содержит:
(1) серийный номер сертификата
(2) дополнения точки входа в САС CRL Entry Extensions
(3) назначение сертификата
Косвенные дельта-списки САС позволяют:
(1) изменять размеры частей списков САС
(2) корректировать несколько списков САС, выпущенных одним издателем
(3) включать указатели на искомые списки САС
Инфраструктура безопасности организации должна:
(1) обеспечивать биометрическую аутентификацию пользователей
(2) обеспечивать удобство и унифицированность доступа к инфраструктуре
(3) обеспечивать совершенно разным субъектам организации возможность подключиться к ней и использовать ее в своих целях
В сетевой PKI:
(1) не все удостоверяющие центры связаны равноправными отношениями
(2) отношение доверия между двумя удостоверяющими центрами представлено одним сертификатом
(3) пользователи доверяют только тому удостоверяющему центру, который выпустил их сертификаты
Организации следует выбрать для развертывания PKI иерархическую архитектуру, если:
(1) необходимо связать большое количество территориально распределенных подразделений
(2) организация не имеет четкой иерархической структуры
(3) организация имеет строгую иерархическую структуру
Концепция пограничного репозитория была разработана в рамках:
(1) стандарта X.509
(2) проекта рабочей группы организации инженерной поддержки Интернета IETF
(3) в рамках инициативы федерального мостового УЦ США
Какие из перечисленных документов, характеризующих политику PKI, должны разрабатываться с учетом назначения сертификатов:
(1) регламент УЦ
(2) организационные процедуры УЦ
(3) политика применения сертификатов
Какой раздел набора положений политики PKI регулирует управление жизненным циклом сертификатов?
(1) "форматы сертификата и списка аннулированных сертификатов"
(2) "операционные требования"
(3) "контроль технической безопасности"
Операционные протоколы используются в PKI для:
(1) восстановления пар ключей
(2) кросс-сертификации удостоверяющих центров
(3) доставки клиентским системам информации о статусе сертификатов.
Скрытое делегирование прав пользователя А происходит тогда, когда субъект, проверяющий авторизацию пользователя В:
(1) не может определить, когда произошло делегирование
(2) не знает, что пользователь А первоначально имел полномочия и передал их пользователю В
(3) не может определить, от кого пользователь В получил полномочия
Протокол установления соединений Handshake Protocol отвечает за:
(1) проверку целостности передаваемых данных
(2) формирование криптографических параметров
(3) аутентификацию сторон
Затраты на развертывание PKI оцениваются в зависимости от количества:
(1) серверов
(2) приложений
(3) варианта развертывания (инсорсинг или аутсорсинг)
В разделе "Область применения проекта" запроса на предложения (RFP) приводятся следующие сведения:
(1) структура организации
(2) количество потенциальных пользователей
(3) суммы и сроки выполнения проекта
Секретный пароль пользователя в системе S/Key One Time Password System не подвергается риску хищения, потому что:
(1) хранится в зашифрованном виде пользователем
(2) для аутентификации необходим только одноразовый пароль
(3) никогда не хранится на сервере
Каковы обязанности администратора удостоверяющего центра?
(1) обработка заявок на сертификаты
(2) авторизация услуг по восстановлению ключей
(3) выпуск и подписание сертификатов
Каковы затраты на программное обеспечение в структуре стоимости установки типичной системы PKI (вариант инсорсинга)?
(1) низкие
(2) средние
(3) высокие
На сервер сертификатов возлагаются функции:
(1) хранения секретного ключа удостоверяющего центра
(2) ведение контрольного журнала удостоверяющего центра
(3) восстановления ключей шифрования конечных субъектов
В асимметричных криптографических алгоритмах используется:
(1) секретный и открытый ключи
(2) один секретный ключ
(3) два секретных ключа
Кросс-сертификацией называют процесс взаимного связывания:
(1) вышестоящих и нижестоящих удостоверяющих центров
(2) одноранговых удостоверяющих центров
(3) одноранговых головных удостоверяющих центров
Сертификаты PGP используются для:
(1) защиты сообщений, которыми обмениваются участники системы электронных транзакций
(2) авторизации владельцев открытых ключей
(3) защиты секретности файлов и сообщений электронной почты
Секретный ключ подписи, который используется для поддержки неотказуемости, должен:
(1) никому не раскрываться
(2) копироваться для последующего восстановления в случае утраты ключа
(3) защищенно храниться в течение всего срока действия
Дополнение САС CRL Scope позволяет разбивать списки САС по:
(1) кодам причин аннулирования
(2) серийным номерам
(3) типам сертификатов
Запрос к OCSP-респондеру о статусе сертификатов содержит:
(1) номер версии протокола
(2) цифровую подпись доверяющей стороны
(3) идентификаторы сертификатов
Основными проблемами безопасности при регистрации пользователей для удаленного доступа к приложению являются:
(1) ошибки пользователей при вводе паролей
(2) перехват паролей, передаваемых по незащищенной сети
(3) несвоевременная смена паролей пользователями
В архитектуре расширенного списка доверия:
(1) пользователь избавлен от необходимости поддерживать актуальность списка
(2) каждый пункт доверия может быть одиночным удостоверяющим центром, иерархией или сетью
(3) пользователь доверяет путям сертификации, которые заканчиваются сертификатом, изданным любым удостоверяющим центром из списка
Организации следует выбрать для развертывания PKI сетевую архитектуру, если:
(1) необходимо связать отдельных пользователей разных подразделений
(2) организация не имеет четкой иерархической структуры
(3) необходимо связать небольшое однородное сообщество пользователей
Удостоверяющий центр может перевести информацию о политиках других доменов в информацию, понятную своим пользователям сертификатов, при помо-щи дополнения:
(1) Policy Mappings
(2) Certificate Policies
(3) Basic Constraints
Какой раздел набора положений политики PKI раскрывает использование ограничителей политики применения сертификатов, синтаксис и семантику спецификаторов политики?
(1) "идентификация и аутентификация"
(2) "форматы сертификата и списка аннулированных сертификатов"
(3) "операционные требования"
Протоколы управления в PKI поддерживают:
(1) доставку клиентским системам информации о статусе сертификатов
(2) выпуск сертификатов
(3) обращение с запросами об аннулировании сертификатов
Для функционирования сервиса неотказуемости необходимы:
(1) защищенные протоколы
(2) сертификаты приватности
(3) физически защищенный архив
Защиту от воспроизведения ранее переданных IP-пакетов обеспечивает протокол:
(1) AH
(2) ESP
(3) IKE
Расходы на амортизацию PKI не должны превышать (максимально) стоимость приложений, которые планируется защитить с помощью этой инфраструктуры, более чем на:
(1) 15%
(2) 25%
(3) 30%
В разделе "Архитектура безопасности" запроса на предложения (RFP) содержатся следующие сведения:
(1) способы уведомления пользователей о мониторинге их активности
(2) способы защиты коммуникаций между разными компонентами PKI-решения
(3) способы делегирования полномочий администраторов УЦ или РЦ
Система Kerberos позволяет:
(1) выполнять аутентификацию пользователя на многих удаленных серверах
(2) выполнять одностороннюю аутентификацию сервера пользователем
(3) использовать один и тот же механизм проверки идентичности пользователя и сервера
Каковы обязанности администратора регистрационного центра?
(1) авторизация услуг по восстановлению ключей
(2) принятие решений о выдаче сертификатов заявителям
(3) выпуск и подписание сертификатов
Каковы затраты на программное обеспечение в структуре стоимости установки типичной системы PKI (вариант аутсорсинга)?
(1) высокие
(2) средние
(3) низкие
Действие сертификата открытого ключа пользователя должно быть прекращено, если:
(1) секретный ключ пользователя скомпрометирован
(2) срок действия ключа истек
(3) есть вероятность, что секретный ключ пользователя скомпрометирован
Электронная цифровая подпись создается в результате:
(1) шифрования хэш-кода сообщения при помощи секретного ключа лица, ставящего подпись
(2) шифрования хэш-кода сообщения при помощи открытого ключа лица, ставящего подпись
(3) оцифровки личной подписи лица, желающего заверить подписью свое сообщение
В мостовой конфигурации PKI каждый головной удостоверяющий центр устанавливает отношения кросс-сертификации:
(1) с парой головных удостоверяющих центров
(2) с единственным центральным удостоверяющим центром
(3) со всеми головными удостоверяющими центрами
PGP представляет собой систему, которая:
(1) базируется на асимметричных криптографических алгоритмах
(2) обеспечивает безопасный обмен сообщениями и файлами по каналам открытой связи
(3) обеспечивает защиту сообщений, которыми обмениваются участники системы электронных транзакций
Сертификат открытого ключа теряет статус валидного после:
(1) его включения в список аннулированных сертификатов
(2) его включения в список аннулированных сертификатов и публикации САС
(3) компрометации соответствующего секретного ключа
Коды причины аннулирования, относящиеся к точке входа в САС, задаются в поле:
(1) Only Some Reasons
(2) Reason Code
(3) Hold Instruction Code
Протокол OCSP позволяет:
(1) определить, что сертификат используется по назначению
(2) получить информацию о статусе сертификатов
(3) определить, что срок действия сертификата не истек
Преимущества системы однократной регистрации (SSO) заключаются в том, что:
(1) обеспечивается шифрование паролей
(2) пользователи не тратят время на аутентификацию при использовании каждого приложения
(3) пользователи регистрируются на своих локальных компьютерах
Сколько сертификатов необходимо выпустить для кросс-сертификации пяти корпоративных PKI?
(1) 20
(2) 10
(3) 5
Кросс-сертификацию следует использовать, если необходимо связать:
(1) небольшое количество разнородных PKI
(2) большое количество разнородных PKI
(3) совокупность подчиненных друг другу удостоверяющих центров
При распространении PKI-информации функциональную совместимость с внешними пользователями обеспечивают:
(1) каталоги LDAP
(2) почтовые репозитории
(3) FTP-репозитории
Краткая характеристика политики PKI, документ PDS (PKI Disclosure Statement):
(1) описывает юридическую ответственность сторон
(2) описывает гарантии и ограничения политики PKI
(3) излагается на 8-10 страницах текста
С какого этапа начинается разработка политики применения сертификатов?
(1) анализ целей и требований организации-заказчика
(2) ознакомление с документом RFC 2527 Certificate Policy and Certification Practices Framework
(3) принятие организацией решения об организации собственного удостоверяющего центра или использовании услуг стороннего удостоверяющего центра
Какие обстоятельства влияют на качество стандартов в сфере PKI?
(1) часто в стандартах делается попытка объединить несколько точек зрения разных специалистов; компромисс достигается либо за счет спецификации опций, либо за счет рассмотрения ряда вопросов на обобщенном уровне
(2) иногда некоторые положения стандартов неправильно интерпретируются и/или даже стандарт неправильно реализуется
(3) не все подразделения органов стандартизации способны разрабатывать документы равного качества, важную роль играет состав и правила участия специалистов, утвержденные главным государственным органом стандартизации
Преимуществами механизма реализации инфраструктуры управления полномочиями на базе сервера политики являются:
(1) централизованное администрирование
(2) высокая производительность
(3) высокая отказоустойчивость
Туннельный режим позволяет защитить:
(1) «обернуть» передаваемую порцию данных
(2) защитить некоторые поля заголовков
(3) защитить весь IP-пакет
Для инсорсинга как варианта развертывания PKI характерны:
(1) возможность организации формировать собственную политику
(2) потребность в значительном количестве персонала для работы, защиты и поддержки систем удостоверяющего и регистрационного центров
(3) короткий период развертывания
Если организация не планирует создавать собственный удостоверяющий центр, а желает передать его функции на аутсорсинг, в разделе "Операционная работа УЦ" запроса на предложения (RFP) должны быть указаны следующие сведения:
(1) перечень поддерживаемых открытых стандартов и криптографических алгоритмов
(2) планирование периодов операционной работы и простоев УЦ
(3) средства по поддержанию круглосуточной надежности и доступности системы
Инфраструктура открытых ключей обеспечивает:
(1) защиту компьютерных систем и сетей
(2) аутентификацию
(3) именование субъектов
На каком этапе развертывания PKI создается иерархия удостоверяющих центров и система их именования?
(1) на этапе пилотного проекта
(2) на этапе внедрения
(3) на этапе проектирования
Каковы затраты на программное обеспечение в структуре стоимости технической поддержки типичной системы PKI (вариант инсорсинга)?
(1) низкие
(2) средние
(3) высокие
Пользователю необходима поддержка истории его ключей и сертификатов для того, чтобы:
(1) не получать отказ в обслуживании из-за недействительности своих ключей
(2) проверять цифровые подписи на старых документах
(3) самостоятельно выбирать необходимый ему ключ
Для поддержки неотказуемости необходимо использовать:
(1) хэш-коды сообщений
(2) цифровые подписи
(3) коды аутентификации сообщений
Кросс-сертификация бывает:
(1) односторонняя
(2) двусторонняя
(3) многосторонняя
Протокол SET обладает следующими свойствами:
(1) обеспечивает безопасность электронных расчетов по пластиковым картам через Интернет
(2) базируется на технических стандартах, разработанных компаниями VeriSign и Entrust
(3) не работает с сертификатами формата X.509
Вмешательство удостоверяющего центра корпоративной PKI в нормальный жиз-ненный цикл сертификата требуется в случаях:
(1) компрометации секретного ключа служащего – владельца сертификата
(2) аннулирования сертификата при утере служащим своего секретного ключа
(3) приостановления действия сертификата, выпущенного для служащего, который в данный момент увольняется
Способ проверки сертификата, который заключается в том, что УЦ рассылает приложениям, использующим сертификаты, новый САС каждый раз после аннулирования какого-либо сертификата, называется способом:
(1) push
(2) pull
(3) онлайновой верификации
Простой протокол валидации сертификатов предназначен для:
(1) делегирования доверенным сторонам процессов валидации и построения пути сертификации
(2) получения информации о статусе сертификатов
(3) доступа к репозиторию сертификатов
Мостовой УЦ выполняет следующие функции:
(1) является главным для нескольких корпоративных PKI
(2) действует как посредник между разными корпоративными PKI
(3) выпускает сертификаты для конечных субъектов PKI
Мостовую архитектуру следует использовать, если необходимо связать:
(1) совокупность подчиненных друг другу удостоверяющих центров
(2) организации, которые не имеют четкой иерархической структуры
(3) большое количество разнородных PKI
Обмен PKI-информацией может осуществляться при помощи:
(1) протокола HTTP
(2) протокола IKE
(3) электронной почты S/MIME v3
Средства безопасности транспортного уровня при помощи сертификатов идентифицируют:
(1) пользователей
(2) пользователей и серверы
(3) пользователей, хосты и защитные шлюзы
Для аутсорсинга как варианта развертывания PKI характерны:
(1) короткий период развертывания
(2) низкие первоначальные затраты
(3) потребность в значительном количестве персонала для работы, защиты и поддержки систем удостоверяющего и регистрационного центров
На каком этапе развертывания PKI проводится юридическая экспертиза, утверждение политики применения сертификатов и регламента?
(1) на этапе создания прототипа системы
(2) на этапе внедрения
(3) на этапе проектирования
Каковы затраты на программное обеспечение в структуре стоимости технической поддержки типичной системы PKI (вариант аутсорсинга)?
(1) высокие
(2) средние
(3) низкие
Атрибутный сертификат обладает следующими свойствами:
(1) не содержит открытого ключа подписи субъекта сертификата
(2) может использоваться в сервисе конфиденциальности
(3) не используется для авторизации субъекта
Критериями оценки степени доверия клиентов к компании, работающей в сфере электронной коммерции, являются:
(1) предсказуемость уровня безопасности, сервиса и качества товаров или услуг компании
(2) возможности компании провести масштабную рекламную акцию
(3) неопределенность, недостаточность информации об электронной сделке и сторонах, участвующих в ней
При построении и валидации пути сертификации под доверенным ключом понимается ключ пункта доверия:
(1) того субъекта, сертификат которого проверяется
(2) всех субъектов PKI
(3) того субъекта, который выполняет построение и валидацию пути сертификации
В процессе валидации пути сертификации проверяется:
(1) серийный номер каждого сертификата
(2) соблюдение ограничений на имена и политики применения сертификатов
(3) период действия каждого сертификата
Механизм частного распространения сертификатов и списков САС не рекомендуется использовать в корпоративной PKI из-за:
(1) непрозрачности механизма распространения
(2) сложности обмена сертификатами между пользователями
(3) несоответствия механизма модели централизованного управления действиям пользователей
Основные требования к политике PKI заключаются в:
(1) адекватности ограничений и пределов ответственности
(2) доступности изложения
(3) подробном описании процедур, обеспечивающих политику безопасности
Какие обязательства удостоверяющего и регистрационного центров закрепляются в разделе "Обязательства" набора положений политики PKI?
(1) уведомление субъекта сертификата об аннулировании или приостановлении действия его сертификата
(2) уведомление о компрометации секретного ключа владельца сертификата
(3) уведомление о выпуске сертификата других лиц, помимо субъекта сертификата
Стандарты серии X содержат описание:
(1) дополнительных стандартов, связанных с PKI и задающих протоколы доступа к каталогу, протоколы защищенной электронной почты, передачи гипертекста, Интернет-протоколы и т.д.
(2) концепций, моделей и сервиса каталога, а также процедур аутентификации
(3) политики применения сертификатов и регламента, алгоритмов и идентификаторов сертификатов и списков аннулированных сертификатов
Защищенное проставление меток времени обеспечивается при помощи:
(1) шифрования значения времени
(2) надежного источника времени
(3) защищенной передачи значения времени
В защищенной электронной почте S/MIME используются:
(1) один тип MIME-конверта
(2) два типа MIME-конверта
(3) три типа MIME-конверта
На предварительном этапе развертывания PKI выполняется:
(1) формирование правовой политики PKI
(2) выбор приоритетных сервисов безопасности
(3) анализ данных и приложений
Способность поставщика PKI-продукта предложить масштабируемое решение оценивается с учетом следующих "узких мест" функционирования PKI:
(1) способности поддерживать онлайновую верификацию сертификатов при возрастании числа пользователей
(2) количества сертификатов, которые может выпустить удостоверяющий центр за короткий промежуток времени
(3) ограничений на количество обслуживаемых клиентов, использующих линию технической поддержки
Для перехвата пароля пользователя при помощи программы-анализатора в локальной сети злоумышленнику нет необходимости:
(1) находиться в одном помещении с пользователем
(2) иметь сетевое подключение к локальной сети пользователя
(3) инсталлировать программу-анализатор на компьютер пользователя
Проектирование PKI должно начинаться с:
(1) выбора программного продукта или поставщика услуг PKI
(2) определения модели доверия
(3) формирования правовой политики PKI
Какой способ ограничения доступа к секретным ключам должен быть выбран при развертывании PKI, чтобы владельцам ключей не было необходимости иметь при себе устройство хранения секрета?
(1) карты PCMCIA
(2) защита с помощью пароля
(3) биометрические средства
К основным компонентам PKI относятся:
(1) удостоверяющий центр
(2) центр хранения ключей конечных субъектов
(3) конечные субъекты
(4) репозиторий
Сервис конфиденциальности обеспечивает следующие функции:
(1) предотвращает преднамеренное изменение данных при передаче их по сети
(2) обеспечивает защиту от несанкционированного получения информации
(3) реализует аутентификацию участников коммуникации
Глобальная уникальность имен достигается, если:
(1) каждый субъект официально регистрируется вместе с центром именования и принимает присвоенное ему имя
(2) все субъекты используют способ идентификации по адресам электронной почты
(3) все субъекты соблюдают правила образования отличительных имен стандарта X.500
Сертификат открытого ключа однозначно идентифицируется комбинацией:
(1) уникальных идентификаторов издателя и субъекта сертификата
(2) имени издателя и серийного номера сертификата
(3) имени субъекта и серийного номера сертификата
В соответствии с документом RFC 3280 не рекомендуется устанавливать срок действия сертификата удостоверяющего центра более:
(1) 1 года
(2) 3 лет
(3) 5 лет
Некритичное дополнение списка аннулированных сертификатов:
(1) может быть проигнорировано доверяющей стороной
(2) не может быть проигнорировано доверяющей стороной
(3) должно быть обработано и понято доверяющей стороной
Пункты распространения списков аннулированных сертификатов, по сравнению с полными списками САС, имеют следующие преимущества:
(1) позволяют изменять размеры частей списков САС
(2) не требуют дополнительного информирования об их местонахождении
(3) позволяют изменять места хранения списков САС
Политики конфиденциальности разрабатываются компаниями для того, чтобы:
(1) ограничить доступ конкурентов к конфиденциальной информации компании
(2) объяснить клиентам правила использования компанией их персональных данных
(3) объяснить клиентам правила обращения с конфиденциальной информацией компании
В простой архитектуре PKI построение и анализ пути сертификации просты, потому что:
(1) просты связи между удостоверяющими центрами
(2) в сертификатах отсутствуют дополнения
(3) сертификаты удостоверяющих центров отсутствуют
Входными параметрами для валидации пути сертификации являются:
(1) предполагаемый путь сертификации
(2) имена издателей сертификатов
(3) набор идентификаторов допустимых политик применения сертификатов
Под определение репозитория не попадают:
(1) серверы аутентификации
(2) FTP-серверы
(3) OCSP-респондеры
Регламент удостоверяющего центра характеризуется тем, что:
(1) задает процедуры, обеспечивающие политику безопасности
(2) формулирует обязанности удостоверяющего центра перед доверяющей стороной
(3) регулирует ответственность пользователей при получении и использовании сертификатов и ключей
Какие обязательства подписчика (владельца сертификата) закрепляются в разделе "Обязательства" набора положений политики PKI?
(1) уведомление о компрометации секретного ключа
(2) проверка статуса сертификата перед его использованием
(3) сохранение в тайне секретного ключа
Стандарты PKIX характеризуются следующим:
(1) они содержат описание стандартов криптографии с открытыми ключами
(2) они содержат описание политики применения сертификатов и регламента, алгоритмов и идентификаторов сертификатов и списков аннулированных сертификатов
(3) они разработаны рабочей группой организации IETF
Нотаризация подтверждает валидность цифровой подписи на электронном документе при выполнении следующих условий:
(1) правильного связывания открытого ключа подписи с субъектом, который поставил цифровую подпись
(2) доступности и надежности всех других данных, необходимых для процесса валидации
(3) математической корректности результата проверки цифровой подписи при помощи соответствующего секретного ключа
Метка безопасности, которая используется в защищенной электронной почте S/MIME, свидетельствует, что:
(1) отправитель контролирует доставку сообщения
(2) в содержание сообщения включена частная или конфиденциальная информация
Организация принимает решение передать функции PKI на аутсорсинг, если:
(1) не считает возможности контроля операций удостоверяющего центра критически важными для своей деятельности
(2) желает контролировать способы аутентификации конечных субъектов
(3) выбирает вариант открытой иерархии
Надежный поставщик PKI-услуг должен:
(1) строго документировать процедуры
(2) регулярно проходить проверки аудиторов организации-заказчика
(3) поддерживать непрерывность операционной работы удостоверяющего центра
Защита от атак анализаторов возможна, если:
(1) все пользователи шифруют свои пароли при помощи одного и того же ключа шифрования
(2) каждый пользователь шифрует свой пароль при помощи своего ключа шифрования, пароль каждого пользователя используется однократно
(3) каждый пользователь шифрует свой пароль и метку времени при помощи своего ключа шифрования
Соглашение между конечным пользователем и РЦ должно содержать следующие обязательства пользователя:
(1) использовать сертификат в соответствии с регламентом удостоверяющего центра
(2) компенсировать предоставление регистрационному центру ложной информации
(3) обращаться с заявлением об аннулировании сертификата, если секретный ключ скомпрометирован или потерян
Какой способ публикации списка аннулированных сертификатов не подходит для PKI, обслуживающей критически важные для бизнеса приложения?
(1) публикация с опросом наличия изменений
(2) онлайновая верификация
(3) принудительная рассылка изменений
Удостоверяющий центр выполняет следующие функции:
(1) обеспечивает хранение списков аннулированных сертификатов
(2) выпускает и подписывает свой собственный сертификат
(3) выпускает кросс-сертификаты открытых ключей для других удостоверяющих центров
Почему сервис неотказуемости относится не к основным сервисам PKI, а к сервисам, базирующимся на PKI?
(1) потому что он не обеспечивает целостности и конфиденциальности передаваемых данных
(2) потому что он является дополнительным сервисом
(3) потому что результат автоматической процедуры неотказуемости не является достаточным доказательством неправомерных действий одной из сторон, взаимо-действующих в электронной коммуникации
Корневой удостоверяющий центр в иерархической PKI действует как:
(1) главный пункт доверия для конечных субъектов PKI
(2) издатель сертификатов всех конечных субъектов PKI
(3) начальный пункт архитектуры PKI
К ограничивающим дополнениям сертификата открытого ключа относятся:
(1) пункт распространения списка аннулированных сертификатов
(2) альтернативные имена субъекта и удостоверяющего центра
(3) расширенное назначение ключа
Самоподписанные сертификаты характеризуются тем, что:
(1) не содержат дополнений
(2) содержат все дополнения стандарта X.509
(3) содержат только обязательные дополнения стандарта X.509
К обязательным полям списка аннулированных сертификатов относятся:
(1) дата выпуска САС
(2) версия САС
(3) тип САС
Переадресующий САС характеризуется следующими свойствами:
(1) содержит информацию об изменениях САС, произошедших с некоторого заданного момента времени
(2) содержит информацию о частях САС
(3) содержит указатели на искомые списки САС
Политика доверия компании, занимающейся электронной коммерцией, должна:
(1) предусматривать санкции в случае отказа клиентов знакомиться с политикой кон-фиденциальности, опубликованной на web-сайте компании
(2) демонстрировать защищенность компьютерных систем и аппаратных средств компании
(3) предоставлять возможность клиентам выражать согласие с опубликованной политикой
(4) не допускать продажи другим компаниям информации, собранной о клиентах
В иерархической PKI:
(1) каждый пользователь доверяет только своему удостоверяющему центру
(2) все удостоверяющие центры подчиняются нескольким вышестоящим удостоверяющим центрам
(3) издателем сертификата является вышестоящий удостоверяющий центр, а субъектом – подчиненный удостоверяющий центр
Обработка каждого списка аннулированных сертификатов в процессе валидации пути сертификации состоит из:
(1) шести шагов
(2) четырех шагов
(3) двух шагов
Общий междоменный репозиторий характеризуется тем, что:
(1) может быть совместной собственностью двух или более доменов или функционировать под их правлением
(2) разворачивается на базе одного из доменов PKI и не может поддерживаться третьей доверенной стороной
(3) не требует взаимной договоренности между доменами о частоте обновления
Идентификаторы объектов используются в сертификатах X.509 для:
(1) задания дополнений сертификатов и списков САС
(2) идентификации политики применения сертификатов
(3) указания назначения сертификатов
Какие обязательства доверяющей стороны закрепляются в разделе "Обязательства" набора положений политики PKI?
(1) использование сертификата только по назначению
(2) использование секретного ключа и сертификата с учетом ограничений политики PKI
(3) проверка статуса сертификата перед его использованием
Стандарты PKCS содержат описание:
(1) стандартов криптографии с открытыми ключами
(2) концепций, моделей и сервиса каталога, а также процедур аутентификации
(3) политики применения сертификатов и регламента, алгоритмов и идентификаторов сертификатов и списков аннулированных сертификатов
Управление полномочиями – это общий термин для таких понятий, как:
(1) идентификация
(2) управление правами
(3) авторизация
Протоколы SSL и TLS имеют:
(1) двухуровневую организацию
(2) трехуровневую организацию
(3) одноуровневую организацию
Организация принимает решение выбрать вариант инсорсинга для развертывания PKI, если:
(1) желает контролировать способы аутентификации конечных субъектов
(2) причисляет развертывание PKI к стратегическому виду деятельности
(3) создает открытую иерархию
При выборе поставщика PKI-продукта организации необходимо обратить внимание на следующие аспекты технической поддержки:
(1) режим предоставления технической поддержки
(2) стоимость оказываемых услуг
(3) ограничения на количество ограничений обслуживаемых клиентов, использующих линию технической поддержки
Преимущества аутентификации типа "запрос-ответ" (пользователя на удаленном сервере) по сравнению с аутентификацией при помощи паролей заключаются в том, что:
(1) зашифрованный запрос сервера аутентифицирует пользователя только один раз
(2) перехват информации не является угрозой
(3) запрос пользователя шифруется при помощи стойкого алгоритма шифрования
Соглашение между доверяющей стороной и удостоверяющим центром должно содержать:
(1) обязательство доверяющей стороны использовать сертификат только по назначению
(2) обязательство доверяющей стороны прекращать использование сертификатов, срок действия которых истек
(3) обязательство доверяющей стороны проверять статус сертификата перед его использованием
Что позволяет лучше защищать и контролировать восстановление депонированных ключей в PKI?
(1) разделение функций удостоверяющего и регистрационного центров
(2) передача всех функций удостоверяющему центру
(3) передача всех функций регистрационному центру
В функции регистрационного центра может входить:
(1) выпуск списков аннулированных сертификатов
(2) долговременное хранение всех изданных сертификатов
(3) проверка информации, заносимой в сертификаты
Какое из перечисленных средств подтверждения идентичности можно
охарактеризовать как "то, чем субъект владеет"?
(1) рисунок радужной оболочки глаза
(2) PIN-код
(3) смарт-карта
В модели строгой иерархии:
(1) каждый удостоверяющий центр сертифицирует другие удостоверяющие центры, подчиненные непосредственно ему
(2) каждый удостоверяющий центр выпускает самоизданный сертификат
(3) головной удостоверяющий центр сертифицирует всех конечных субъектов
К информационным дополнениям сертификата открытого ключа относятся:
(1) способ доступа к информации удостоверяющего центра
(2) политики применения сертификата
(3) расширенное назначение ключа
Сертификаты обновления ключа обладают следующими свойствами:
(1) содержат одинаковые имена издателя и субъекта
(2) составляют две пары
(3) содержат разные имена издателя и субъекта
Каждый аннулированный сертификат в САС задается структурой, которая содержит:
(1) дополнения точки входа в САС CRL Entry Extensions
(2) имя субъекта сертификата
(3) дату аннулирования
Косвенные дельта-списки САС позволяют:
(1) объединять в одном САС информацию об аннулировании сертификатов, полученную от нескольких удостоверяющих центров
(2) включать указатели на искомые списки САС
(3) изменять места хранения списков САС
Инфраструктура безопасности организации должна:
(1) обеспечивать защищенность всех объектов и приложений организации, которым необходима безопасность
(2) предоставлять всем субъектам знакомый и удобный интерфейс
(3) обеспечивать шифрование при обмене данными между приложениями
В сетевой PKI:
(1) все пользователи доверяют одному доверенному центру
(2) все пользователи доверяют всем удостоверяющим центрам сети
(3) удостоверяющие центры выпускают сертификаты друг для друга
Организации следует выбрать для развертывания PKI иерархическую архитектуру, если
(1) организация не имеет четкой иерархической структуры
(2) организация имеет строгую иерархическую структуру
(3) необходимо связать небольшое однородное сообщество пользователей
Концепция пограничного репозитория была разработана в рамках:
(1) проекта рабочей группы организации инженерной поддержки Интернета IETF
(2) в рамках инициативы федерального мостового УЦ США
(3) стандарта X.500
Какой из перечисленных документов, характеризующих политику PKI, наиболее подробно описывает практическую реализацию отдельных положений политики:
(1) регламент УЦ
(2) организационные процедуры УЦ
(3) политика применения сертификатов
Какой раздел набора положений политики PKI регулирует управление жизненным циклом сертификатов?
(1) "контроль физической, процедурной и кадровой безопасности"
(2) "контроль технической безопасности"
(3) "форматы сертификата и списка аннулированных сертификатов"
Операционные протоколы используются в PKI для:
(1) доставки запросов об аннулировании сертификатов
(2) доставки клиентским системам списков аннулированных сертификатов
(3) обновления пар ключей по истечении срока действия сертификатов
Скрытое делегирование прав пользователя А происходит тогда, когда субъект, проверяющий авторизацию пользователя В
(1) знает, от кого пользователь В получил полномочия, но не может определить, когда это произошло
(2) не знает, как долго пользователь В будет иметь полномочия пользователя А
(3) не может определить, что делегирование имело место
Протокол передачи записей Record Protocol отвечает за:
(1) проверку целостности передаваемых данных
(2) сжатие, шифрование и передачу данных
(3) формирование криптографических параметров
Затраты на развертывание PKI оцениваются в зависимости от количества:
(1) пользователей
(2) приложений
(3) удостоверяющих центров
В разделе "Область применения проекта" запроса на предложения (RFP) приводятся следующие сведения:
(1) основные приложения, поддерживаемые PKI
(2) время, необходимое для проектирования
(3) сфера деятельности организации
Секретный пароль пользователя в системе S/Key One Time Password System не подвергается риску хищения, потому что:
(1) никогда не хранится на клиенте
(2) генерируется каждый раз случайным образом
(3) никогда не передается по сети
Каковы обязанности администратора удостоверяющего центра?
(1) генерация ключей
(2) обработка запросов на кросс-сертификацию
(3) принятие решений о выдаче сертификатов заявителям
Каковы затраты на услуги консультантов в структуре стоимости установки типичной системы PKI (вариант инсорсинга)?
(1) низкие
(2) высокие
(3) средние
На сервер сертификатов возлагаются функции:
(1) регистрации всех операций удостоверяющего центра
(2) создания резервных копий ключей шифрования конечных субъектов
(3) поддержки жизненного цикла сертификатов и ключей
В алгоритмах хэширования рассчитывается:
(1) хэш-код сообщения
(2) код аутентификации сообщения
(3) контрольная сумма передаваемых данных
В сетевой конфигурации PKI кросс-сертифицируются:
(1) все удостоверяющие центры
(2) головные удостоверяющие центры
(3) вышестоящие удостоверяющие центры с нижестоящими
Сертификаты SET используются для:
(1) аутентификации субъектов сертификатов
(2) защиты сообщений, которыми обмениваются участники системы электронных транзакций
(3) защиты секретности файлов и сообщений электронной почты
Секретный ключ шифрования должен:
(1) защищенно храниться в течение всего срока действия и никому не раскрываться
(2) копироваться для последующего восстановления в случае утраты ключа
(3) сохраняться в архиве для последующего использования
Дополнение САС CRL Scope позволяет разбивать списки САС по:
(1) кодам причин аннулирования
(2) идентификаторам ключей субъектов
(3) альтернативным именам субъектов
Запрос к OCSP-респондеру о статусе сертификатов содержит:
(1) отличительное имя доверяющей стороны
(2) тип запроса на обслуживание
(3) идентификаторы сертификатов
Основными проблемами безопасности при регистрации пользователей для удаленного доступа к приложению являются:
(1) нарушение пользователями процедуры регистрации
(2) ввод трудных для запоминания паролей, которые предварительно были записаны пользователями и не хранились секретно
(3) воспроизведение зашифрованных паролей, передаваемых по незащищенной сети
В архитектуре расширенного списка доверия:
(1) легко решается проблема компрометации удостоверяющего центра
(2) каждый пункт доверия может быть только одиночным удостоверяющим центром
(3) пользователь доверяет путям сертификации, которые начинаются с сертификата, изданного любым удостоверяющим центром из списка
Организации следует выбрать для развертывания PKI сетевую архитектуру, если:
(1) организация не имеет четкой иерархической структуры
(2) необходимо связать отдельных пользователей разных подразделений
(3) организация имеет строгую иерархическую структуру
Прозрачность размещения репозитория обеспечивают:
(1) LDAP-серверы
(2) серверы электронной почты
(3) FTP-серверы
Удостоверяющий центр может перевести информацию о политиках других доменов в информацию, понятную своим пользователям сертификатов, при помо-щи дополнения:
(1) Basic Constraints
(2) Policy Constraints
(3) Policy Mappings
Какой раздел набора положений политики PKI раскрывает использование ограничителей политики применения сертификатов, синтаксис и семантику спецификаторов политики?
(1) "форматы сертификата и списка аннулированных сертификатов"
(2) "администрирование спецификации"
(3) "операционные требования"
Протоколы управления в PKI поддерживают:
(1) кросс-сертификации удостоверяющих центров
(2) восстановления пар ключей
(3) доставку клиентским системам списков аннулированных сертификатов
Для функционирования сервиса приватности необходимы:
(1) услуги независимого удостоверяющего центра, который выпускает сертификаты приватности
(2) поддержка на сервере соответствия псевдонимов и настоящих идентификационных данных субъектов
(3) защищенные протоколы
Автоматическую генерацию и распределение симметричных секретных ключей для взаимодействующих сторон обеспечивает протокол:
(1) AH
(2) ESP
(3) IKE
Расходы на амортизацию PKI не должны превышать (максимально) стоимость приложений, которые планируется защитить с помощью этой инфраструктуры, более чем на:
(1) 25%
(2) 30%
(3) 35%
В разделе "Архитектура безопасности" запроса на предложения (RFP) содержатся следующие сведения:
(1) способы делегирования полномочий администраторов УЦ или РЦ
(2) методы управления паролями
(3) способы обеспечения конфиденциальности и целостности данных, хранимых в системе
Система Kerberos позволяет:
(1) выполнять взаимную аутентификацию между пользователем и многими серверами
(2) использовать в качестве доверенной третьей стороны специальный сервер аутентификации
(3) выполнять взаимную аутентификацию пользователей
Каковы обязанности администратора регистрационного центра?
(1) присвоение полномочий и профилей пользователям системы
(2) обработка запросов на кросс-сертификацию
(3) обработка заявок на сертификаты
Каковы затраты на услуги консультантов в структуре стоимости установки типичной системы PKI (вариант аутсорсинга)?
(1) низкие
(2) средние
(3) высокие
Действие сертификата открытого ключа пользователя должно быть прекращено, если:
(1) идентификационные данные пользователя изменились
(2) секретный ключ пользователя потерян
(3) срок действия сертификата истек
Электронная цифровая подпись создается в результате:
(1) вычисления хэш-кода сообщения, которое зашифровано при помощи секретного ключа лица, ставящего подпись
(2) шифрования хэш-кода сообщения при помощи открытого ключа лица, ставящего подпись
(3) шифрования хэш-кода сообщения при помощи секретного ключа лица, ставящего подпись
В мостовой конфигурации PKI в случае полной связи n-головных удостоверяющих центров требуется установление:
(1)
n
-соглашений кросс-сертификации
(2)
n2
-соглашений кросс-сертификации
(3)
(n2 – n)
-соглашений кросс-сертификации PGP представляет собой систему, которая:
(1) базируется на асимметричных криптографических алгоритмах
(2) использует преимущества асимметричных и симметричных криптографических алгоритмов
(3) не способна обеспечить безопасный обмен сообщениями и файлами по каналам открытой связи
Сертификат открытого ключа теряет статус валидного после:
(1) его включения в список аннулированных сертификатов и публикации САС
(2) увольнения владельца сертификата
(3) истечения срока его действия
САС идентифицируется как дельта-список при помощи дополнения:
(1) Delta CRL Indicator
(2) Delta Information
(3) CRL Stream Identifier
Протокол OCSP позволяет:
(1) получить информацию о статусе сертификатов
(2) определить, что сертификат используется по назначению
(3) определить валидность сертификатов
Преимущества системы однократной регистрации (SSO) заключаются в том, что:
(1) пароли реже "путешествуют" по сети
(2) становится невозможным вторжение в сеть злоумышленника
(3) пользователи не должны запоминать множество паролей
Кросс-сертификация восьми корпоративных PKI требует:
(1) установления 56 одноранговых связей и выпуска 28 сертификатов
(2) установления 56 одноранговых связей и выпуска 112 сертификатов
(3) установления 28 одноранговых связей и выпуска 56 сертификатов
Кросс-сертификацию следует использовать, если необходимо связать:
(1) организации, которые не имеют четкой иерархической структуры
(2) отдельных пользователей разных PKI
(3) небольшое количество разнородных PKI
При распространении PKI-информации функциональную совместимость с внешними пользователями обеспечивают:
(1) каталоги LDAP
(2) HTTP-репозитории
(3) почтовые репозитории
Краткая характеристика политики PKI, документ PDS (PKI Disclosure Statement)
(1) излагается на 2 страницах текста
(2) описывает политику безопасности в отношении выпуска сертификатов
(3) описывает юридическую ответственность сторон
С какого этапа начинается разработка политики применения сертификатов?
(1) составление регламента
(2) принятие организацией решения об организации собственного удостоверяющего центра или использовании услуг стороннего удостоверяющего центра
(3) анализ целей и требований организации-заказчика
Какие обстоятельства влияют на качество стандартов в сфере PKI?
(1) очень редко предлагаемое решение является оптимальным для разных сред, поэтому сохраняется тенденция продвижения спецификации множества решений, удовлетворяющих потребностям множества целевых доменов
(2) часто в стандартах делается попытка объединить несколько точек зрения разных специалистов; компромисс достигается либо за счет спецификации опций, либо за счет рассмотрения ряда вопросов на обобщенном уровне
(3) проблемы совместимости порождает общепринятая практика включения в стандарты механизмов расширения их возможностей, с тем чтобы стандарты сохраняли адекватность при изменении обстоятельств и возникновении новых потребностей ре-альной жизни
Преимуществами механизма реализации инфраструктуры управления полномочиями на базе атрибутных сертификатов являются:
(1) централизованное администрирование
(2) высокая производительность
(3) высокая отказоустойчивость
В транспортном режиме заголовок протокола (AH или ESP) располагается в стеке протоколов:
(1) после заголовка внешнего IP-пакета и перед заголовками протоколов более высокого уровня
(2) после заголовка внешнего IP-пакета и перед заголовком внутреннего исходного IP-пакета
(3) после заголовка исходного IP-пакета и перед заголовками протоколов более высокого уровня
Для инсорсинга как варианта развертывания PKI характерны:
(1) большие первоначальные затраты
(2) минимальная гибкость в удовлетворении требований организации
(3) длительный период развертывания
Если организация не планирует создавать собственный удостоверяющий центр, а желает передать его функции на аутсорсинг, в разделе "Операционная работа УЦ" запроса на предложения (RFP) должны быть указаны следующие сведения:
(1) порядок регистрации всех событий в системе
(2) способы делегирования полномочий администраторов УЦ или РЦ
(3) планирование периодов операционной работы и простоев УЦ
Инфраструктура открытых ключей обеспечивает:
(1) авторизацию
(2) защиту компьютерных систем и сетей
(3) аутентификацию
На каком этапе развертывания PKI создается иерархия удостоверяющих центров и система их именования?
(1) на этапе внедрения
(2) на этапе создания прототипа системы
(3) на этапе пилотного проекта
Каковы затраты на услуги консультантов в структуре стоимости технической поддержки типичной системы PKI (вариант инсорсинга)?
(1) низкие
(2) средние
(3) высокие
Пользователю необходима поддержка истории его ключей и сертификатов для того, чтобы:
(1) восстанавливать ключи
(2) самостоятельно искать необходимый ему ключ
(3) расшифровывать данные, зашифрованные кем-нибудь для него в прошлом
Для идентификации и аутентификации следует использовать:
(1) коды аутентификации сообщений на основе хэша (HMAC)
(2) хэш-коды сообщений
(3) цифровые подписи
К стандартным дополнениям, определенным для кросс-сертификации, относятся ограничения на:
(1) имена, политику применения сертификатов и длину пути
(2) способ доступа к информации об удостоверяющих центрах
(3) назначение ключей и альтернативные имена субъектов
Протокол SET обладает следующими свойствами:
(1) не предоставляет средств аннулирования сертификатов
(2) обеспечивает авторизацию владельца пластиковой карты
(3) гарантирует конфиденциальность и целостность информации о платежах
Вмешательство удостоверяющего центра корпоративной PKI в нормальный жиз-ненный цикл сертификата требуется в случаях:
(1) приостановления действия сертификата, выпущенного для служащего, который в данный момент увольняется
(2) компрометации секретного ключа служащего – владельца сертификата
(3) аннулирования сертификата при утере служащим пароля доступа к своему секретному ключу
Способ проверки сертификата, который заключается в том, что сервер УЦ обрабатывает запросы приложений о статусе сертификатов и предоставляет заверенные цифровой подписью ответы о текущем состоянии каждого сертификата, называется способом:
(1) push
(2) pull
(3) онлайновой верификации
Простой протокол валидации сертификатов предназначен для:
(1) валидации пути сертификации
(2) доступа к репозиторию сертификатов
(3) делегирования доверенным сторонам процессов валидации и построения пути сертификации
В мостовой PKI:
(1) сложно происходит восстановление после компрометации одного из удостоверяющих центров
(2) все конечные субъекты доверяют мостовому УЦ
(3) мостовой УЦ связывает сообщества пользователей разных PKI
Мостовую архитектуру следует использовать, если необходимо связать:
(1) большое количество разнородных PKI
(2) организации, которые не имеют четкой иерархической структуры
(3) небольшое количество разнородных PKI
Обмен PKI-информацией может осуществляться при помощи:
(1) протокола IPsec
(2) электронной почты S/MIME v3
(3) системы доменных имен DNS
Средства безопасности IP-уровня при помощи сертификатов идентифицируют:
(1) пользователей
(2) пользователей и серверы
(3) пользователей, хосты и защитные шлюзы
Для аутсорсинга как варианта развертывания PKI характерны:
(1) потребность в персонале только для работы и поддержки системы регистрационного центра
(2) длительный период развертывания
(3) необходимость придерживаться политик, утвержденных для внешнего удо-стоверяющего центра
На каком этапе развертывания PKI проводится юридическая экспертиза, утверждение политики применения сертификатов и регламента?
(1) на этапе пилотного проекта
(2) на этапе создания прототипа системы
(3) на этапе внедрения
Каковы затраты на услуги консультантов в структуре стоимости технической поддержки типичной системы PKI (вариант аутсорсинга)?
(1) низкие
(2) средние
(3) высокие
Атрибутный сертификат обладает следующими свойствами:
(1) используется вместе с сертификатом открытого ключа субъекта
(2) содержит открытый ключ подписи субъекта сертификата
(3) может использоваться в сервисе целостности