Interpreter_odpovedniku

Proti obecným OR (Onion Routing) sítím přináší TOR navíc
- podporu šifrování dat proudovou šifrou se symetrickým klíčem.
- poskytuje téměř real-time anonymní spojení pro různé služby.
* adresářové servery s informacemi o jednotlivých routerech.
* podporu skrytých služeb a míst setkání.

Při podpisu s obnovou dat platí:
- Podepisovaná data nejsou součástí podpisu, je nutné je obnovit nezávislým
komunikačním kanálem.
- Podepisovaná data lze z podpisu obnovit při znalosti soukromého klíče.
* Podpis obsahuje i podepisovaná data.
* Podepisovaná data mohou být obnovena kýmkoli, kdo vlastní příslušný veřejný
klíč.

Která z těchto tvrzení jsou správná?
- Biometrická data jsou tajná.
* Biometriky v ideálním případě určují identitu člověka přesně a lze tak
spojovat jednotlivě jeho činy.
- Jeden vzorek lze využít jen v jednom systému.
* Některé biometriky hodně o subjektu vypovídají.

Základní metody autentizace uživatelů jsou založeny na něčem,
- co nelze jednoduše zničit
* jsem
* znám

Řešení pro odesílání anonymních e-mailů jsou založena na:
* remailerech, u kterých rozlišujeme několik typů (tříd)
- využití účtu na freemailu (Seznam)
- anycastových sítích, remailerech a mixech
- anonymity před příjemcem lze dosáhnout velmi těžko
* broadcastových sítích, remailerech a mixech

Co to je pozitivní kompromitace statistické databáze?
- Nesmysl
* Opak částečné kompromitace (imho diskutabilní – pozn. autor)
- Kompromitace se zametením stop
- Opak negativní kompromitace
* Výsledkem zpřesněného dotazu je nenulový počet odpovědí

Projekt AN.ON poskytuje stejné služby jako
- Mixmaster.
- Mixminion.
* Onion routing.
* TOR.

K čemu se používají systémy řízení identity (IMS)?
- Systém pro správu veřejných klíčů s identifikátory
- K dlouhodobé archivaci odcizených identifikačních průkazů
* K návrhu a správě atributů identity

Výraz script kiddies označuje:
- Hackera, který píše skripty a odhaluje nové zranitelnosti systému. Má částečné
informace o systému.
* Útočníka, který nemá dostatek znalostí o systému a využívá běžně dostupné
předpřipravené nástroje na známé zranitelnosti, často způsobem pokus-omyl.
- Útočníka, který je schopen kreativně odhalovat nové zranitelnosti i bez
znalostí o systému.

Jaká rizika s sebou nese zasílání platebních karet a PINů poštou?
- Platební karta je skrze obálku vystavena tzv. napěťovým a teplotním útokům.
* Poštovní obálku lze během doručování ztratit.
* PIN může být skrze neporušenou obálku nepozorovaně přečten.
- Libovolná platební karta může být skrze neporušenou obálku snadno zkopírována.

Jak ověříme pravost certifikátu vydaného důvěryhodnou certifikační autoritou?
- Ověříme, zda je haš certifikátu shodná s haší uvedenou v certifikátu.
- Využijeme meta-certifikátu certifikační autority.
- Ověříme zda se shoduje název certifikační autority s názvem uvedeným na daném
certifikátu.
* Ověříme zda je certifikát podepsán danou certifikační autoritou.

Pravidla přístupu do počítačové sítě (FI) MU
- uživatel smí kopírovat programové vybavení jen pro potřeby svého ročníku
- v případě nutnosti je povoleno rekonfigurovat PC, které je pod správou CVT FI
* je zakázáno odposlouchávat provoz a vytvářet kopie poštovních zpráv
* je zakázáno pracovat pod cizí identitou
* je povoleno používat pouze legální software
- v počítačových učebnách a na počítačích FI je možné hrát pouze
legálně zakoupené hry

Jaké jsou základní vlastnosti kvalitativní analýzy rizik?
* Výstup není v nějaké konkrétní hodnotě, např. v určité částce
* Postup je do značné míry automatizovatelný
- Výstup je lehce srozumitelný
- Postup není automatizovatelný
* Výstup je nesrozumitelný
- Výstup je v nějaké konkrétní hodnotě, např. v určité částce

Protokoly SSL/TLS
* vyžadují zajištění vhodného systému správy (kryptografických) klíčů
- nepředstavují zvýšené nároky na výpočetní výkon komunikujících stran
* se chovají k protokolům aplikační vrstvy OSI modelu transparentně
- není vhodné používat ve starších operačních systémech pro 32bitové procesory
- není snadné integrovat do již existujících aplikací

Jaké byly důvody (a motivace) pro zavedení kritérií bezpečnosti?
* Potřeba minimalizace nákladů na individuální ohodnocení
- Snazší a rychlejší vývoj implicitně bezpečných systémů
- Jednalo se o chytrý marketingový tah výrobců špatně zabezpečených operačních
systémů
* Usnadnění specifikace požadavků na návrh a vývoj
- Standardizace kryptografických primitiv

PIN je u kreditních karet vyžadován, aby
- celý systém plateb kartami vypadal bezpečněji (ve skutečnosti však bezpečnost
vůbec nezvedá - je zde jen pro psychologický efekt)
* člověk, který kartu zcizí, ji nemohl snadno použít k platbám
* karta po okopírování šla obtížněji zneužít
- karta šla hůře okopírovat
- zajistil absolutní ochranu peněz před jakýmkoli útokem na bezpečnost karty

Která z těchto tvrzení jsou správná?
- Biometriky po analýze s využitím kryptografie o subjektu zprávy vypovídají.
- Biometrická data jsou tajná.
* Žádná z těchto odpovědi není správná.
- Jeden vzorek lze využít jen v jednom systému.

Pod pojmem riziko rozumíme:
- pravděpodobnost odhalení zranitelnosti.
* pravděpodobnost uplatnění hrozby.
- rozsah dopadu uplatnění hrozby.
- existenci zranitelnosti v systému a přítomnost útočníka, který ji může využít.

Remailer je
* služba pro anonymní posílání a příjem e-mailů
- část poštovního serveru, která se stará o opakování neúspěšných pokusů
- veřejný poštovní server (považovaný za chybně nakonfigurovaný)

Pokud má hašovací funkce vlastnost silné bezkoliznosti, znamená to, že:
* Je výpočetně neproveditelné nalézt dva libovolné navzájem různé vstupy
takové, aby byly výsledné haše pro oba vstupy stejné.
- Nelze nalézt dva navzájem různé vstupy takové, aby byly výsledné
haše pro oba vstupy stejné.
- Je výpočetně neproveditelné nalézt k danému vstupu jiný vstup tak, aby
byly výsledné haše pro oba vstupy stejné.
- Nelze nalézt dva navzájem různé vstupy takové, aby byly výsledné haše
pro oba vstupy stejné na alespoň 1/2 pozic.

Jaký způsob předání veřejného klíče je považován za důvěryhodný:
- vystavení na klíčový server.
- zaslání emailem s paralelním umístěním na webovou stránku.
* ověření otisku klíče telefonem.
* osobní předání na USB disku.
* zaslání důvěryhodným zprostředkovatelem.

Jak pracuje technika minimálního rozsahu dotazu ve statistických databázích?
- Žádná taková technika neexistuje.
- Pro vyhodnocení dotazu může být použito méně záznamů než je stanovená
minimální mez, ale pouze za zvláštních bezpečnostních opatření (např.
podpis dohody o mlčenlivosti).
- Žádná taková technika se ve statistických databázích nepoužívá.
* Pro vyhodnocení dotazu nesmí být použito méně záznamů než je
stanovená minimální mez.

Mezi obvyklé bezpečnostní politiky patří:
* Systémová bezpečnostní politika
* Celková bezpečnostní politika
- Interaplikační bezpečnostní politika
- Integrovaná bezpečnostní politika
- Horizontální bezpečnostní politika

Cibulové schéma používané např. v Onion Routing
* využívá symetrické i asymetrické kryptografie
- kryptografie se nepoužívá vůbec, není potřeba
- používá pouze asymetrickou kryptografii
- používá pouze symetrickou kryptografii, protože je rychlejší

Čipová kreditní karta bez mag. proužku
* obvykle obsahuje malý procesor
- obvykle neobsahuje procesor, přestože se jí tradičně říká "čipová"
* skýtá obvykle vyšší bezpečnost než karta s mag. proužkem (bez čipu)
- skýtá obvykle nižší bezpečnost než karta s mag. proužkem (bez čipu)

Pod pojmem slabá integrita dat rozumíme
- Data nesmí bez svolení autorizované osoby změnit svůj stav vůbec
- Data nesmí být bez svolení autorizované osoby zpracovávána na sémantické úrovni
* Data nesmí bez svolení autorizované osoby nepozorovaně změnit svůj stav

Jaké jsou základní vlastnosti kvantitativní analýzy rizik?
- Výstup není v nějaké konkrétní hodnotě, např. v určité částce
* Výstup je v nějaké konkrétní hodnotě, např. v určité částce
* Výstup je lehce srozumitelný
- Postup je plně automatizovatelný
- Výstup je nesrozumitelný
* Postup není automatizovatelný

Jaký je rozdíl mezi termíny security a safety?
- Je to to samé, čeština používá jen jeden termín - bezpečnost
* Security - stav ochrany IS proti ztrátám; safety - nedojde k
ohrožení lidského života
- Safety - stav ochrany IS proti ztrátám; security - nedojde k ohrožení
lidského života

V případě, že nespokojení uživatelé jsou "menší zlo" než neoprávnění uživatelé,
nastavíme biometrický systém tak, že bude mít FAR (False Acceptance Rate) a FRR (False Rejection Rate):
- nízkou hodnotu FRR a nízkou hodnotu FAR.
* vysokou hodnotu FRR a nízkou hodnotu FAR.
- vysokou hodnotu FAR a nízkou hodnotu FRR.
- vysokou hodnotu FRR a vysokou hodnotu FAR.

Pojmem tranzitivita důvěry označujeme:
* důvěru cizího uživatele X v náš veřejný klíč, pokud mu (našemu klíči, pozn. autora)
důvěřuje uživatel Y, kterému (uživateli Y, pozn. autora) důvěřuje uživatel X.
* důvěru ve veřejný klíč uživatele X, kterému důvěřuje uživatel Y,
kterému důvěřujeme my.
- takový termín neexistuje.
- důvěru uživatele X v náš veřejný klíč, pokud my důvěřujeme jeho
veřejnému klíči.
- důvěru v propagaci našeho veřejného klíče od uživatele X na uživatele Y.

Pod pojmem silná integrita dat rozumíme
- Data nesmí bez svolení autorizované osoby nepozorovaně změnit svůj stav
- Data nesmí být bez svolení autorizované osoby zpracovávána na sémantické
úrovni
* Data nesmí bez svolení autorizované osoby změnit svůj stav vůbec

Je lepší používat TOR nebo Mixminion?
- Jednoznačně Mixminion.
- Jednoznačně TOR.
- Ani jedno, ani druhé.
* Zaleží na tom, co chceme dělat.

Které dvě z těchto biometrických technik bývají obvykle nejlevnější s ohledem
na celkové náklady na nasazení u koncových uživatelů, resp. jejich pracovních stanic?
- vzor oční sítnice
- DNA
* dynamika psaní na klávesnici
* otisk prstu

Autentizace protokolem s nulovým rozšířením znalostí (zero-knowledge)
- zabrání prokazující se straně, aby se dozvěděla, jak zní tajemství,
které vlastní ověřovatel
- zabrání ověřovateli, aby se zároveň autentizoval prokazující se straně
* zabrání ověřovateli, aby se dozvěděl tajemství, které vlastní
prokazující se strana
- sdělí ověřovateli pouze počet nul v tajném klíči prokazující se strany
* zabrání ověřovateli, aby se mohl později neoprávněně vydávat za
prokazující se stranu

Co je cílem zajištění důvěrnosti dat?
- Zamezit změně sémantického obsahu dat neautorizovanými osobami
- Utajit existenci sémantiky dat před nedůvěryhodnými osobami
* Zabránit zjištění sémantického obsahu dat neutorizovanými osobami

Povinnosti správce osobních údajů:
* shromažďovat osobní údaje odpovídající pouze stanovenému účelu a
v rozsahu nezbytném pro naplnění stanoveného účelu
* uchovávat data pouze po dobu nezbytnou k jejich zpracování
- vkládat falešné záznamy, aby v případě krádeže dat nebylo možné snadno
posoudit jejich validitu
- archivovat data kódovaně, není-li řečeno jinak

Která z těchto tvrzení, pokud mluvíme o biometrických systémech, jsou
správná?
- Proces verifikace je náročnější než proces identifikace.
* Proces identifikace je náročnější než proces verifikace.
* Na začátku procesu identifikace není identita známa.
- Na začátku procesu identifikace je identita známa.

Autentizace je
* všechny ostatní možnosti jsou nepravdivé
- proces nezbytný pro ustavení šifrované komunikace u bezdrátového spojení
- volitelná (ale obvykle přítomná) fáze procesu prokazování identity
- překlep - správně je "autorizace"

Které z tvrzení o anonymitní množině neplatí
* nezáleží na chování uživatelů v dané skupině
- pro určení velikosti anonymitní množiny se užívá entropie
* velikost anonymitní množiny je smysluplný ukazatel
- záleží i na kontextových informacích v systému

Jakým způsobem je počítána analýza rizik metodou ALE (Annual Loss
Expentancy)
* ALE=SLExARO, kde SLE=Single Loss Expentancy a ARO=Annualized Rate of
Occurence
- ALE=SLO/ARE, kde SLO=Single Loss of Opportunity a ARE=Annualized Rate of
Executions
- ALE=SLE/ARO, kde SLE=Single Loss Expentancy a ARO=Annualized Rate of Occurence
- ALE=SLOxARE, kde SLO=Single Loss of Opportunity a ARE=Annualized Rate of
Executions
- ALE=SLE+ARO, kde SLE=Single Loss Expentancy a ARO=Annualized Rate of Occurence
- ALE=SLO+ARE, kde SLO=Single Loss of Opportunity a ARE=Annualized Rate of
Executions

Co je nejčastější příčinou bezpečnostních incidentů?
-