Sicherheitslecks hebeln PDF-Zertifizierung aus
Zweite Vertragspartei kann laut RUB-Wissenschaftlern völlig unbemerkt den Text ändern
Digitale Signatur: RUB-Forscher finden Sicherheitsleck (Foto: Tim Kramer/rub.de) |
Bochum (pte022/25.05.2021/10:30) Eine Sicherheitslücke in den zertifizierten Signaturen von PDF-Dokumenten könnten Cybergangster für den Abschluss von Verträgen nutzen, wie Forscher der Ruhr-Universität Bochum (RUB) http://rub.de entdeckt haben. Die zertifizierte PDF-Signatur erlaubt zwar gewisse Änderungen im Dokument nach dem Signieren, damit auch die zweite Vertragspartei unterzeichnen kann. Dennoch kann diese mit ihrer digitalen Unterschrift dank der Sicherheitslücke auch unbemerkt den Vertragstext ändern, ohne dass die Zertifizierung dadurch ungültig würde.
Integrität umgehbar
Bei Nutzung der zertifizierten Signaturen kann die Partei, die das Dokument ausstellt und zuerst unterzeichnet, festlegen, welche Änderungen die andere Partei anschließend noch vornehmen kann. Möglich ist es etwa, Kommentare hinzuzufügen, Text in speziellen Feldern einzufügen oder eine zweite digitale Unterschrift unter das Dokument zu setzen.
Mit den Angriffen "Sneaky Signature Attack" und "Evil Annotation Attack" konnten die Bochumer Forscher die Integrität der geschützten PDF-Dokumente umgehen. Dem Team war es somit möglich, statt der zertifizierten Inhalte falsche Inhalte in dem Dokument anzuzeigen, ohne dass die Zertifizierung dadurch ungültig wurde oder PDF-Anwendungen eine Warnung ausgaben.
24 von 26 PDFs geknackt
Die IT-Sicherheitsexperten haben 26 PDF-Anwendungen getestet; in 24 davon konnten sie die Zertifizierung mit mindestens einem der Angriffe brechen. Außerdem waren in elf der Anwendungen die Spezifikationen für PDF-Zertifizierungen nicht korrekt implementiert. Die detaillierten Ergebnisse sind online veröffentlicht und abrufbar unter: http://bit.ly/3wy1y8c
(Ende)Aussender: | pressetext.redaktion |
Ansprechpartner: | Florian Fügemann |
Tel.: | +43-1-81140-313 |
E-Mail: | fuegemann@pressetext.com |
Website: | www.pressetext.com |