Digitale PDF-Signaturen: „Aktualisieren Sie Ihren PDF Viewer!“

Ein Forscherteam der Ruhr-Universität Bochum hat drei potenzielle Methoden entdeckt, PDF-Dokumente zu manipulieren und digitale Signaturen zu umgehen. A-Trust gibt Tipps, wie man sich schützen kann. [...]

Bei den entdeckten Methoden handelt es sich laut Informationen von A-Trust um theoretische Angriffsszenarien. (c) Pixabay
Bei den entdeckten Methoden handelt es sich laut Informationen von A-Trust um theoretische Angriffsszenarien. (c) Pixabay

Ein Forscherteam der Ruhr-Universität Bochum hat drei potenzielle Methoden entdeckt, PDF-Dokumente zu manipulieren und digitale Signaturen zu umgehen. A-Trust Tipps, wie man sich schützen kann.

Bei den entdeckten Methoden handelt es sich laut Informationen von A-Trust um theoretische Angriffsszenarien, tatsächliche Manipulationsversuche sind nicht bekannt. Die Untersuchung zeige Schwachstellen bei nicht aktualisierten PDF Viewern auf – die qualifizierte elektronische Signatur selbst sei nicht betroffen.

In der Untersuchung werden drei potenzielle Angriffsmöglichkeiten beschrieben:

  • USF: Universal Signature Forgery
  • ISA: Incremental Saving Attack
  • SWA: Signature Wrapping Attack

Bei den ersten beiden Methoden (USF und ISA) kann durch Manipulationen des signierten Dokuments der Viewer dazu gebracht werden, das PDF gültig anzuzeigen. Hier rät A-Trust dringend dazu, den PDF Viewer auf den neuesten Stand zu aktualisieren, womit die Lücke geschlossen sei.

Unternehmen, die „trotzdem auf Nummer sicher gehen wollen“, empfiehlt A-Trust PDFs auf der entsprechenden Site zu verifizieren.

Das A-Trust Prüf-Tool zeigt manipulierte PDFs als nicht gültig an – „eine Verifizierung über unsere Homepage ist jedoch nicht notwendig, wenn die Software auf dem aktuellen Stand ist“, so A-Trust.

Bei der dritten Methode (SWA) wird im Contents Block der Signatur eine neue ByteRange gesetzt. Dies sei nur möglich, wenn im Signaturblock Contents vor ByteRange geschrieben werde. „Alle Software-Produkte der A-Trust setzen ByteRange vor Contents und sind deshalb nicht anfällig“, so die Anbieter-Aussagen.

Bezüglich der A-Trust Signaturbox sagt das Unternehmen: „A-Trust Signaturbox-Kunden müssen sich keine Sorgen machen: Das Verifikationsmodul in der Signaturbox ist die gleiche Software-Version wie jene auf der Homepage – jedes manipulierte Dokument wurde in unseren Tests erfolgreich erkannt.“

Werbung


Mehr Artikel

Whitepaper

Auf dem Weg zum Labor 4.0

In diesem E-Book erfahren Sie, wie sich Smart-Lab-Pläne und -Ziele am besten umsetzen lassen, worauf bei Technologie- und Partnerentscheidungen zu achten ist und was Labor-Experten aus Wirtschaft und Wissenschaft empfehlen. […]

News

A1 bietet Apple Watch mit eSIM

Seit 14. Juni ist die Apple Watch Series 4 mit LTE-Funktion bei A1 verfügbar. Es ist die erste Apple-Smartwatch, bei der alle Funktionen ohne iPhone in der Nähe verwendet werden können. Möglich macht das eine eSim-Karte, die vollständige Mobilfunkfunktionen bietet. A1 ist der erste Provider in Österreich dafür. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*


Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahren Sie mehr darüber, wie Ihre Kommentardaten verarbeitet werden .