Hightech

HIGHTECH

25.11.2022 - 17:30 | Schneider Electric GmbH
25.11.2022 - 17:10 | Schneider Electric GmbH
25.11.2022 - 13:55 | pressetext.redaktion

BUSINESS

26.11.2022 - 16:20 | dialog-Mail eMarketing Systems GmbH
25.11.2022 - 12:30 | pressetext.redaktion
25.11.2022 - 11:30 | Martschin & Partner

MEDIEN

25.11.2022 - 11:30 | pressetext.redaktion
25.11.2022 - 06:15 | pressetext.redaktion
24.11.2022 - 15:20 | FH St. Pölten

LEBEN

26.11.2022 - 12:15 | Verein VICTIMS MISSION
25.11.2022 - 10:30 | pressetext.redaktion
25.11.2022 - 07:40 | Dr. Regina EWALD & Partner Gruppenpraxis für Allgemeinmedizin OG
pte20210525022 Forschung/Entwicklung, Technologie/Digitalisierung

Sicherheitslecks hebeln PDF-Zertifizierung aus

Zweite Vertragspartei kann laut RUB-Wissenschaftlern völlig unbemerkt den Text ändern


Digitale Signatur: RUB-Forscher finden Sicherheitsleck (Foto: Tim Kramer/rub.de)
Digitale Signatur: RUB-Forscher finden Sicherheitsleck (Foto: Tim Kramer/rub.de)

Bochum (pte022/25.05.2021/10:30) - Eine Sicherheitslücke in den zertifizierten Signaturen von PDF-Dokumenten könnten Cybergangster für den Abschluss von Verträgen nutzen, wie Forscher der Ruhr-Universität Bochum (RUB) http://rub.de entdeckt haben. Die zertifizierte PDF-Signatur erlaubt zwar gewisse Änderungen im Dokument nach dem Signieren, damit auch die zweite Vertragspartei unterzeichnen kann. Dennoch kann diese mit ihrer digitalen Unterschrift dank der Sicherheitslücke auch unbemerkt den Vertragstext ändern, ohne dass die Zertifizierung dadurch ungültig würde.

Integrität umgehbar

Bei Nutzung der zertifizierten Signaturen kann die Partei, die das Dokument ausstellt und zuerst unterzeichnet, festlegen, welche Änderungen die andere Partei anschließend noch vornehmen kann. Möglich ist es etwa, Kommentare hinzuzufügen, Text in speziellen Feldern einzufügen oder eine zweite digitale Unterschrift unter das Dokument zu setzen.

Mit den Angriffen "Sneaky Signature Attack" und "Evil Annotation Attack" konnten die Bochumer Forscher die Integrität der geschützten PDF-Dokumente umgehen. Dem Team war es somit möglich, statt der zertifizierten Inhalte falsche Inhalte in dem Dokument anzuzeigen, ohne dass die Zertifizierung dadurch ungültig wurde oder PDF-Anwendungen eine Warnung ausgaben.

24 von 26 PDFs geknackt

Die IT-Sicherheitsexperten haben 26 PDF-Anwendungen getestet; in 24 davon konnten sie die Zertifizierung mit mindestens einem der Angriffe brechen. Außerdem waren in elf der Anwendungen die Spezifikationen für PDF-Zertifizierungen nicht korrekt implementiert. Die detaillierten Ergebnisse sind online veröffentlicht und abrufbar unter: http://bit.ly/3wy1y8c

(Ende)
Aussender: pressetext.redaktion
Ansprechpartner: Florian Fügemann
Tel.: +43-1-81140-313
E-Mail: fuegemann@pressetext.com
Website: www.pressetext.com
|
|
98.795 Abonnenten
|
204.660 Meldungen
|
84.629 Pressefotos

IR-NEWS

27.11.2022 - 15:00 | Nowea Energy Inc.
26.11.2022 - 14:02 | Bank für Tirol und Vorarlberg AG
26.11.2022 - 10:00 | SCI AG
Top