Hightech

HIGHTECH

28.11.2023 - 14:45 | FH St. Pölten
28.11.2023 - 14:00 | BellEquip GmbH
28.11.2023 - 11:30 | pressetext.redaktion

BUSINESS

28.11.2023 - 20:40 | PRIVATE EQUITY Rosinger Anlagentechnik GmbH & Co KG
28.11.2023 - 13:59 | pressetext.redaktion
28.11.2023 - 09:50 | IG Windkraft

MEDIEN

28.11.2023 - 12:30 | pressetext.redaktion
28.11.2023 - 06:05 | pressetext.redaktion
27.11.2023 - 13:30 | pressetext.redaktion
pte20210525022 Forschung/Entwicklung, Technologie/Digitalisierung

Sicherheitslecks hebeln PDF-Zertifizierung aus

Zweite Vertragspartei kann laut RUB-Wissenschaftlern völlig unbemerkt den Text ändern


Digitale Signatur: RUB-Forscher finden Sicherheitsleck (Foto: Tim Kramer/rub.de)
Digitale Signatur: RUB-Forscher finden Sicherheitsleck (Foto: Tim Kramer/rub.de)

Bochum (pte022/25.05.2021/10:30) Eine Sicherheitslücke in den zertifizierten Signaturen von PDF-Dokumenten könnten Cybergangster für den Abschluss von Verträgen nutzen, wie Forscher der Ruhr-Universität Bochum (RUB) http://rub.de entdeckt haben. Die zertifizierte PDF-Signatur erlaubt zwar gewisse Änderungen im Dokument nach dem Signieren, damit auch die zweite Vertragspartei unterzeichnen kann. Dennoch kann diese mit ihrer digitalen Unterschrift dank der Sicherheitslücke auch unbemerkt den Vertragstext ändern, ohne dass die Zertifizierung dadurch ungültig würde.

Integrität umgehbar

Bei Nutzung der zertifizierten Signaturen kann die Partei, die das Dokument ausstellt und zuerst unterzeichnet, festlegen, welche Änderungen die andere Partei anschließend noch vornehmen kann. Möglich ist es etwa, Kommentare hinzuzufügen, Text in speziellen Feldern einzufügen oder eine zweite digitale Unterschrift unter das Dokument zu setzen.

Mit den Angriffen "Sneaky Signature Attack" und "Evil Annotation Attack" konnten die Bochumer Forscher die Integrität der geschützten PDF-Dokumente umgehen. Dem Team war es somit möglich, statt der zertifizierten Inhalte falsche Inhalte in dem Dokument anzuzeigen, ohne dass die Zertifizierung dadurch ungültig wurde oder PDF-Anwendungen eine Warnung ausgaben.

24 von 26 PDFs geknackt

Die IT-Sicherheitsexperten haben 26 PDF-Anwendungen getestet; in 24 davon konnten sie die Zertifizierung mit mindestens einem der Angriffe brechen. Außerdem waren in elf der Anwendungen die Spezifikationen für PDF-Zertifizierungen nicht korrekt implementiert. Die detaillierten Ergebnisse sind online veröffentlicht und abrufbar unter: http://bit.ly/3wy1y8c

(Ende)
Aussender: pressetext.redaktion
Ansprechpartner: Florian Fügemann
Tel.: +43-1-81140-313
E-Mail: fuegemann@pressetext.com
Website: www.pressetext.com
|
|
98.912 Abonnenten
|
213.576 Meldungen
|
87.940 Pressefotos

IR-NEWS

28.11.2023 - 18:06 | Edel SE & Co. KGaA
28.11.2023 - 18:05 | ForestFinance Capital GmbH
28.11.2023 - 17:15 | Uzin Utz SE
Top