|
Eine scheinbare Echtheit war allen ausreichendWer hat sich nicht schon darüber geärgert, dass die Steuersoftware Elster das Signieren und die Verschlüsselung mit wirklich sicherer Ende-zu-Ende Verschlüsselung mit GPG/PGP (Pretty Good Privacy) nicht akzeptiert. Aber die trauen ja auch der Identifikation mit dem ePerso nicht, wo ja der Staat für die Sicherheit garantieren sollte ;-) Was hat das mit dem Thema zu tun?In den USA können Dokumente an die Steuerbehörde als PDF Dateien mit einer PDF-eigenen Signatur unterschrieben werden. Viele Regierungen und Behörden nutzen für ihren ""Schriftverkehr" PDF Dokumente, in der EU sind sie Teil des Signatursystems eIDAS, in Österreich werden alle offiziellen Regierungsdokumente damit signiert. Nun hat sich ein Team der Ruhr-Universität Bochum die Signaturprüfung von zahlreichen PDF-Betrachtern genauer angesehen. Die Ergebnisse:
Lediglich der uralt-Adobe Reader unter Linux fiel nicht darauf hinein, allerdings wird er seit Jahren von Adobe nicht mehr gepflegt und hat diverse andere Sicherheitsmängel. Was sind nun die Fehler?Das Bochumer Team hat drei verschiedene Tricks gefunden, mit denen die Signatur in PDF Dokumenten zu überlisten war:
Gerade die letzte Methode wurde auch schon bei Angriffen auf XML Dokumente genutzt und müsste eigentlich leicht zu beheben sein, wenn es unmöglich wäre PDF-Signaturen nicht zwangsweise auf das gesamte Dokument zu berechnen. Im Gegensatz zur oben gelobten PGP Signatur und Verschlüsselung, wo der Beginn und das Ende des signierten/verschlüsselten Bereichs deutlich les- und sichtbar sind, ist dies bei PDF Dateien nicht möglich. Man muss also nur noch das kleine signierte Dokument im großen gut verstecken oder unsichtbar machen. Die Forscher waren erstaunt, dass sich vor ihnen scheinbar noch niemand, auch nicht die betroffenen Regierungs- und Steuerbehörden, um die Sicherheit der Signatur in PDF Dateien gekümmert hatte. Für einige PDF Viewer gibt es inzwischen Updates. Mehr dazu bei https://www.golem.de/news/sicherheitsluecken-pdf-signaturen-faelschen-leicht-gemacht-1902-139589.html Category[21]: Unsere Themen in der Presse Short-Link to this page: a-fsa.de/e/31z Link to this page: https://www.aktion-freiheitstattangst.org/de/articles/6804-20190225-sicherheitsluecken-in-pdf-signaturen.html Link with Tor: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/6804-20190225-sicherheitsluecken-in-pdf-signaturen.html Tags: #Adobe #PDF #Signatur #Verschlüsselung #Cyberwar #Hacking #Trojaner #Cookies #Verschlüsselung #Transparenz #Informationsfreiheit #Steuerbehörde #Regierungsdokumente #USA #EU #ePerso Created: 2019-02-25 09:20:02 Hits: 1215 Leave a Comment |
CC license European Civil Liberties Network Bundesfreiwilligendienst We don't store your data World Beyond War Use Tor router Use HTTPS No Java For Transparency |