Tři nejčastější způsoby zneužití elektronického podpisu a jak se jim bránit

5 minut čtení

Podpis

Elektronické podpisy | PDF | Technologie

Elektronické dokumenty s právním účinkem jsou čím dál tím více v popředí zájmu firem, neboť jim usnadňují, zrychlují a zefektivňují komunikaci s partnery i s úřady.

Zvykáme si postupně na zabezpečení dokumentů a dat elektronickým podpisem a vnímáme vyšší bezpečnost elektronického podpisu proti ručně podepsanému dokumentu, u kterého je možnost ověření podpisu závislá na písmoznalci ověření není otázkou několika minut. Zajištění integrity a původce elektronického dokumentu připojeným elektronickým podpisem je dalším benefitem elektronicky podepisovaných dokumentů a dat.

Kybernetičtí útočníci samozřejmě ale s vyšší bezpečností systémů a prostředků pro elektronickou komunikaci rozšiřují způsoby, kterými hledají zranitelnosti a možnosti útoku. Vzhledem k tomu se objevují i útoky na elektronické podpisy.

Jak je to tedy s integritou a bezpečností samotného elektronického podpisu připojeného k dokumentu? Toto je důležité z hlediska následného ověření integrity podepsaného dokumentu.

Je třeba si uvědomit, že proces vytváření elektronického podpisu není předmětem útoku, nýbrž způsob ověření a následné zobrazení informace o výsledku ověření. Pokud ale formát podpisu odpovídá doporučeným referenčním formátům a tyto algoritmy respektuje i způsob ověřování, je pak aplikace, či služba vůči těmto útokům imunní a uživatel těchto bezpečných aplikací a služeb je v bezpečí.

Popíšeme si zde tři hrozby, nebo možné útoky na elektronický podpis a zabezpečení ověření elektronicky podepsaného dokumentu a jak je možné jim předcházet.

Hrozba číslo 1 – Universal Signature Forgery (USF) – Padělání digitálního podpisu

Cílem útoku není zamezit podepsání elektronického dokumentu, nebo podvržení podpisu, ale zamezit správnému ověření elektronického podpisu manipulací s vlastním objektem podpisu přidáním neplatného obsahu nebo odebráním referencí na objekt podpisu.

Tedy elektronický podpis existuje, objekt podpisu je v něm obsažen. Validační logika není schopna použít správné kryptografické operace potřebné k ověření podpisu právě v důsledku útoku USF, který tuto logiku podvrhl. Výsledkem úspěšného útoku je vizuálně správné ověření, ale nesprávné zobrazení informací o podepisující osobě zobrazené v informacích o výsledku ověření.

Hrozba číslo 2 – Incremental Saving Attack (ISA) – Útok využívající inkrementální přidávání obsahu do PDF dokumentu (Útok přidáváním obsahu)

Cílem tohoto útoku je využití legitimní vlastnost PDF formátu. Je běžné přidávat do PDF dokumentu poznámky, či anotace i po jeho podepsání. Útočník se nesnaží modifikovat elektronický podpis, ale dokument. Přidáním dalšího obsahu, který pak při zobrazení dokumentu mění jeho vizuální stránku předkládá pak uživateli vizuálně jiný obsah, než který podepisující osoba podepsala. Úskalí je tedy právě při již zmiňované validaci, kdy elektronický podpis, který se váže k podepsané části dokumentu je validován jako platný a neporušený, jsou zobrazeny správné informace o podepisující osobě a její identitě, ale vizuální podoba dokumentu se změnila.

Čistě technicky nejde o útok, ale o chytré využití vlastností PDF formátu. Útočník předpokládá, že validační logika aplikace, nebo služby tuto změnu nedetekuje a a uživatele nevaruje před manipulací s dokumentem po jeho podpisu.

Hrozba číslo 3 – Wrapping Signature (WA) – Útok vedený manipulací s offsety dokumentu

Tento útok využívá unikátní přístup jak obejít ochranu podpisu PDF dokumentu bez využití vlastností inkrementální ukládání – viz předchozí hrozba.

Jedná se o nejsofistikovanější hrozbu. Každý elektronický podpis v PDF dokumentu zaujímá ve struktuře dokumentu jistou, vyhrazenou část. Tato část je vyhrazena hranicemi, tak zvanými offsety. A pak je tu Informace, která říká, kde se tato vyhrazená oblast nachází, definuje umístění a délku offsetů – ByteRange.

Posunutím podepisované oblasti dokumentu za vyhrazenou částí pro podpis a šikovnou manipulací s offsety dosáhne útočník možnosti vložit do části, která je vyhrazena jen pro vlastní podpis další data do PDF dokumentu za účelem změny vizuální podoby dokumentu.

Touto manipulací s offsety útočník dosáhne toho, že validační logika aplikace nedetekuje změnu a porušení podpisu. Aplikace pak zobrazí i vloženou, původně nepodepisovanou část dokumentu. Útočník předpokládá, že aplikace nekontroluje, zda jsou v oblasti vyhrazené pro podpis pouze data podpisu.

Závěrem

Jak jsme předeslali v úvodu článku, tyto hrozby a útoky necílí na samotné vytvoření elektronického podpisu, ale na zobrazení PDF dokumentů a ověření jejich elektronických podpisů. Toto ověření provádí aplikace nebo služba, u které útočník předpokládá tuto zranitelnost.

Pokud chcete mít jistotu při práci s elektronickými dokumenty a zejména podepsanými elektronickými dokumenty používejte pro jejich podepisování a ověřování bezpečné aplikace a služby. Software602 pro své klienty tuto bezpečnost nabízí prostřednictvím aplikace Signer, která využívá kvalifikované služby ověřování platnosti elektronických podpisů pečetí a razítek. Tuto službu je možné integrovat do stávajících informačních systém či DMS systémů.

Zdroj: pdf-insecurity.org