裁剪用品

Signature Wrapping Attack是最顺利的

发布时间:2022-08-22

来自鲁尔大学波鸿的研究人员称,他们曾经设法操纵新发觉的缝隙打破了PDF文件中的数字签名系统。他们可以或许正在22个颠末测试的桌面PDF查看器中的21个上建立假签名,包罗Adobe Acrobat Reader和Foxit。 该团队还可以或许正在八个正在线PDF数字签名办事中的六个中做同样的工作,包罗像DocuSign和Evotrust如许的出名人士。 研究人员正在受影响的使用法式和办事修补已识此外缝隙后于周日的博客文章中发布了他们的查询拜访成果。

正在过去的几年中,数字签名的PDF曾经越来越遍及,按照Adobe Sign,该公司仅正在2017年就处置了多达80亿个电子和数字签名。 很多国度/地域接管数字签名的PDF做为无效。 因而,PDF签名手艺中的任何缝隙城市发生严沉影响。

“增量保留(ISA)PDF规范的功能,答应通过附加更改来更新PDF文件。 例如,该功能用于存储PDF正文,或正在编纂文件时添加新页面,“团队弥补道。

因为所有受影响的办事和使用法式都已更新以上述缝隙,”该团队正在注释SWA的博客文章中写道。因而必需当即更新PDF查看器以避免成为被黑客入侵的PDF的者。SWA通过将原始签名的内容从头定位到文档中的分歧并正在分派的插入新内容来定位签名验证逻辑,“正在PDF文件中,

“Universal Signature Forgery(USF)的次要思惟是签名中的元消息,使方针查看器使用法式打开PDF文件,找到签名,但无法找到所有需要的数据进行验证, “研究人员指出。

同样,通过正在线PDF签名办事,只要一个设法检测到和歇息的办事落入了ISA或SWA,但设法避免了USF。

按照研究人员的博客文章 ,他们可以或许利用三种数字签名PDF中的数据 - 通用签名伪制(USF),增量保留(ISA)和签名包拆(SWA)。 他们发觉,正在22个选定的桌面PDF查看器中,只要一个可以或许检测到PDF签名操做,所有不雅众都无法接管一次或多次,Signature Wrapping Attack是最成功的。


友情链接:
本网站所刊载信息,不代表拉菲1登入观点。 刊用本网站稿件,务经书面授权。
未经授权禁止转载、摘编、复制及建立镜像,违者将依法追究法律责任。
Copyright 2009-2022 http://www.ymcome.com. All Rights Reserved 网站地图