PDF-Verschlüsselung kann großflächig ausgehebelt werden

Logo, Adobe, Pdf, Acrobat, Acrobat Reader DC, Adobe PDF Reader Bildquelle: Adobe
Wenn man Informationen in PDF-Dokumenten vor unbefugten Blicken schützen will, sollte man sich nicht auf die integrierte Verschlüsselung verlassen. Denn diese wies erhebliche Schwächen auf und konnte von Angreifern effektiv ausgehebelt werden. Sicherheitsforscher der Ruhr-Universität Bochum und der Fachhochschule Münster haben herausgefunden, dass es dabei gar nicht nötig ist die Verschlüsselung selbst zu knacken oder auch das Passwort herauszufinden. Denn der Schutz der Informationen lässt sich auch durch sehr viel einfachere Manipulationen an der PDF-Datei selbst aushebeln - zumindest bei einer Reihe von PDF-Readern.

Der Angreifer muss dafür lediglich Zugang zu dem geschützten Dokument bekommen - beispielsweise indem er eine E-Mail abfängt oder aber Zugang zu einem Netzwerkspeicher hat, in dem viele Nutzer ihre Dokumente ablegen. Dann genügt es, einige zusätzliche Steuerbefehle in die Datei einzufügen - denn die Verschlüsselung kodiert nur den Inhalt, nicht aber die gesamte Struktur eines PDFs.

Krypto knacken unnötig

Wenn der rechtmäßige Nutzer nun die Datei öffnet und das benötigte Passwort eingibt, ist der Schaden bereits angerichtet. Denn die enthaltenen Informationen sind dann über die genannten Befehle bereits an den Angreifer geschickt worden. Das funktionierte im Test mit 27 verschiedenen Reader-Programmen für Windows, MacOS und Linux. Auch bekannte Tools wie Adobe Acrobat und Foxit waren betroffen.

Die Sicherheitsexperten haben die Hersteller über die Probleme informiert und im Grunde sollten inzwischen alle betroffenen Anwendungen ein Update erhalten haben. Trotzdem kann aus Security-Perspektive nur davon abgeraten werden, die integrierte PDF-Verschlüsselung zu verwenden, da diese schlicht nicht den anerkannten Standards der Kryptographie entspricht. Wer Inhalte schützen will, sollte seine Dokumente lieber mit Tools wie GPG komplett verschlüsseln oder sie eben in einen VeraCrypt-Container legen.

Download VeraCrypt - TrueCrypt-Nachfolger für Vollverschlüsselung Download Gpg4Win - Dateien sicher verschlüsseln Logo, Adobe, Pdf, Acrobat, Acrobat Reader DC, Adobe PDF Reader Logo, Adobe, Pdf, Acrobat, Acrobat Reader DC, Adobe PDF Reader Adobe
Diese Nachricht empfehlen
Kommentieren10
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Videos zum Thema PDF

Tipp einsenden