Der Forscher Fabian Ising zeigte in seiner Rede auf dem Chaos Communication Congress die Grenzen der Stärke der PDF-Verschlüsselung auf. Gemäß den Spezifikationen des Dateiformats unterstützt PDF die Verschlüsselung, wobei der AES-Algorithmus mit dem Verschlüsselungsmodus Cipher Block Chaining verwendet wird.
Daher kann – zumindest theoretisch – jeder, der eine PDF-Datei verschlüsselt, sicher sein, dass nur jemand, der das Passwort hat, sehen kann, was in der Datei enthalten ist.
Lassen sich verschlüsselte PDFs Dateien lesen?
In Fortsetzung der Studie zur PDF-Sicherheit testete ein Forscherteam mehrerer deutscher Universitäten, wie zuverlässig die Verschlüsselungsimplementierung in diesem Format ist. Fabian Ising von der Fachhochschule Münster präsentierte ihre Ergebnisse – und diese waren enttäuschend.
Theoretisch verwenden Unternehmen verschlüsselte PDFs, um Daten über einen ungesicherten oder nicht vertrauenswürdigen Kanal zu übertragen – zum Beispiel, um eine Datei auf einen Cloud-Speicher hochzuladen, auf den viele Personen Zugriff haben.
Die Forscher suchten nach einer Möglichkeit, die Quelldatei so zu modifizieren, dass bei der Eingabe des Passworts die Informationen in der PDF-Datei an einen Dritten gesendet werden, ohne dass die Änderungen für den Empfänger sichtbar sind.
Die Forscher entwickelten zwei Angriffskonzepte, mit denen sie einer dritten Partei Zugang zu den verschlüsselten Inhalten gewähren konnten. Darüber hinaus erfordert der erste Angriff (direkte Exfiltration) keine besonderen kryptographischen Fähigkeiten – nur das Verständnis der Spezifikationen des PDF-Formats.
Die Forscher nannten es „Hacking der Kryptographie, ohne die Kryptographie zu berühren“. Der zweite Angriff, der als Formbarkeitsangriff bezeichnet wird, ist komplizierter und erfordert ein Verständnis des Cipher-Block-Chaining-Modus.
Wer verwendet verschlüsselte PDFs und warum?
Unternehmen finden viele Anwendungen für verschlüsselte PDFs.
- Banken nutzen sie für den vertraulichen Austausch von Dokumenten mit Kunden.
- MFPs können gescannte Dokumente per E-Mail und kennwortgeschützte PDFs akzeptieren, wenn der Absender die Option „in verschlüsselter Form“ auswählt.
- Medizinische Diagnosegeräte verwenden sichere PDFs, um Testergebnisse an Patienten oder Ärzte zu senden.
- Regierungsbehörden wie das US-Justizministerium akzeptieren eingehende Dokumente als verschlüsselte PDF-Dateien.
Eine Reihe von E-Mail-Anwendungs-Plugins bieten die Möglichkeit, ein Dokument als verschlüsseltes PDF zu versenden, so dass eine Nachfrage nach dieser Option eindeutig besteht.
Direkter Exfiltrationsangriff
Bei der Verschlüsselung einer PDF-Datei wird nur der Inhalt verschlüsselt (d. h. die Objekte in der Datei, die entweder als Strings oder als Streams charakterisiert sind). Die übrigen Objekte, die die Struktur des Dokuments bestimmen, bleiben unverschlüsselt.
Mit anderen Worten: Sie können immer noch die Anzahl und Größe der Seiten, Objekte und Links herausfinden. Diese Informationen sollten nicht potentiellen Angreifern überlassen werden, die damit einen Weg finden können, die Verschlüsselung zu umgehen.
Die Forscher fragten sich zunächst, ob sie der Datei ihre eigenen Informationen hinzufügen könnten – theoretisch könnten sie so einen Exfiltrationskanal erfinden.
Aus der Dokumentation des Formats lernten sie, dass PDFs eine granulare Kontrolle über die Verschlüsselung ermöglichen, so dass man beispielsweise nur Objekte vom Typ „String“ oder nur Objekte vom Typ „Stream“ verschlüsseln kann, während andere Inhalte unverschlüsselt bleiben.
Außerdem sind keine Integritätsprüfungen implementiert, so dass die Benutzer nicht gewarnt werden, wenn diese einem verschlüsselten Dokument etwas hinzufügen. Dieses „Etwas“ könnte eine Aktionsfunktion für das Einreichen von Formularen beinhalten, d.h. Angreifer könnten ein Formular in eine PDF-Datei einbetten, das Daten – z.B. den gesamten Inhalt des Dokuments – an eine dritte Partei sendet. Die Funktion kann auch an eine Aktion wie das Öffnen des Dokuments gebunden werden.
Dies ist nur ein Beispiel für die Exfiltration, aber es gibt viele Möglichkeiten. Angreifer könnten einen einfachen Link zu ihrer Website setzen, wobei der gesamte Inhalt der Datei der URL hinzugefügt wird.
Oder sie könnten JavaScript verwenden, um den entschlüsselten Inhalt überall hin zu senden. Natürlich überprüfen einige PDF-Reader den Benutzer doppelt, bevor sie mit einer Website kommunizieren, aber nicht alle – und nicht jeder Benutzer wird nachdenken, bevor er es zulässt.
Angriff auf die Verformbarkeit
Der zweite Angriff auf die PDF-Verschlüsselung nutzt einen bekannten Nachteil des Cipher-Block-Chaining (CBC)-Modus, bei dem die Integritätskontrolle fehlt.
Der Kern dieses bekannten Angriffs besteht darin, dass ein Angreifer, der einen Teil der verschlüsselten Klartextinformationen kennt, den Inhalt eines Blocks ändern kann.
Gemäß den Spezifikationen des PDF-Formats werden jedoch jedes Mal, wenn der Inhalt einer PDF-Datei verschlüsselt wird, auch unterschiedliche Berechtigungen verschlüsselt (z. B. die Möglichkeit für den Autor, das Dokument zu bearbeiten, und die Möglichkeit für einen einfachen Leser, dies zu tun, wird verweigert).
Theoretisch wurde dies getan, um Angreifer daran zu hindern, die Berechtigungen zu manipulieren, die mit demselben AES-Schlüssel wie der Rest des Dokuments verschlüsselt sind.
Gleichzeitig werden diese Berechtigungen auch in der Datei in unverschlüsselter Form gespeichert. Das bedeutet, dass Angreifer standardmäßig wissen, was 12 Bytes der Datei sind, und als Folge davon können sie die Cipher Block Chaining manipulieren, um verschlüsselte Daten gezielt zu manipulieren, z.B. durch Hinzufügen des Datenexfiltrationsmechanismus zu der verschlüsselten Datei, um den Inhalt der Datei an eine Website eines Dritten zu senden.
Ergebnisse
Die Forscher testeten ihre Methoden an 23 PDF-Readern und 4 Browsern. Sie fanden jeden von ihnen zumindest teilweise anfällig für mindestens einen dieser Angriffe.
Leider kann keine kundenseitige Lösung die Schwäche des Formats vollständig ausgleichen. Es ist nicht möglich, alle Exfiltrationskanäle zu blockieren, ohne das Format zu beschädigen.
Die Forscher haben sich an Software-Entwickler gewandt und über die Probleme berichtet, und einige der Unternehmen, darunter Apple, versuchten zu helfen, indem sie die Benachrichtigung, dass die Datei auf eine Website eines Drittanbieters zugreift, hervorhoben. Andere sagten, sie hätten es versucht, konnten aber das „Unbehebbare nicht beheben“.
Geek, Blogger, Consultant & Reisender. Auf seiner Detail-Seite findest du weitere Informationen über Benjamin. In seiner Freizeit schreibt Benjamin bevorzugt über Technik-Themen. Neben Anleitungen und How-To’s interessieren Benjamin auch Nachrichten zur IT-Sicherheit. Sollte die Technik nicht im Vordergrund stehen, geht Benjamin gerne wandern.