Hlavní navigace

Podvržené jméno a změna PDF po podepsání? Pro většinu PDF čteček žádný problém

Jaromír Kuba

Před časem jsme v rámci vývoje aplikace pro elektronický podpis dokumentů PDF přišli na pár zranitelností. Chyby jsme nahlásili autorům postižených programů, mezi které patří i celosvětově používané prohlížeče a editory PDF.

Doba čtení: 3 minuty

Sdílet

Obdrželi jsme jednu odpověď. Prakticky nulovou reakci si vykládáme tak, že nahlášená zjištění nepovažují autoři programů za bezpečnostní problém, takže jistě nemají nic proti tomu, abychom upozornili již nyní na možná rizika. Součástí článku je i postup, jak hrozbu rozpoznat ještě před zveřejněním oprav.

Nyní již konkrétně: Při vývoji software jsme drobně upravili knihovnu Podofo a velmi brzy přišli na to, že díky úpravám některé PDF prohlížeče zobrazí jako autora elektronického podpisu libovolnou osobu, kterou si vybereme. Že nemůže být PDF elektronicky podepsáno Albertem Einsteinem, protože jmenovaný nežije? Minimálně podle některých programů může.


Dokument výše je podepsán kvalifikovaným certifikátem, který je vystaven na jméno Bc. Jaromír Kuba. Časové razítko je rovněž od certifikační autority Postsignum. Problém vidíme v tom, že skutečného autora podpisu příjemce odhalí až ve chvíli, kdy začne detailně zkoumat informace o certifikátu. To je z našeho pohledu již pozdě, neboť informace o platném podpisu a úspěšném ověření drtivou většinu uživatelů ubezpečí, že je vše v pořádku.

Daná věc nás zaujala natolik, že jsme se rozhodli oblast elektronického podpisu PDF prozkoumat detailněji. Další výsledek na sebe nenechal dlouho čekat – podařilo se nám experimentálně upravit elektronicky podepsané PDF z Českého telekomunikačního úřadu a přidat do něj větu, aniž by se tím původní podpis zneplatnil. Samozřejmě možné úpravy nejsou omezeny jen na přidávání, fantazii se meze nekladou.


Liknavou reakci ze strany vývojářů považujeme za velmi nešťastnou, neboť nedávno byly odhaleny podobné chyby, viz podrobnosti na stránce pdf-insecurity.org. Na stránce jsou již zveřejněny technické detaily, což naprosto přirozeně zaujalo velkou skupinu lidí. Dle našeho názoru není otázkou, zda se danou věcí někdo zabývá. V tomto případě je na místě se ptát spíše na počet lidí a na to, jak jsou daleko.

V popisu práce máme i školení, proto jsme toho využili a dovolili si otestovat reakci přítomných osob. „Vhodně připravené“ soubory PDF neodhalil nikdo. I z toho důvodu vznikl tento článek, chceme jednotlivá potenciální rizika popsat a upozornit na to, jak odhalit PDF pozměněné po podepsání či soubor s podvrženou podepisující osobou.

V tuto chvíli ještě nezveřejníme technické detaily, cílem je vyvinout veřejný tlak na autory PDF programů a donutit je k odpovídající reakci. Jinak samozřejmě počítáme se zveřejněním zdrojových kódů a vzorových souborů PDF na GitHubu, pokud možno až po odpovídající reakci softwarových společností.

Současný stav potenciálně ohrožuje důvěryhodnost elektronické komunikaci nejen v oblasti státní správy, nechceme nikoho inspirovat např. k přepsání elektronicky podepsaného dokumentu na platební rozkaz.

Jak dané chyby odhalit již nyní

Pro odhalení první chyby (podvržený podpis) je třeba zobrazit si vždy informace o certifikátu a nespoléhat se na ujištění, že podpis je platný a byl ověřen, viz níže. Pro demonstrační účely jsme do pole signatury neumisťovali obvyklý znak Adobe Acrobatu. Stáhněte si příklad souboru s úpravou.


Odhalení druhé chyby (úprava podepsaného dokumentu) je složitější a vyžaduje použití programu, kde se chyba neprojevuje. Mezi zástupce patří např. Abbyy FineReader a Nitro Pro (včetně volně šiřitelného prohlížeče). Nicméně v případě obou zmíněných programů musíme varovat před nevhodným chováním v případě první chyby. Z FineReaderu je první screenshot v tomto článku, z Nitro Pro obrázek níže.


Soubor s upraveným dokumentem v tomto případě zatím nezveřejníme, abychom jím nedali do ruky konkrétní návod. Máme to ale v plánu udělat později, jakmile zveřejníme celý postup. Redakce Root.cz má dokument k dispozici.

Závěrečná doporučení

Dojde-li vám elektronicky podepsaný soubor, na jehož základě by mělo dojít k převodu větší částky peněz, ověřte si u zdroje jeho autentičnost. Očekáváme, že specialisté na informační bezpečnost neřekli v oblasti elektronicky podepsaných dokumentů poslední slovo, např. my se chystáme zaměřit i na oblast autorizované konverze.

Zároveň tímto vyzývám vývojáře aplikací, které ze souborů PDF berou informace o podepisující osobě např. pro automatické vedení spisové služby, aby nás kontaktovali. Rádi poskytneme bližší informace a konkrétní vzorové soubory, pomocí nichž je možné otestovat konkrétní chování aplikací.