Recientemente hemos leído que un Equipo de académicos de la Universidad Ruhr de Bochum (Alemania) han sido capaces de descifrar las firmas digitales utilizadas en el formato PDF de Adobe.
De esta forma, en teoría, podrían alterar los documentos PDF mientras que las firmas parecían seguir siendo válidas.
Las soluciones de edatalia no se encuentran entre las vulneradas por estos investigadores: aportamos los productos más seguros en el mercado de firma digital. edatalia diseña y desarrolla soluciones de e-firma siguiendo los más altos estándares de seguridad, como el algoritmo SHA512 que utilizamos por defecto en nuestras soluciones, o el resellado de firma con timestamp, que permite alcanzar la firma longeva PAdES-LTV y firma de archivo PAdES-A. Por tanto, nuestras soluciones no se ven afectadas por esos ataques.
Los académicos publican que han sido capaces de utilizar tres variantes de exploit que les permitieron modificar documentos PDF. De esta forma, han podido engañar a la mayoría de los lectores de PDF de escritorio y herramientas de verificación en línea. Las tres técnicas de ataque se llaman Universal Signature Forgery (USF), Incremental Saving Attack (ISA) y Signature Wrapping Attack (SWA), siendo la primera la manipulación de los metadatos de la firma.
El segundo ataque utiliza una característica legítima de la especificación de PDF, que permite actualizaciones de un archivo PDF, esencialmente para ocultar el documento existente y crear uno nuevo, mientras que el Attack de envoltura de firmas implica engañar a la lógica de verificación de firma para procesar los datos falsificados.
La vulnerabilidad afectó en primera instancia a 21 de los 22 lectores de PDF de escritorio analizados, y cinco de los siete servicios de firma de PDF.
Las aplicaciones vulnerables incluyen Acrobat Reader de Adobe, Foxit Reader y LibreOffice, mientras que los servicios en línea DocuSign y Evotrust estuvieron entre los que se vieron afectados.
Los investigadores dicen que Con nuestros ataques, podemos usar un documento firmado existente … y cambiar el contenido del documento de manera arbitraria sin invalidar la firma»,
Dijeron que, por ejemplo, se podría falsificar una factura de Amazon Alemania para indicar un reembolso de $ 1 billón (£ 750 mil millones) sin comprometer la firma de la factura. Acceso al PDF de ejemplo.
La información técnica detallada está aquí
Es importante recalcar el problema no reside en el momento de firmar el documento PDF sino en el lector que valida la firma.
Es decir, no han sido capaces de alterar un documento firmado, no de crackear una firma electrónica. Sino que han podido engañar a las aplicaciones de visualización (como AdobeReader), en el momento en el que validan las firmas.
Una vez que el documento está firmado, se suele enviar al cliente para que lo visualice (principalmente con Adobe Reader y otros visores estándar).
Adobe ha actuado de manera eficiente y las últimas versiones de Adobe Reader ya no muestran el fichero de ejemplo como válido. Nuestra recomendación es mantener versiones de Adobe Reader acutalizadas a la última.
Para acceder a la noticia completa en www.silicon.co.uk pulse aquí
Seguridad de documentos: Los archivos PDF son cada vez más utilizados por las empresas y los gobiernos en lugar de documentos en papel. Las firmas digitales garantizan la procedencia de un documento y que se ha mantenido inalterado desde que se firmó. Por tanto, desempeñan un papel importante en la garantía de la seguridad de esos documentos.
Para acceder a la normativa europea de firma electrónica, pulse aquí .
