web-dev-qa-db-ja.com

セキュリティで保護されたPDFは本当に安全ですか?

セキュリティで保護されたPDF /クラックについての回答をインターネットでググってみましたが、大量のものが見つかりました。しかし、そのほとんどはかなり古いものです。したがって、誰かが以下が現代でもまだ有効であることを確認できますか?.

pDFには2つのパスワードを設定できます。マスターは、印刷や編集などの特定の操作を実行できないようにするマスターパスワードです。これはドキュメントリーダーソフトウェアに基づいているため、「簡単に」ハッキングできます(したがって、自分でリーダーを作成した場合、ドキュメント内のすべてのセキュリティチェックをバイパスできます)。

2番目のパスワードは、ユーザーパスワード(またはオープンパスワード)であり、ドキュメント自体を暗号化して、ドキュメントを開いて読み取ることができます。これがないと、まったくアクセスできません。クラックするのはかなり難しいです(大量のCPUが必要です)。

私は正しいですか?

リンク:以下は、私が興味深いと思ったリンクの一部です。

次のホワイトペーパー「How Secure Is PDF?」by Bryan Guignard http://www.cs.cmu.edu/~dst/Adobe/Gallery/PDFsecurity.pdf 最高にまとめていますが、2000年に遡るpdf v1.3と記載されています。

この問題は、Adobe Acrobat 9を使用して2008年にも存続しました。

LockLizardの一般的な問題のセクションにもこのペーパーへのリンク http://www.locklizard.com/pdf_security_news/ があり、ページを最新の状態に保つようです。

最後に、このペーパー http://www.besthackingtricks.com/how-to-open-password-protected-pdf-documents-pdf-password-remover/ はほぼ同じことを述べていますが、 2015年8月。

7
user1909791

「許可」パスワードについてあなたが言ったことは正しいです。特定のリーダー(主にカスタムメイド)は、それを無視することを選択でき、権限を強制しません。

「マスター」パスワードについて... Adob​​e Acrobat XIはPDFドキュメント自体を暗号化するためにパスワードまたは証明書の両方の使用をサポートします。プレーンパスワードの使用はデフォルトで128ビットに設定されていますAES暗号化レベル。このアルゴリズムは強力ですが、明らかに強力なキーも必要です。128ビットAESはAcrobat 7以降でサポートされています。AcrobatX以降を見ると、アルゴリズムサポートは256ビットです。 AES。

証明書オプションでは、「すべてのドキュメントコンテンツ」、「メタデータ以外のコンテンツ」、または「添付ファイルのみ」が許可されます。ここでのアルゴリズムは128-RC4で6.0、7.0 128-AES、9.0 256-AESです。

また、XIにはLifeCycleの権限管理機能があることにも注意してください。しかし、それを調べる時間はありませんでした。

2
dark_st3alth

スティーブがコメントしたように、これは非常に幅広いトピックです。質問への回答を助けるためにいくつかの領域に触れ、何を拡張すべきかを知らせます。あなたが「安全」と言っているのを見ました。ここで、ユーザー名/パスワード認証の観点から、またはPDF悪意のあるコードを含むことの観点から、安全であることを意味しますか?

セキュリティ保護されたPDFファイルのユーザーパスワードなどの任意のデータに対するユーザー名/パスワード認証は、ブルートフォース攻撃の対象となる可能性があります。この領域でのセキュリティは、辞書の単語を使用していないなどの状況によって異なります。短いパスワードなど。同じ注意として、世界で最も安全なパスワードを設定できますが、同じパスワードを使用したい攻撃者がPDFをお使いのコンピュータにキーロガーを持っている場合、妥協したと考えてください。

PDFファイルに悪意のあるコードが含まれている可能性があるという点でセキュリティを意味する場合:いくつかの方法があります。多くのメールサービスにはAVが組み込まれており、一部のサービスは他のサービスよりも優れています。 AVをバイパスする複数の方法。

両方のレベルで、

1
Henry F