File PDF crittografato con la mia password, vuol dire che la mia password è memorizzata in testo normale?

Naviga le tue risposte
4

Ogni mese, ricevo un file PDF (Portable Document Format) crittografato con la mia busta paga. Posso aprire il file per leggere con la mia password. Senza fornire la mia password, non posso affatto aprire il file.

Significa che chiunque abbia creato il file PDF ha accesso alla mia password in un formato recuperabile? Oppure possono crittografare il PDF utilizzando l'hash o qualche altra funzione non recuperabile o una coppia di password, simile a come funziona la crittografia a chiave pubblica / privata?

Il formato è PDF-1.4 .

Nota che, a quanto ho capito, la mia domanda è diversa da questa domanda . L'altra domanda riguarda un PDF che può essere aperto con restrizioni , come le restrizioni per copia-incolla o stampa. La mia domanda riguarda un file PDF che non può essere aperto affatto prima della decodifica. In secondo luogo, le risposte fornite indicano che la sicurezza è debole, ma non rispondono alla mia domanda principale se questa crittografia implica che il creatore del PDF abbia accesso a una password recuperabile (testo in chiaro o crittografato).

Modifica: intendo chiedergli se è memorizzato sul loro sistema. Non intendo chiedere se è memorizzato nel file.

    
posta gerrit 29.09.2015 - 12:52
fonte

1 risposta

5

Whether this encryption implies the creator of the PDF has access to the plaintext password?

Secondo me, la risposta alla tua domanda è: stanno memorizzando la tua password in un formato recuperabile.

Suppongo che questo sia lo scenario (perché non eri chiaro a riguardo): hai un account su un sito web. Stai generando un documento PDF utilizzando l'applicazione. Questo documento può essere aperto (Nota: password per aprire e non password per modificare / copiare / stampare) con la password del tuo account sul sito web. È corretto?

La crittografia di un PDF avviene solitamente utilizzando RC4 o AES, un algoritmo simmetrico. Ciò significa che viene generata una chiave che viene utilizzata per crittografare e decodificare il documento PDF.

Ora questa chiave deve essere generata usando la tua password e quella chiave viene utilizzata per crittografare il PDF. Solo loro saresti in grado di inserire la tua password e decrittografarla.

Spero che questo risponda alla tua domanda principale relativa alla memorizzazione della password della tua applicazione in un formato recuperabile.

Modifica: fai riferimento ai seguenti documenti aggiuntivi:

  1. Riferimento PDF per PDF-1.4 - Pagina 71 in poi
  2. Protezione PDF
  3. The algoritmo non documentato

Da questi tre collegamenti, questo è quello che ho raccolto:

  1. PDF-1.4 utilizza chiavi di bit RC4-128 per la crittografia.
  2. Il manuale di riferimento di Adobe afferma che l'algoritmo utilizzato per la generazione della chiave non è documentato.
  3. La chiave di crittografia utilizza la password dell'utente (password da aprire), la password del proprietario (password da modificare) e le autorizzazioni per generare la password.

Inoltre dalle informazioni che hai fornito, non penso che la chiave sia inizialmente creata e archiviata. La maggior parte delle applicazioni utilizza un modulo plugin per creare PDF che generano le chiavi e crittografano in movimento.

Pertanto, penso che la tua password sia archiviata in un formato recuperabile.

    
risposta data 29.09.2015 - 13:38
fonte

Leggi altre domande sui tag

Perché questo attacco utilizza 0.0.0.0 come indirizzo IP e perché ha funzionato? La crittografia è possibile per TCP / IP simplex (unidirezionale) e, in caso affermativo, come?