Quali sono le vulnerabilità dell'utilizzo di un file PDF crittografato a 256 bit tramite e-mail?

Naviga le tue risposte
2

Spesso spedisco documenti riservati ad altri usando file PDF crittografati (cioè file con una password utente, e in genere con una password del proprietario) per prevenire sia i forward accidentali che lo snooping. Questi sono in genere generati dalla funzione di esportazione PDF di LibreOffice. Comprendo che il formato PDF per Acrobat 9.0 e versioni successive utilizza una crittografia AES 256 e presumo che le versioni recenti di LibreOffice generino lo stesso, anche se non riesco a trovare dettagli su questo.

Quali sono le possibili vulnerabilità in un tale metodo? Soprattutto quando si utilizza un servizio di posta elettronica pubblico come Gmail (dove si presuppone che il contenuto di tutte le e-mail di testo in chiaro sia già al governo e chissà chi altro) e che invii i file come allegati.

    
posta Community 23.12.2013 - 10:37
fonte

2 risposte

7

Poiché è protetto da una password utente, è vulnerabile agli attacchi brute force / dictionary a meno che non si scelga una password veramente lunga e complessa. Non importa se stai usando AES 128 o 256 se la tua password è il link più debole. Qualcuno che ha intercettato la tua email potrebbe provare a forzare la password per leggere il tuo file PDF.

Se vuoi che il tuo documento sia più sicuro, Adobe supporta l'uso di basato su PKI crittografia e firme digitali per mitigare il problema dell'utilizzo di password deboli. Tuttavia, questo richiede l'uso di certificati. Durante la crittografia, il computer del publisher genera in modo casuale una chiave simmetrica (fino a AES256) e crittografa quella chiave per la chiave pubblica asimmetrica di ciascun destinatario da includere nel documento con il contenuto crittografato della chiave simmetrica. In cambio, il computer destinatario utilizza la propria chiave privata per decodificare la chiave simmetrica e quindi decrittografare il documento.

La chiave generata casualmente dovrebbe avere un'entropia molto più alta della tua password per mitigare i tentativi di forza bruta.

    
risposta data 23.12.2013 - 11:15
fonte
1
  1. Esistono strumenti per incrinare le password di crittografia dei file, incluso il PDF. Poiché utilizza AES-256, progettato per essere veloce, è possibile che qualcuno faccia attacchi al dizionario e al dizionario ibrido sul file a ritmi di milioni al secondo. Utilizzando un servizio pubblico, consenti a chiunque abbia accesso alle cassette postali, come i dipendenti di Google, di cimentarsi in un attacco offline. Se il PDF è rotto, non lo saprai mai.
  2. Si perde la negazione che hai inviato il messaggio. L'oggetto, il corpo e le intestazioni della posta codificata MIME rivelano tutti i dettagli della posta che potrebbero divulgare informazioni sul contenuto e l'intenzione del messaggio.

Se è necessario inviare un PDF crittografato a un destinatario, non utilizzare un protocollo in cui un server centralizzato può fungere da intermediario. Invece, utilizzare un client peer-to-peer, in cui l'unico modo possibile per intercettare il file è sniffare pacchetti sui router e switch nel percorso. Inoltre, assicurarsi che il software client peer-to-peer supporti la crittografia da client a client. Anche se il PDF può essere crittografato, ti consigliamo di crittografare il resto dei dati del pacchetto IP, per evitare la formazione di perdite sul contenuto dei pacchetti.

Tuttavia, il modo migliore per trasferire i file in modo sicuro è utilizzare un traferro. In altre parole, Internet non è mai coinvolto. Quindi le agenzie governative senza volto non possono nemmeno tentare l'ispezione approfondita dei pacchetti e il cracking dei pacchetti crittografati, che potrebbero anche essere generati con software a cui l'agenzia ha una backdoor. Invece, crea il file, crittografalo, trasferiscilo su una chiavetta USB e trasferiscilo fisicamente al destinatario in questione.

    
risposta data 24.12.2013 - 02:07
fonte

Leggi altre domande sui tag

Se il file robots.txt di un sito Web di grandi aziende non ha sezione Disallow, significa che sono libero di scrivere codice per eseguire la scansione del loro sito Web? [chiuso] Come bloccare le scansioni di rete con pfsense?