Quanto è utile la firma PDF nell'uso del mondo reale?

1

Background senario: Quindi abbiamo avuto un problema in cui il nostro sistema (i lucidi widget di Alice) ha generato un PDF con una quota di preventivo per 10 widget. Qualcuno (Eve) prese il PDF, lo modificò per aumentare il prezzo del 20%, quindi presentò il PDF come richiesta di spesa al suo capo; sperando di intascare la differenza del 20%! Il capo (Bob) sapeva quale dovrebbe essere il prezzo normale e ci accusava di truffare i prezzi. Molto imbarazzante per l'amministratore delegato Alice. Fortunatamente abbiamo una copia di backup del PDF originale. Eve 'è stato lasciato andare' ...

L'amministratore delegato Alice ha detto che non voleva che succedesse di nuovo. Quindi CTO Charlie ha dichiarato: "Risolvi il problema con i PDF firmati"

La mia domanda è, sarà d'aiuto?

C'è qualcosa che impone a Bob di verificare se il PDF è stato firmato?

Che cosa impedisce a Eve di copiare il contenuto del PDF firmato, di modificarlo e di firmarsi (forse con cert chiamato "widget lucido di Alice z "?

    
posta DarcyThomas 15.08.2018 - 01:31
fonte

1 risposta

3

Se Alice firma il PDF prima di inviarlo a Bob, apparirà come segue:

fonte

Se Eve modifica qualcosa sul PDF, quando Bob lo apre, mostrerà qualcosa di simile a questo:

source

La firma contiene il certificato dell'emittente e se qualcuno, tranne Alice, firma il documento al suo posto, la firma non sarà valida e il lettore PDF mostrerà il messaggio firma non valida . Quello che Eva potrebbe fare è rimuovere la firma e modificare il PDF, simile a SSL-Strip su un PDF.

In che modo Alice potrebbe assicurarsi che la firma non sia stata rimossa? Poteva chiamare Bob e dire d'ora in poi, ogni singolo documento sarà firmato, senza eccezioni. E metti quel messaggio sul suo sito web. E su ogni email che invia. Quando Alice guadagna la reputazione di inviare solo email e documenti sicuri e firmati, poche persone accetteranno un documento contraffatto non firmato.

    
risposta data 15.08.2018 - 02:29
fonte

Leggi altre domande sui tag