Kann man eine verschlüsselte PDF-Datei lesen?

Der Forscher Fabian Ising zeigte auf dem Chaos Communication Congress die Grenzen der Stärke einer PDF-Verschlüsselung.

Gemäß den Spezifikationen des Dateiformats unterstützt PDF die Verschlüsselung durch den AES-Algorithmus mit dem Verschlüsselungsmodus Cipher Block Chaining. Daher kann jeder, der eine PDF-Datei verschlüsselt, sicher sein (zumindest theoretisch), dass ausschließlich Personen mit Zugriff auf das Kennwort den Inhalt der Datei sehen können. Ein Team bestehend aus Forschern mehrerer deutscher Universitäten machte sich die Untersuchung zur Sicherheit von PDFs zur Aufgabe und testete, wie zuverlässig die Implementierung der Verschlüsselung in diesem Format wirklich ist. Das Ergebnis, das Fabian Ising von der Fachhochschule Münster vorstellte, war enttäuschend.

Theoretisch verwenden Unternehmen verschlüsselte PDF-Dateien, um Daten über einen ungesicherten oder nicht vertrauenswürdigen Kanal zu übertragen, z. B., um eine Datei in einen Cloud-Speicher hochzuladen, auf den viele Menschen Zugriff haben. Die Forscher suchten nach einer Möglichkeit, die Quelldatei so zu ändern, dass bei der Passworteingabe die Informationen in der PDF-Datei an Dritte gesendet wurden, ohne dass die Änderungen dabei für den Empfänger sichtbar waren.

Die Forscher entwickelten zwei Angriffskonzepte, mit denen sie Dritten Zugriff auf die verschlüsselten Inhalte gewähren können. Darüber hinaus erfordert der erste Angriff (direkte Exfiltration) keine besonderen Kryptografiekenntnisse, sondern nur ein Verständnis für die PDF-Formatspezifikationen. Die Forscher nannten diesen Angriff „“hacking cryptography without touching cryptography“. Der zweite Angriff, der als Malleability-Angriff bezeichnet wird, ist komplizierter und setzt das Verständnis für die Blockchiffrenbetriebsart Cipher Block Chaining Mode voraus.

Wer verwendet verschlüsselte PDFs und warum?

Unternehmen finden viele Verwendungsmöglichkeiten für verschlüsselte PDFs.

  • Banken verwenden sie aus Gründen der Vertraulichkeit beim Austausch von Dokumenten mit Kunden.
  • Multifunktionsdrucker akzeptieren gescannte Dokumente per E-Mail und schützen PDFs durch Kennwörter, wenn der Absender die Option „in verschlüsselter Form“ auswählt.
  • Medizinische Diagnosegeräte verwenden sichere PDFs, um Testergebnisse an Patienten oder Ärzte zu senden.
  • Regierungsbehörden wie das US-Justizministerium akzeptieren eingehende Dokumente als verschlüsselte PDFs.

Eine Reihe von E-Mail-Plugins bieten die Möglichkeit, ein Dokument als verschlüsselte PDF zu senden. Demnach ist die Nachfrage nach Verschlüsselung da.

Direkter Exfiltrationsangriff

Durch das Verschlüsseln einer PDF-Datei wird nur der Inhalt verschlüsselt (d. h. Objekte in der Datei, die entweder als String (dt. Zeichenfolgen) oder als Streams gekennzeichnet sind). Die verbleibenden Elemente, die die Struktur des Dokuments bestimmen, bleiben unverschlüsselt. Anders gesagt, kann man immer noch die Anzahl und die Größe von Seiten, Objekten und Links ermitteln. Diese Informationen sollte man nicht potenziellen Angreifern überlassen, die möglicherweise damit einen Weg finden können, die Verschlüsselung zu umgehen.

Die Forscher fragten sich zunächst, ob sie der Datei ihre eigenen Informationen hinzufügen könnten. Theoretisch wäre es auf diese Weise möglich einen Exfiltrationskanal zu schaffen. Sie haben aus der Formatdokumentation die Erkenntnis gewonnen, dass PDFs eine differenzierte Kontrolle über die Verschlüsselung ermöglichen, sodass Sie beispielsweise nur Objekte vom Typ „String“ oder nur Objekte vom Typ „Stream“ verschlüsseln können, während andere Inhalte unverschlüsselt bleiben.

Darüber hinaus sind keine Integritätsprüfungen implementiert. Wenn man also einem verschlüsselten Dokument etwas hinzufügt, werden Benutzer nicht benachrichtigt. Dieses „etwas“ kann eine Aktionsfunktion zum Senden eines Formulars enthalten. Das bedeutet, dass man ein Formular in eine PDF-Datei einbetten kann, die Daten, beispielsweise den gesamten Inhalt des Dokuments, an Dritte sendet. Die Sendefunktion kann auch an eine Aktion wie durch Öffnen des Dokuments verknüpft und aktiviert werden.

Das ist nur ein Beispiel für Exfiltration, aber es gibt viele weitere Optionen. Angreifer können einen Link einfügen, mit dem der gesamte Inhalt der Datei in einer URL kopiert und auf die Website der Angreifer übertragen wird. Natürlich fragen einige PDF-Reader den Benutzer, bevor mit einer Website kommuniziert wird, aber nicht alle. Und auch nicht jeder Benutzer wird an mögliche Gefahren denken.

Malleability Angriff

Der zweite Angriff auf die PDF-Verschlüsselung nutzt einen bekannten Nachteil des CBC-Modus (Cipher Block Chaining), bei dem die Integritätskontrolle fehlt. Die Quintessenz dieses bekannten Angriffs ist, dass ein Angreifer, der einen Teil der verschlüsselten Plain Text Informationen kennt, den Inhalt eines Blocks ändern kann.

Andererseits werden jedes Mal, wenn Inhalte in einer PDF-Datei verschlüsselt werden, gemäß der PDF-Formatspezifikationen auch andere Berechtigungen verschlüsselt (z. B. Editierungsmöglichkeiten für den Autor, die anderen PDF-Readern nicht gewährt werden). In der Theorie wollte man so verhindern, dass Angreifer Berechtigungen manipulieren, die mit demselben AES-Schlüssel wie der Rest des Dokuments verschlüsselt sind.

Gleichzeitig werden diese Berechtigungen aber auch unverschlüsselt in der Datei gespeichert, wodurch Angreifer die CBC-Chiffrierung manipulieren können, um verschlüsselte Daten anzuvisieren und zu bearbeiten. So kann man beispielsweise einer verschlüsselten Datei einen Datenexfiltrationsmechanismus hinzufügen, um deren Inhalt auf eine Webseite eines Dritten zu kopieren.

Ergebnisse

Die Forscher testeten ihre Methoden mit 23 PDF-Readern und 4 Browsern. Alle waren zumindest teilweise anfällig für mindestens einen dieser Angriffe.

Übersicht: Sicherheitslücken von PDF-Viewern.

Tabellenübersicht der Schwachstellen von PDF-Viewern. Quelle.

Leider kann keine client-seitige Lösung die Schwäche des Formats vollständig beseitigen. Es ist nicht möglich, alle Exfiltrationskanäle zu blockieren, ohne das Format zu schädigen. Die Forscher setzten sich mit Softwareentwicklern in Verbindung und berichteten über die Probleme. Einige Unternehmen, darunter auch Apple, versuchten Abhilfe zu schaffen, indem sie die Zugriffsbenachrichtigungen hervorhoben. Andere Anbieter versuchten sich an der Fehlerbehebung, konnten aber „das Unmögliche nicht möglich machen“.

Wenn Sie vertrauliche Daten übertragen müssen, empfehlen wir, eine alternative Methode zur Sicherung dieser Informationen zu verwenden. Beispielsweise können Sie mit unseren Sicherheitslösungen verschlüsselte Container erstellen.

Tipps