pressmaster - Fotolia

P
Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

¿Se puede confiar en las firmas digitales de los PDF?

Las firmas digitales en documentos PDF no necesariamente garantizan que sus contenidos sean válidos, ya que una nueva investigación muestra que las implementaciones de los visores no siempre detectan firmas incompletas.

El formato de archivo PDF tiene la capacidad de incrustar firmas digitales en documentos. Estos documentos PDF firmados digitalmente son populares, particularmente dentro de entidades gubernamentales como el sistema eIDAS de la Unión Europea.

¿Pero qué tan seguras son estas firmas digitales en PDF? Un equipo de la Universidad de Bochum en Alemania evaluó qué tan bien los lectores de PDF implementaron la firma digital, y publicaron los resultados que mostraron una imagen catastrófica de la seguridad de las firmas de PDF. Con algunos trucos, los investigadores pudieron engañar a todos los visores de PDF que pudieron encontrar que admiten la verificación de firmas de PDF. La situación no fue mucho mejor para los servicios de validación de firmas en línea como DocuSign, donde funcionaron ataques similares.

Los investigadores utilizaron varios ataques diferentes, pero el núcleo del problema es que una firma digital PDF es un concepto relativamente complejo. La firma no necesariamente cubre todo el documento: un documento PDF puede estar parcialmente firmado y se pueden agregar modificaciones adicionales al documento después de que se aplicó la firma.

Los visores de PDF hacen un mal trabajo en este respecto. Si bien, en general podían detectar modificaciones simples para documentos parcialmente defectuosos, los visores podían ser engañados. Algunos de los ataques se basaron en tomar un documento PDF que ya estaba firmado digitalmente y modificarlo de manera que la firma todavía se considerara válida para todo el documento, aunque el contenido del documento se modificó por completo. Otros ataques se basaron en el uso de firmas defectuosas que podrían crearse sin el conocimiento de la clave privada criptográfica que el código de validación todavía consideraría válido.

Las preocupaciones sobre la seguridad de las firmas PDF no son nuevas. En 2010, el experto en seguridad Florian Zumbiehl demostró un ataque similar, pero no recibió mucha atención.

Los ataques muestran que implementar correctamente la validación de la firma digital en PDF es difícil y fácilmente conduce a fallas en la implementación. Este es un patrón común, en particular con los estándares criptográficos más antiguos: aunque en teoría son seguros, a menudo contienen fallos que hacen muy probable que el software real que implementa el estándar contenga debilidades fatales. Al utilizar productos que validan las firmas digitales en PDF, los usuarios deben preguntar al proveedor si la implementación ha sido analizada por expertos en criptografía.

Investigue más sobre Protección de datos empresarial

¿Qué necesita resolver?

Por favor, añada un título para su pregunta

Obtenga respuestas de un experto de TechTarget en lo que sea que necesite resolver

Usted será capaz de añadir detalles en la siguiente página

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close