آیا می‌شود یک پی‌دی‌افِ رمزگذاری‌شده را خواند؟

11 اسفند 1398 آیا می‌شود یک پی‌دی‌افِ رمزگذاری‌شده را خواند؟

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ پی‌دی‌اف از رمزگذاری پشتیبانی می‌کند؛ این پشتیبانی در حقیقت با استفاده از الگوریتم AES در حالت رمزنگاری Cipher Block Chaining میسر می‌شود. بنابراین، دست کم به لحاظ تئوری می‌توان گفت هر کسی که فایل پی‌دی‌اف را رمزگذاری کند می‌تواند مطمئن شود تنها کسی که رمزعبور دارد قادر است محتوای آن فایل را ببینند. تیمی از محققین از چندین دانشگاه آلمان در پی مطالعات پیوسته‌ی خود روی امنیت پی‌دی‌اف، میزان مطمئن بودن پیاده‌سازی رمزگذاری روی این فرمت را مورد آزمایش قرار دادند. فابیان ایسینگ از داگشاه مونستر علوم کاربردی نتایج تحقیقات تیم خود را ارائه داد- نتایج مأیوس‌کننده بود.

در نظریه چنین است که شرکت‌ها برای انتقال داده‌ها از طریق کانالی نامطمئن یا ناامن (بعنوان مثال) از پی‌دی‌اف‌های رمزگذاری‌شده استفاده می‌کنند تا فایل به ذخیره‌گاه کلود که بسیاری از افراد بدان دسترسی دارند آپلود گردد. محققین به دنبال روشی برای دستکاری فایل منبع بودند بطوریکه وقتی پسورد وارد شود اطلاعات داخل پی‌دی‌اف به طرف‌سوم ارسال گشته و در عین حال گیرنده هیچ تغییر ملموسی مشاهده مشاهده نکند. پژوهشگران دو مفهوم حمله ساختند که بدان‌ها اجازه می‌داد تا به طرف‌سوم اجازه‌ی دسترسی به محتوای رمزگذاری‌شده بدهند. افزون بر این، اولین حمله (استخراج مستقیم) به هیچ مهارت رمزنگاری خاصی نیاز ندارد- تنها درک ویژگی‌های فرمت پی‌دی‌اف کفایت می‌کند. این محققین نامش را «هک کردن رمزنگاری بدون لمس رمزنگاری» گذاشتند. حمله دوم نامش حمله‌ی انعطاف‌پذیر است؛ حمله‌ای بس پیچیده‌تر که درک حالت Cipher Block Chaining را می‌طلبد.

چه کسی از پی‌دی‌اف‌های رمزنگاری‌شده استفاده می‌کند و چرا؟

کسب و کارها از پی‌دی‌اف‌های رمزنگاری‌شده به دلیل مزایایی که دارد زیاد استفاده می‌کنند.

  • بانک‌ها از آن برای تبادل داکیومنت‌ها با مشتریان خود استفاده می‌کنند.
  • ممکن است پرینترهای چندکاره درصورتیکه فرستنده گزینه in encrypted form را انتخاب کرده باشد فایل‌های پی‌دی‌اف پسورددار را قبول کنند.
  • دستگاه‌های تشخیص بیماری مربوط به خدمات پزشکی نیز از پی‌دی‌اف‌های امن برای ارسال نتایج آزمایش به بیمار استفاده می‌کنند.
  • آژانس‌های دولتی همچون وزارت دادگستری آمریکا داکیومنت‌های ورودی در قالب پی‌دی‌اف‌های رمزگذاری‌شده را می‌پذیرد.

تعدادی از پلاگین‌های اپ ایمیل هستند که قابلیت ارسال داکیومنت در قالب پی‌دی‌اف رمزنگاری‌شده را ارائه می‌دهند، بنابراین به وضوح می‌توان فهمید تقاضا برای فرمت رمزنگاری‌شده‌ی پی‌دی‌اف زیاد است.

حمله استخراج مستقیم

رمزنگاری کردن فایل پی‌دی‌اف تنها محتوا را رمزنگاری می‌کند (منظور چیزهای داخل فایل است که یا بدان رشته یا جریان می‌گویند). آیتم‌های باقیمانده هستند که ساختار داکیومنت را تعیین می‌کنند. به بیانی دیگر، شما همچنین می‌توانید از تعداد و ابعاد صفحات سر درآورده و لینک‌ها را مشاهده کنید. چنین اطلاعاتی نباید دم دست مهاجمین بالقوه قرار گیرد؛ همان‌هایی که می‌توانند از این داده‌ها برای مهندسی کردن روش دور زدن رمزنگاری استفاده کنند. محققین ابتدا مانده بودند آیا می‌توانند اطلاعات خود را به فایل اضافه کننده یا نه- به طور نظری این کار بدان‌ها اجازه می‌داد تا کانالی برای استخراج اختراع کنند. آن‌ها از داکیومنت‌سازیِ فرمت متوجه شدند که پی‌دی‌اف‌ها روی رمزنگاری‌های این‌چنینی اجازه‌ی کنترل بسیاری می‌دهند. به عنوان مثال شما می‌توانید تنها چیزهایی با نوع رشته با چیزهایی با نوع جریان رمزنگاری کنید و همین باعث می‌شود بقیه‌ی محتوا عریان و رمزنگاری‌نشده باقی بماند. افزون بر این، هیچ بررسی یکپارچگی هم صورت نمی‌گیرد؛ بنابراین اگر «چیزی» به یک داکیومنت رمزنگاری‌شده اضافه کنید، کاربران هیچ هشداری دریافت نخواهند کرد. این «چیزی» ممکن است شامل یک تابع فرم پذیرش باشد بدان معنا که شما می‌توانید فرمی را در فایل پی‌دی‌اف که ارسال داده انجام می‌دهد جاگذاری کنید- بعنوان مثال کل محتوای داکیومنت به یک طرف‌سوم. این تابع می‌تواند به عملی چون باز کردن داکیومنت نیز گره خورده باشد. مثال بالا فقط یکی از نمونه‌های استخراج بود. مهاجمین ممکن است یک لینک ساده را با کل محتوای فایل اضافه‌شده به یوآرال در سایت خود بگذارند. یا می‌توانند از جاوااسکریپت برای ارسال محتوای رمزگشایی‌شده در هرجا که بخواهند استفاده نمایند. البته که برخی پی‌دی‌اف‌خوان‌ها پیش از ارتباط با وبسایتی، با کاربران هماهنگ می‌کنند اما همه‌ی آن‌ها این کار را انجام نمی‌دهند- و هر کاربری هم پیش از اجازه دادن به آن فکر نخواهد کرد.

حمله انعطاف‌پذیری

حمله دوم روی پی دی‌اف رمزنگاری‌شده حالت Cipher Block Chaining را به کار می‌بندد که فاقد کنترل یکپارچگی است. جوهره‌ی این حمله‌ی شناخته‌شده این است که مهاجم که واقف به بخشی از اطلاعات متن ساده‌ی رمزنگاری‌شده است می‌تواند محتوای یک بلوک را تغییر دهید. با این حال، طبق مشخصه‌های فرمت پی‌دی‌اف هر بار محتوای داخل فایل پی‌دی‌اف رمزگذاری می‌شود همچنین مجوزهای مختلف را نیز رمزگذاری می‌کند (بعنوان مثال به نویسنده توانایی ویرایش داکیومنت و جلوگیری از پی‌دی‌اف‌خوانی ساده برای انجام این کار را می‌دهد). از حیث تئوری، این کار برای جلوگیری از مهاجمین برای دستکاری مجوزها صورت می‌گیرد، مجوزهایی که با همان کلید رمزگذاری بقیه‌ی داکیومنت‌ها رمزنگاری می‌شود (AES). در آن واحد، این مجوزها همچنین در فایل (در قالب رمزگذاری‌نشده) ذخیره می‌شوند. این یعنی مهاجمین به طور پیش‌فرض می‌دانند 12 بایت فایل چه هست و در نتیجه می‌توانند با Cipher Block Chaining ور رفته و داده‌های رمزگذاری‌شده را مورد هدف قرار داده و دستکاری کنند. برای مثال اضافه کردن این مکانیزم استخراج داده به فایل رمزنگاری‌شده برای ارسال محتواها به فایل آن هم برای سایتی طرف‌سوم.

نتایج

محققین متودهای خود را روی 23 پی‌دی‌ا‌ف‌خوان و 4 مرورگر آزمایش کردند و پی بردند هر یک از آن‌ها دست‌کم تا حدی به حداقل یکی از این حملات آسیب‌پذیری نشان دادند.

متأسفانه هیچ راه‌حل کلاینت نمی‌تواند تماماً ضعف این فرمت را تخفیف دهد. امکان ندارد بشود همه‌ی کانال‌های استخراج را بدون فلج کردن بخشی از فرمت بلاک کرد. محققین با توسعه‌دهندگان این نرم‌افزار تماس گرفتند و مشکلات را گزارش دادند. برخی از شرکت‌ها از جمله اپل نیز سعی کردند با نوتیفیکیش تأکید کنند فایل دارد به سایتی طرف‌سوم دسترسی پیدا می‌کند. بقیه‌ شرکت‌ها هم گفتند دارند تلاش خود را می‌کنند اما همچنان نتوانستند جلوی این مشکل را بگیرند. یکی از توصیه‌های ما به شما اگر می‌خواهید داده‌های محرمانه خود را انتقال دهید استفاده از متود جایگزین امنیت‌دهی اطلاعات است. بعنوان مثال از راهکارهای ما برای ساخت کانتینرهای رمزگذاری‌شده استفاده کنید.

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.

محصولات مرتبط

  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    72,443,100 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    65,201,550 ریال130,403,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    78,242,550 ریال156,485,100 ریال
    خرید
  • Kaspersky Small Office Security

    250,670,100 ریال
    خرید
  • Kaspersky Small Office Security

    91,283,550 ریال182,567,100 ریال
    خرید
  • Kaspersky Small Office Security

    291,966,600 ریال
    خرید
  • Kaspersky Small Office Security

    104,324,550 ریال208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    333,987,600 ریال
    خرید
  • Kaspersky Small Office Security

    117,365,550 ریال234,731,100 ریال
    خرید
  • Kaspersky Small Office Security

    375,284,100 ریال
    خرید
  • Kaspersky Small Office Security

    119,539,050 ریال239,078,100 ریال
    خرید
  • Kaspersky Small Office Security

    382,529,100 ریال
    خرید
  • Kaspersky Small Office Security

    168,442,800 ریال336,885,600 ریال
    خرید
  • Kaspersky Small Office Security

    539,021,100 ریال
    خرید
  • Kaspersky Small Office Security

    217,346,550 ریال434,693,100 ریال
    خرید
  • Kaspersky Small Office Security

    695,513,100 ریال
    خرید
  • Kaspersky Small Office Security

    262,627,800 ریال525,255,600 ریال
    خرید
  • Kaspersky Small Office Security

    840,413,100 ریال
    خرید
  • Kaspersky Small Office Security

    498,090,300 ریال996,180,600 ریال
    خرید
  • Kaspersky Small Office Security

    1,593,893,100 ریال
    خرید
  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,238,100 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,086,060 ریال10,860,600 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد