Можно Ли Удалить Или Отменить Цифровую Подпись В Документе Pdf?

Атака

Сна­чала давай раз­берем­ся с уяз­вимостью. Пред­ста­вим, что у нас есть Али­са (под­писыва­ет документ) и Боб (получа­ет под­писан­ный Али­сой документ) и, естес­твен­но, сам документ. Али­са сво­им сер­тифика­том под­писала документ и отпра­вила его Бобу.

Боб уве­рен в том, что документ под­линный, так как он с под­писью. Но вот что будет, если документ готови­ла не Али­са (она толь­ко под­писала) и отправ­ляла тоже не она? Ата­ка с под­меной содер­жимого под­писан­ного докумен­та обыч­но про­исхо­дит в три эта­па.

  1. Ха­кер готовит документ, в котором при­сутс­тву­ет так называ­емое теневое содер­жимое. Это мож­но срав­нить с пус­тым лис­том в сши­том догово­ре, куда мож­но добавить фраг­мент пос­ле под­писания.
  2. Ха­кер отправ­ляет этот документ Али­се. Али­са под­писыва­ет его и отправ­ляет обратно хакеру. Хакер меня­ет содер­жимое докумен­та так, что­бы не сло­мать под­пись.
  3. Ха­кер отправ­ляет изме­нен­ный документ Бобу. Боб уве­рен в том, что документ нас­тоящий, и обра­баты­вает его.

О сущес­тво­вании этой уяз­вимос­ти упо­мина­лось еще в 2021 году, ког­да PDF соот­ветс­тво­вал спе­цифи­кации ISO 19005-3. Одна­ко пос­ле выхода новой вер­сии фор­мата хакеры про­вели оче­ред­ное иссле­дова­ние и прив­лекли вни­мание ком­паний, раз­рабаты­вающих прог­рам­мное обес­печение для работы с PDF.

Есть три спо­соба изме­нить содер­жимое уже под­писан­ного докумен­та: скры­тие, замена, а так­же скры­тие и замена.

Добавление информации проверки после подписания

При выполнении некоторых рабочих процессов информация проверки подписи недоступна в момент подписания, но может быть получена позднее. К примеру, такая ситуация может возникнуть, если представитель компании подписывает контракт с использованием ноутбука, находясь на борту самолета. При этом компьютер не может выполнить подключение к Интернету для получения информации об отметках времени и аннулировании, которую необходимо добавить к подписи. При появлении позднее доступа в Интернет, любое лицо, выполняющее проверку подписи, сможет добавить эту информацию в документ PDF. Эта информация может также использоваться при всех последующих проверках подписи.

Информация и методы, использованные для включения этой информации с длительным сроком подтверждения (LTV) в файл PDF, соответствуют стандарту, описанному в части 4 стандарта ETSI 102 778 PDF Advanced Electronic Signatures (PAdES) (Улучшенная электронная подпись PDF). Дополнительные сведения см. по адресу: blogs.adobe.com/security/2009/09/eliminating_the_penone_step_at.html. Данный пункт меню недоступен, если подпись недействительна или документ подписан с использованием сертификата самоподписания. Команда также недоступна, если время проверки и текущее время одинаковы.

Добавление информации проверки при подписании

При наличии всех элементов цепочки сертификатов информация автоматически добавляется в документ PDF. Отметка времени также добавляется при наличии сервера отметок времени с правильной настройки параметров.

Доверие сертификату подписывающего лица

Доверие сертификату включает в себя добавление его к списку доверенных лиц в диспетчере управления доверенными лицами и настройку уровня доверия вручную. В домашних условиях пользователи часто обмениваются сертификатами при необходимости использования защиты с помощью сертификата. Как правило, они добавляют сертификаты непосредственно из подписей документов, а затем устанавливают уровни доверия. Однако предприятиям часто требуется, чтобы сотрудники проверяли подписи других без выполнения действий вручную. Acrobat доверяет всем подписям и сертификатам, которые связаны с надежным маркером. Поэтому администраторы должны выполнить предварительную настройку установок клиентов или позволить конечным пользователям добавить надежный маркер (маркеры). Дополнительные сведения о доверенных сертификатах см. в разделе О подписях на основе сертификатов.

Цифровые подписи, которые были добавлены с помощью сертификата самоподписания, не могут быть автоматически подтверждены Adobe, так как этот сертификат не находится в списке доверенных лиц, который Adobe использует для проверки подписей. Сертификат самоподписания — это сертификат, который вы самостоятельно создали с помощью стороннего приложения. Вы не сможете вручную подтвердить подпись до тех пор, пока Adobe не будет считать этот сертификат надежным. Если вы откроете такой файл PDF, вы увидите предупреждение По крайней мере с одной подписью возникли проблемы.

Чтобы добавить сертификат, который использовался для применения цифровой подписи, в список доверенных лиц Adobe, выполните следующие действия.

Замена

Ос­новная идея вари­анта «Замена» — добавить в под­писан­ный документ новые объ­екты, которые счи­тают­ся без­вред­ными, но нап­рямую вли­яют на пред­став­ление содер­жимого. Нап­ример, опре­деле­ние шриф­тов нап­рямую не меня­ет содер­жимое. Одна­ко это вли­яет на вид отоб­ража­емо­го кон­тента и дела­ет воз­можной замену цифр или сим­волов.

Читайте также:  Как обновить КЭП / у меня истекает сертификат / какой срок действия моего сертификата? | ITCOM удостоверяющий центр

Эта ата­ка нацеле­на на инте­рак­тивные фор­мы. Фор­мы под­держи­вают раз­личные мас­ки вво­да (нап­ример, тек­сто­вые поля, тек­сто­вые области, перек­лючате­ли и кноп­ки выбора), где поль­зовате­ли динами­чес­ки вво­дят новое содер­жимое и сох­раня­ют его в докумен­те. Фор­мы так­же могут иметь зна­чения по умол­чанию, которые при необ­ходимос­ти мож­но изме­нить.

Ха­кер готовит файл, в котором опре­деля­ется шрифт, и его опи­сание вклю­чает­ся в документ. Пос­ле под­писания докумен­та зло­умыш­ленни­ки добав­ляют новое опи­сание шриф­та и переза­писы­вают пре­дыду­щее. Пос­коль­ку опре­деле­ние новых шриф­тов счи­тает­ся безобид­ным, при­ложе­ния, про­веря­ющие под­пись, не показы­вают никаких пре­дуп­режде­ний о вне­сен­ных изме­нени­ях.

Можно ли удалить или отменить цифровую подпись в документе pdf?

Я не знаю, что именно вы технически понимаете, отменяя подпись.

Но ясно, что можно удалить подпись: встроенная подпись PDF обычно состоит из поля формы подписи со значением, содержащим контейнер подписи CMS.

У вас есть выбор либо удалить только это значение, либо целое поле со значением.

Первый вариант оставляет пустое поле подписи, которое может быть легко использовано для новой подписи с визуализацией в том же месте, что и ваша оригинальная подпись (если она есть для начала).

Последний вариант полностью удаляет вашу подпись.

Два оговорки:

    Если вы не просто хотите, чтобы подпись больше не появлялась, убедитесь, что

      вы не сохраняете это редактирование как инкрементное обновление – если это было сделано как инкрементное обновление, версия документа с вашей подписью может быть легко восстановлена; вы не просто удаляете ссылку на значение из поля подписи, а фактически очищаете объект значения – объект значения подписи может ссылаться и на другие места в PDF файле, поэтому, если вы не очистите его, его информация может оставаться доступной внутри PDF.

    Если ваш PDF файл содержит несколько подписи или временные метки документа, и если подпись, которую вы хотите удалить, не самая новая, ее обработка приведет к поломке, по крайней мере, всех новых подписей/временных меток. Это связано с тем, как множественные подписи применяются к файлам PDF:

    Можно Ли Удалить Или Отменить Цифровую Подпись В Документе Pdf?

    Как вы можете узнать в этом эскизе, байты, подписанные более новыми сигнатурами, содержат все старые подписи.

    Поэтому в такой ситуации не только реализуют “удалить одну целевую подпись”, но вместо этого “удаляют всю подпись, начиная с одной целевой сигнатуры”.

Для некоторых более технических фонов на интегрированных PDF-подписях ср. этот ответ и документы, на которые они ссылаются.

Настройка подтверждения цифровой подписи

При получении подписанного документа, возможно, вы захотите подтвердить подпись для проверки подписывающего лица и подписанного содержимого. Подтверждение может проходить автоматически в зависимости от настроек приложения. Действительность подписи определяется путем проверки подлинности состояния сертификата цифрового удостоверения подписи и целостности документа.

  1. Задайте требуемые параметры подтверждения и нажмите OK.

    Поведение проверки

    Время проверки

  1. На вкладке Надежность выберите любой из следующих элементов, для которых этот сертификат можно объявить надежным.

Дополнительные сведения представлены в руководстве по цифровой подписи на странице www.adobe.com/go/acrodigsig_ru.

Отключение проверки цифровой подписи

В Windows 7 требования к устанавливаемым драйверам существенно ужесточены, и любой устанавливаемый драйвер должен иметь цифровую подпись, проверенную и сертифицированную Microsoft. Перед загрузкой и установкой драйвера устройства Windows проверит его цифровую подпись, и если драйвер не подписан, выдаст предупреждение

Можно это предупреждение проигнорировать и установить драйвер, однако работать он не будет все равно. При установке неподписанного драйвера в диспетчере устройств данное устройство будет помечено восклицательным знаком и содержать сообщение об ошибке.

Политика проверки цифровой подписи драйверов призвана улучшить надежность и стабильность операционной системы, но иногда возникает необходимость установить неподписанный драйвер. К счастью, в Windows 7 можно отключить проверку цифровой подписи. Для этого есть несколько способов:

Отключить поверку цифровой подписи драйверов при загрузке через загрузочное меню. Для этого при загрузке ОС жмем клавишу F8. Для загрузки без проверки цифровых подписей нужно выбрать пункт «Отключение обязательной проверки подписи драйверов»

Читайте также:  Рутокен ЭЦП 2.0 64КБ экспортный, серт. ФСБ / Каталог продуктов / Продукты / Рутокен

Дальше можно загружаться и устанавливать необходимые драйвера. Однако данный режим предназначен исключительно для тестирования и при следующей загрузке в обычном режиме установленный драйвер работать не будет.

Для постоянной загрузки в тестовом режиме можно воспользоваться утилитой командной строки bcdedit. Для этого открываем командную строку с правами администратора

И последовательно вводим 2 команды:

bcdedit -set loadoptions DDISABLED_INTEGRITY_CHECKS

bcdedit  -set TESTSIGNING ON

После выполнения каждой команды должно появиться сообщение об успешном выполнении.  Теперь можно перезагрузить компьютер и установить необходимые драйвера.

Для отключения тестового режима нужно ввести в командной строке команды:

bcdedit -set loadoptions ENABLE_INTEGRITY_CHECKS

bsdedit -set loadoptions TESTSIGNING ON

Важно: если выдается сообщение о том, что команда неизвестна, то вместо дефиса (-) ключи можно писать через слеш (/).

Ну и наконец можно просто отключить проверку цифровых  подписей драйверов  через групповую политику. Для запуска оснастки групповой политики вводим в меню Пуск в строке поиска команду gpedit.msc и жмем Ввод. В меню политик идем в Конфигурация пользователяАдминистративные шаблоныСистемаУстановка драйверов  и выбираем политику «Цифровая подпись драйверов устройств».

В появившемся окне включаем политику и указываем параметр Пропустить в качестве действия системы при обнаружении неподписанных драйверов.

После перезагрузки политика применится и можно будет загружать и устанавливать любые, в том числе и неподписанные драйвера.

Панель «подписи» для цифровых подписей

На панели Подписи отображаются сведения о каждой цифровой подписи в текущем документе и хронология изменений документа с момента первой цифровой подписи. С каждой цифровой подписью связан значок, указывающий состояние ее подтверждения. Детали проверки перечислены под каждой подписью, и их можно просмотреть, развернув подпись. На панели Подписи представлена также информация о времени подписания документа, проставившем подпись лице и удостоверении подписи.

Подписанные и сертифицированные портфолио pdf

У должным образом подписанного или сертифицированного портфолио PDF имеются одна или несколько подписей, которые утверждают или сертифицируют портфолио PDF. Самая важная из них отображается на значке подписи на панели инструментов. Подробные данные всех подписей отображаются на обложке.

Подтверждение цифровой подписи

Для проверки действительности цифровой подписи и метки времени следует установить флажок «Свойства подписи».

Портфолио pdf и цифровые подписи

Вы можете подписать дочерние файлы PDF, входящие в портфолио PDF, или подписать портфолио PDF целиком. Подписание дочернего документа блокирует документ для редактирования и защищает его содержимое. После подписания всех дочерних файлов PDF вы можете подписать все портфолио PDF. В качестве альтернативы можно подписать портфолио целиком, чтобы одновременно заблокировать содержимое всех дочерних документов.

Проверка цифровой подписи

В Windows 7 для проверки цифровой подписи есть специальная утилита sigverif.exe. Для ее запуска нужно в поисковой строке меню Пуск набрать sigverif.exe и нажать Ввод

В окне программы жмем Начать и она автоматически проверяет системные файлы на наличие подписей.

Результат проверки сохраняется в текстовый файл sigverif.txt. Хранится он в папке Общие документы, также его можно посмотреть прямо из окна программы, щелкнув по кнопке  Дополнительно.

Просмотр предыдущих версий документа с цифровой подписью

При каждой установке подписи на основе сертификата выполняется сохранение документа PDF, а также его подписанной версии. Все версии сохраняются в виде дополнений, и оригинал не может быть изменен. Все цифровые подписи и соответствующие им версии представлены на панели Подписи.

Сертифицирование документа pdf

Скрытие

Ре­зуль­татом этой ата­ки будет сок­рытие какого‑либо кон­тента за видимым содер­жимым фай­ла. Как толь­ко хакер получа­ет под­писан­ный Али­сой документ, он манипу­лиру­ет докумен­том таким обра­зом, что видимый слой боль­ше не отоб­ража­ется в при­ложе­нии прос­мотра. При­чем теперь уже ранее невиди­мые объ­екты ста­новят­ся вид­ны в PDF-фай­ле.

Скрытие и замена

В вари­анте ата­ки «Скры­тие и замена» PDF-файл содер­жит вто­рой скры­тый документ с дру­гим содер­жимым. Так как Али­са не может уви­деть скры­тое содер­жимое, она под­писыва­ет документ. Пос­ле под­писания хакер получа­ет файл и добав­ляет толь­ко новую таб­лицу внеш­них ссы­лок и трей­лер. В таб­лице внеш­них ссы­лок про­исхо­дит лишь одно изме­нение: ссыл­ка на опи­сание.

Читайте также:  Купить квалифицированную электронную подпись для ФТС

Дру­гими сло­вами, хакер соз­дает файл PDF, содер­жащий два объ­екта с одним и тем же иден­тифика­тором, но раз­ным содер­жани­ем. Пос­коль­ку вклю­чение таб­лицы xref, ука­зыва­ющей на уже опре­делен­ный объ­ект в под­писан­ной области, счи­тает­ся без­вред­ным, никаких пре­дуп­режде­ний о вне­сен­ных хакером изме­нени­ях не пос­тупа­ет, и про­вер­ка под­писи про­ходит успешно. Тем не менее Боб и Али­са видят раз­ный кон­тент в одном и том же фай­ле.

Этот вари­ант ата­ки наибо­лее мощ­ный, так как поз­воля­ет изме­нить все содер­жимое докумен­та. Хакер может соз­дать теневой документ, вли­яющий на отоб­ражение каж­дой стра­ницы или даже на общее количес­тво стра­ниц, а так­же на каж­дый содер­жащий­ся в фай­ле объ­ект.

В то же вре­мя этот вари­ант самый «шат­кий», так как при под­писании могут быть уда­лены неис­поль­зуемые объ­екты, в том чис­ле — теневые. Кро­ме того, ска­нер безопас­ности может обна­ружить боль­шое количес­тво лиш­них незадей­ство­ван­ных объ­ектов и выдать пре­дуп­режде­ние.

Сравнение версий подписанного документа

После подписания документа можно просмотреть список изменений, внесенных в документ после подписания предыдущей версии.

Удаление невидимых цифровых подписей в word, excel, powerpoint

1] Нажмите на вкладку «Файл», затем «Информация», а затем «Просмотр подписей».

2] Нажмите на стрелку рядом с именем подписи и выберите Удалить из вариантов.

Надеюсь, это поможет!

Удаление цифровой подписи

Удалить цифровую подпись может только пользователь, который ее добавил, при наличии у него цифрового удостоверения, которым он может подписать документ.

Установка длительного срока подтверждения подписи

Длительный срок подтверждения подписи позволяет выполнять подтверждение подписей в течение продолжительного периода времени после подписания документа. Для установки длительного срока подтверждения подписи необходимо наличие всех элементов, требуемых для подтверждения подписи документа PDF. Эти элементы могут быть добавлены при подписании документа или после создания подписи.

При отсутствии определенных элементов подтверждение подписи будет доступно лишь течение ограниченного периода времени. Ограничение вступает в силу, когда срок действия сертификатов, связанных с подписью, истекает или сертификаты аннулируются. После того как срок действия сертификата истекает, лицо, выдавшее сертификат, теряет ответственность за предоставление статуса аннулирования этого сертификата. Подтверждение подписи не может быть выполнено при отсутствии статуса аннулирования.

Элементы, требуемые для подтверждения подписи, включают цепочку сертификатов подписи, статус аннулирования сертификата и отметку времени (необязательно). Если необходимые элементы доступны и встроены во время подписания, при проверке подписи могут потребоваться внешние источники. Если все необходимые элементы доступны, в Acrobat и Reader поддерживается их добавление. Разработчик документа PDF должен предоставить пользователям Reader права на использование (Файл > Сохранить как другой > Файл PDF Reader с расширенными возможностями).

Цифровые подписи для вложенных файлов дочерних документов pdf

Подписи к вложенным файлам можно добавлять до того, как будет подписана обложка. Чтобы применить подписи к вложенным PDF-файлам, откройте PDF в отдельном окне. Нажмите на вложении правой кнопкой мыши и выберите Открыть файл в контекстном меню. Чтобы просмотреть подписи портфолио, перейдите на обложку, где отображаются строка сообщений документа и панель подписей.

Экскурс в pdf

PDF, или Portable Document Format, — это, как вид­но из наз­вания, перено­симый элек­трон­ный документ. Этим фор­матом поль­зуют­ся во мно­гих областях, преж­де все­го в биз­несе. PDF был раз­работан ком­пани­ей Adobe еще в далеком 2005 году. Вплоть до 2020 года фор­мат пре­тер­певал изме­нения четыре раза: в него добав­лялись встро­енные фай­лы, ссыл­ки, скрип­ты и раз­ного рода фун­кции.

Info

PDF вклю­чает в себя часть фун­кций язы­ка PostScript. Мож­но тран­сли­ровать PDF в PostScript. Есть прин­теры, которые уме­ют самос­тоятель­но интер­пре­тиро­вать PDF в PostScript.

В пер­вом приб­лижении струк­тура самого докумен­та PDF не очень слож­ная. Файл сос­тоит из сле­дующих эле­мен­тов:

  • за­голо­вок (header);
  • те­ло фай­ла (body);
  • таб­лица перек­рес­тных ссы­лок (cross-reference table);
  • блок поис­ка таб­лиц объ­ектов и ссы­лок (trailer).
Структура PDF-формата
Струк­тура PDF-фор­мата

За­голо­вок — это всег­да самая пер­вая стро­ка фай­ла, которая опре­деля­ет номер спе­цифи­кации.

Заголовок PDF
За­голо­вок PDF

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector