Как да се предпазим от полагане на електронен подпис на PDF документ с модифицирано съдържание
Наскоро беше публикувана информация, част от изследване на Рурския университет в Бохум, Германия, която предупреждава за възможна атака, чрез нарушаване целостта на PDF документ, подписан с електронен подпис.
Т.нар. "Shadow attacks" представлява промяна на съдържанието на вече подписан електронен документ. За целта недоброжелател може да промени PDF документ, като създаде два различни слоя и го изпрати за подпис на подписваща страна. В единия слой е съдържанието, видимо за подписващата страна, където тя полага подписа си, а в другия - скритото съдържание, което бива променено след получаване на подписания PDF документ, чрез подмяна на видимия слой.
Като квалифициран доставчик на удостоверителни услуги БОРИКА АД съветва своите клиенти, при подписване с електронен подпис, да използват PDF четци, обновени до последна версия или такива, които не са уязвими. Списък на уязвимите и безопасни приложения може да откриете на следния линк: https://www.pdf-insecurity.org/signature-shadow/evaluation_2020.html.
Допълнителна мярка за предпазване е преди полагане на електронен подпис, подписващата страна да поиска потвърждение на текста от документа от изпращащата страна (напр. чрез телефонен разговор и т.н.).
