Quanto è buona la protezione con password PDF?

20

Sembra che la protezione con password di Word non sia davvero buona, almeno fino a Office 2003, se leggo correttamente questa voce SU . Ho l'impressione che la protezione con password PDF di Acrobat dovrebbe essere migliore (dice AES a 128 bit per Acrobat 7 e versioni successive). È vero?

Certo, dipende dalla forza della password utilizzata, ma supponendo che protegga il mio PDF con una password come sd8Jf + * e8fh§ $ fd8sHä, sono al sicuro?

Come, per esempio, per l'invio di informazioni riservate sul paziente - non veramente preziose, ma potenzialmente altamente sensibili.

pdf  passwords  encryption 
Tim Pietzcker
fonte
4
Proprio come una nota a margine: nota che il PDF può anche avere una password che limita solo un determinato utilizzo, come vietare la stampa. Queste password sono molto più facili da decifrare rispetto alle password che proteggono il documento stesso. (Ma non è questa la domanda.)
Arjan,
Date alcune delle risposte: chiarire se si desidera la protezione per evitare l'apertura del documento o per evitare cose come la stampa o la selezione / copia del testo.
Arjan,
Voglio proteggere il documento dall'apertura senza la password corretta.
Tim Pietzcker,

Risposte:

12

Dal sito Adobe - Protezione dei documenti con password :

L'opzione Acrobat 3 e successive utilizza un livello di crittografia basso (RC4 a 40 bit), mentre le altre opzioni utilizzano un livello di crittografia elevato (RC4 o AES a 128 bit). Acrobat 6.0 e versioni successive consente di abilitare i metadati per la ricerca. Acrobat 9.0 e versioni successive crittografa il documento utilizzando l'algoritmo di crittografia AES con una dimensione della chiave di 256 bit.

Quindi apparentemente 7 utilizzerà AES a 128 bit. Direi che sei molto al sicuro, soprattutto con una password del genere. L' Istituto nazionale di standard e tecnologia concorda:

Supponendo che si potrebbe costruire una macchina in grado di recuperare una chiave DES in un secondo (ovvero, provare 255 chiavi al secondo), quindi occorrerebbero circa 149 mila miliardi (149 trilioni) di macchina per craccare una chiave AES a 128 bit .

John T
fonte
3

Certo, dipende dalla forza della password utilizzata, ma supponendo che protegga il mio PDF con una password come sd8Jf + * e8fh§ $ fd8sHä, sono al sicuro?

Con tale password i tuoi documenti saranno praticamente ben protetti. Soprattutto con Acrobat 7 e 8.

In Acrobat 9, Adobe ha apportato modifiche all'algoritmo sottostante. E mentre hanno aggiornato la crittografia a AES a 256 bit, l'algoritmo consente attacchi di forza bruta e dizionario per sprecare meno cicli del processore su ogni interazione della password. Puoi leggerlo nel blog di Adobe .

Necessariamente, quel tipo di password sarà forte sotto Acrobat 9 e renderà tutti i metodi molto inefficienti per qualsiasi attacco di forza bruta o dizionario (praticamente l'unico mezzo per rompere un documento protetto da pdf). E mentre bisogna dire che questi strumenti funzioneranno più velocemente con Acrobat 9, ci vorranno ancora anni prima che una macchina utente comune possa eventualmente infrangere la password.

Un ultimo commento, la dimensione della tua password sarà il fattore più determinante nella protezione, così come il numero univoco di caratteri. Quindi, puoi aspettarti di fornire una password come mypaSwURD_frOM2009onMunTH # 16, che è più facile da memorizzare (include errori di battitura proposti) e ottenere comunque lo stesso livello di sicurezza elevato.

Un nano
fonte
Inoltre, usa parole di un'altra lingua se ne parli una. Un attacco con il dizionario inizierà sempre con l'inglese come il dominatore comune più basso (e molto bene).
Lupo,
Klingon ha funzionato bene per me, pochissime collisioni con parole inglesi. Anche l'Elfico funziona bene. (Soprattutto perché una delle nostre configurazioni al lavoro rifiuta QUALSIASI password con QUALSIASI parola del dizionario inglese. Sai quanto è difficile
inventare
0

Gli ultimi cracker possono, su macchine con le giuste schede video, utilizzare la stessa GPU per decifrare le password con un attacco di forza bruta a una velocità paragonabile a un supercomputer.

Se la password non è abbastanza lunga, verrà crackata in pochi minuti e fino a diversi giorni.

Conclusione: solo se si utilizza l'ultima versione di Acrobat e si utilizzano password molto longggg e nessuna parola del dizionario, si sarà abbastanza sicuri.

Ma poi, tutto questo sarà uno sforzo sprecato se la tua password trapelasse sul web ...

harrymc
fonte
0

Mi sembra di ricordare che si potrebbe:

  • Ottieni una stampante PDF gratuita / open source (ovvero stampandola dalla tua applicazione e produce un file PDF)
  • Apri il PDF protetto in Acrobat Reader
  • Stampa il PDF sulla stampante PDF, finendo così con un nuovo file PDF senza protezione.

Vale la pena indagare.

Alan B
fonte
1
Presumo che l'interrogatore stia parlando di una password per evitare di aprire il file PDF.
Arjan,
Questo è il metodo cui l'OP si riferisce: howtogeek.com/299457/how-to-remove-a-password-from-a-pdf-file
Danny Beckett
-1

Non mi fiderei di nessuno dei due, francamente. Protezioni con password integrate in pdf, elaborazione testi, fogli di calcolo, software di archiviazione ... Sono quasi tutti i sistemi di hobbistica, messi in atto per fermare le persone oneste, non le persone determinate. Non importa quanto la password venga archiviata in modo sicuro in presenza di soluzioni alternative (Acrobat è comunque migliore di Word).

Consiglio di esaminare GPG o PGP per la crittografia effettiva (sono sostanzialmente lo stesso programma, ma PGP è lucido, commerciale e costoso, e gpg è open source, un po 'ruvido ai bordi (per quanto riguarda la facilità d'uso) e free-as-in-beer.) Puoi integrarli con la posta elettronica, puoi salvare qualsiasi formato di documento sia conveniente e puoi essere sicuro che, finché le tue procedure di scambio di chiavi sono solide, nessuno sarà leggere la tua posta.

Da un punto di vista più pratico ... dovremmo dire legale ..., passare alla crittografia completa farà molto per dimostrare che hai preso la dovuta conoscenza con dati sensibili.

Satanicpuppy
fonte
4
Non sembra che tu abbia una conoscenza specifica della crittografia PDF, il che renderebbe la tua risposta speculazione?
Spike0xff,
-1

Il semplice test è inviare un file pdf crittografato come acrobat V9.0 con una password simile a sd8Jf + * e8fh§ $ fd8sHa e chiedere a chiunque di decrittografarlo. Se dopo 10 giorni nessuno ha risposto ai contenuti visualizzati, allora sai che i tuoi dati sono al sicuro. Tuttavia, ricorda due problemi con le password. 1. Il destinatario dovrà sapere di cosa si tratta e potrebbe perdere come nel prossimo articolo. 2. È incredibile quanto siano potenti i key-logger. Questi leggono le tue password mentre le digiti e potenzialmente le inviano ovunque senza che tu lo sappia. Il "buffer" della tastiera è il tuo nemico in questo senso. Anche PGP soffre della stessa vulnerabilità. Qual è la risposta? Posiziona i tuoi file di dati su un server - dove puoi accedere solo tramite un processo in due parti. Ad esempio, vedi come PayPal ora consente facoltativamente l'accesso solo tramite un nuovo codice di sicurezza inviato al tuo cellulare.

qw211
fonte
8
Chiedere semplicemente a qualcuno di provare a decifrare qualcosa e non ottenere risposta non è una garanzia di sicurezza ...
David Fraser
-2

Questo dovrebbe essere un commento a satanicpuppy, ma i commenti sono limitati a 600 caratteri. :-(

Sostengo questo (satanicpuppys) come la risposta più sensata.

Stai esaminando la forza della password come misura della sicurezza di qualcosa. In questo caso, ad esempio, stai parlando dei dati del paziente. Quindi la sicurezza che stai cercando ha lo scopo di proteggere il contenuto e non l'algoritmo o la funzionalità (stampa, salvataggio, copia / incolla).

Anche se concordo sul fatto che potrebbe essere superdifficile stampare un documento protetto in quel modo, il PDF è stato - ed è tuttora - morto facilmente decodificabile. In questo modo il contenuto può essere decodificato e scritto in un altro file, senza alcuna restrizione.

Non sono affatto un hacker, ma i due script Python necessari erano così facili da usare, anche se sono riuscito a "liberare" il mio ebook Adobe DRM-Protected che ho appena scaricato ieri ... Nessun scherzo.

E, naturalmente, darei un'occhiata a Elcomsoft, perché lì puoi trovare qualsiasi crack per praticamente qualsiasi cosa. PDF e Word in cima all'elenco.

Lupo
fonte
5
Stai esaminando la forza della password come misura della sicurezza di qualcosa. - no, non la penso così. Penso che sia solo per dire: "So che devo essere consapevole degli attacchi del dizionario della forza bruta. Quindi, quando si limita tale possibilità utilizzando una password complessa, quanto è sicura la protezione dei PDF?" E la tua parte "è ancora morto facile da decifrare" ha bisogno di alcune fonti, perché penso che non sia vero. (Il tuo esempio di DRM ebook mi sembra irrilevante qui come penso in questa domanda, proprio come hai scritto anche tu, la crittografia "ha lo scopo di proteggere il contenuto" mentre DRM deve fermare la duplicazione.)
Arjan,
Stai esaminando la forza della password come misura della sicurezza di qualcosa. - no, non la penso così. - È quello che ha detto l'autore del post. Paragona Adobes 128AES-Encryption a MS Word's ... <br> E la tua parte "è ancora morto facile da decifrare" ha bisogno di alcune fonti - Anche se non mi piace il tuo tono aggressivo, signor Arjan van Bentem, vorrei chiedi a "Adobe INEPT" di Google, guarda le offerte di Elcomsofts o controlla un sito web con un nome probabilmente simile a quello del mio pdf gratuito. Solo perché la mia esperienza è diversa dalla tua non dovresti renderti arrogante. E non farmi lezioni
Wolf
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.