Adobe przyznaje, że nowa ochrona hasłem w formacie PDF jest słabsza

Adobe wprowadził krytyczną zmianę w algorytmie używanym do zabezpieczania hasłem dokumentów PDF w Acrobat 9, dzięki czemu znacznie łatwiej jest odzyskać hasło i zwiększyć obawy o bezpieczeństwo dokumentów, twierdzi rosyjska firma ochroniarska Elcomsoft.

Elcomsoft specjalizuje się w tworzeniu oprogramowania, które może odzyskać hasła do dokumentów Adobe. Oprogramowanie jest używane przez firmy do otwierania dokumentów po tym, jak pracownicy zapomnieli swoich haseł oraz przez służby porządkowe w ich dochodzeniach.

W przypadku produktów Reader 9 i Acrobat 9 firma Adobe wdrożyła 256-bitowe szyfrowanie AES (Advanced Encryption Standard), z 128-bitowego szyfrowania AES używanego w poprzednich produktach Acrobat.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Oryginalne szyfrowanie 128-bitowe jest silne, aw niektórych przypadkach zajęłoby to lata aby przetestować wszystkie możliwe klucze, aby odkryć hasło, powiedział Dmitry Sklyarov, analityk bezpieczeństwa informacji w Elcomsoft.

Ale Elcomsoft powiedział, że zmiana w algorytmie leżącym u podstaw programu Acrobat 9 sprawia, że ​​łamanie słabego hasła - szczególnie krótkiego z tylko wyższym i małe litery - do 100 razy szybciej niż w Acrobacie 8 - powiedział Sklyarov. Pomimo zastosowania 256-bitowego szyfrowania, zmiana algorytmu nadal podważa bezpieczeństwo dokumentu.

Firma Adobe potwierdziła zmianę algorytmu szyfrowania na swoim blogu zabezpieczeń. Firma stwierdziła, że ​​próby brutalnej siły - w przypadku których próbuje się odblokować dziesiątki milionów kombinacji haseł w nadziei na odblokowanie dokumentu - mogą w efekcie szybciej wyszukiwać hasła przy użyciu mniejszej liczby cykli procesorów.

Zmiany zostały wprowadzone w celu zwiększenia wydajności, Adobe powiedział. Ale Skliarov powiedział, że nawet przy 128-bitowym algorytmie szyfrowania używanym w programie Acrobat 8 ​​aplikacja szybko reaguje na poprawne i niepoprawne hasła.

"Nie ma racjonalnego powodu, dla którego to zrobili," powiedział Sklyarov.

Pomimo zmiany, istnieje sposób na zabezpieczenie dokumentów: Podczas ustawiania hasła ludzie powinni używać kombinacji wielkich i małych liter oraz innych znaków specjalnych, takich jak cudzysłów, powiedział Sklyarov. Jeśli używane są znaki specjalne, hasło powinno mieć nie mniej niż osiem znaków. Jeśli używa się tylko liter, powinien on mieć przynajmniej 10 do 12 znaków, powiedział.

Adobe przekazał tę samą radę. "Z dłuższą frazą i większą różnorodnością postaci, istnieje wiele innych permutacji do odgadnięcia", zgodnie z blogiem. Firma zaleciła również, aby bezpieczeństwo dokumentów można było zwiększyć dzięki dodatkowym mechanizmom kontroli dostępu, takim jak karty inteligentne i narzędzia biometryczne.