Sie kennen doch bestimmt PDF-Dateien? Das ist heute das Standard-Format, um Dokumente zu teilen. Und vielleicht haben Sie auch schon von der eingebauten PDF-Verschlüsselung Gebrauch gemacht.

Die eingebaute PDF-Verschlüsselung ist ganz praktisch, weil sie Teil des Standards ist und somit von vielen Programmen unterstützt wird. Somit kann der Empfänger einfach das Passwort eingeben, und schon sieht er den Inhalt, ohne grossen Aufwand.

Aber ist die PDF-Verschlüsselung denn auch sicher? Nicht ganz.

Die PDF-Verschlüsselung nutzt «AES» zur Verschlüsselung, was eigentlich ein Standard ist, der als sicher und unknackbar gilt, was, soweit wir wissen, auch so ist. Jedoch kann man bei PDFs die Verschlüsselung umgehen.

Es gibt zwei Schwächen bei PDF-Verschlüsselung, beide basieren darauf, dass PDF keine Integritätschecks macht:

Skripte

Bei PDF-Verschlüsselung wird nur ein Teil verschlüsselt, und zwar der eigentliche Inhalt. Meta-Daten und andere Teile des Formats, bleiben offen.

Jetzt meint der eine oder andere vielleicht: «Na und? Solange der Inhalt verschlüsselt ist, ist doch gut! Was interessieren mich Meta-Daten?»

Aber jetzt kommts: Dadurch dass andere Teile offen bleiben, kann ein Angreifer sogenannte Skripte (Software) in das PDF einschleusen. Also böswillige Software. Ein solches Skript kann dann darauf warten, dass Sie das PDF entschlüsseln, und den Inhalt dann vollautomatisch dem Angreifer zusenden.

AES-CBC

Die zweite Schwachstelle ist ein wenig technischer, und hat mit der AES Verschlüsselung zu tun, oder genauer, mit der Implementation (d.h. mit der Art, die sie verbaut ist). Es gibt nämlich verschiedene Formen von AES. Ein PDF nutzt dabei immer die Form AES-CBC, welche im Gegensatz zu AES-GCM keine Integritätschecks macht (d.h. es wird nicht auf Manipulationen geprüft).

Das wäre auch nicht weiter schlimm, wenn die Integritätschecks auf AES-CBC obendrauf gemacht würden. Nur dumm, dass PDF das eben nicht macht.

Also das heisst, bei PDF wird nicht geprüft, ob was am verschlüsselten Inhalt abgeändert wurde.

Und wenn man etwas vom «Klartext» kennt (also wenn man bei einem Teil der AES-CBC Verschlüsselung weiss, was dahintersteckt), dann kann man den verschlüsselten Teil manipulieren. Und man kennt bei PDF immer ein Teil vom Klartext, weil das PDF die Berechtigungen sowohl verschlüsselt als auch als Klartext hinterlegt.

So, und nun, wo wir das alles wissen, lässt sich dann z.B. in der Verschlüsselung ein Skript verstecken, dass, wie oben beschrieben, die Verschlüsselung umgeht.

PDF-Leser

Alle PDF-Leser sind auf mindestens einen dieser Angriffe verwundbar. Spätestens dann, wenn ein Anwender auf «OK» oder «Zulassen» oder ähnlich klickt, wenn gefragt wird, ob man PDF Skripte oder Formulare oder ähnlich ausführen oder zulassen will.

Es gibt jedoch auch viele PDF-Leser, darunter auch der beliebte «Adobe Acrobat Reader», die ganz ohne Nutzerintervention die Skripte ausführen und Ihre Daten dem Angreifer übermitteln.

Der Standard PDF-Leser auf Mac namens «Vorschau» ist nur mit Bestätigung des Nutzers verwundbar.

Was Sie dagegen unternehmen können

Wenn Sie ein PDF öffnen, und es fragt, ob Sie ein «Skript» oder «Aktives Element» oder ähnlich ausführen wollen, oder «eine Netzwerkverbindung aufbauen» oder «ein Formular übermitteln», antworten Sie immer mit Nein, ausser sie wissen, diese Funktion ist vom Sender gewollt.

Wenn Sie sich nicht sicher sind, antworten Sie vorerst mit Nein, dann nehmen Sie mit dem Absender des PDFs Kontakt auf, und fragen nach, ob dies so gewollt ist.

Bitte beachten Sie, dass «Nein» auch «Abbrechen» oder «Nicht zulassen» oder ähnlich heissen kann, je nach Programm.

Kann ich weiterhin PDF-Verschlüsselung nutzen?

Ja. Sie und der Absender/Empfänger müssen aber über die Risiken Bescheid wissen, und was man dagegen tun kann (siehe oben).

Gibt es sichere Alternativen zur PDF-Verschlüsselung?

Ja. Man kann z.B. PGP nutzen, um ein PDF Kryptographisch zu signieren und verschlüsseln. Dies ist jedoch oft nichts für Laien.