¿Cuáles son las vulnerabilidades de usar un archivo PDF encriptado de 256 bits en el correo electrónico?

Question

¿Cuáles son las vulnerabilidades de usar un archivo PDF encriptado de 256 bits en el correo electrónico?

#1 de jingyang (7 votos)
#2 de Aaron Toponce (1 votos)

2

A menudo, envío documentos confidenciales a otras personas que utilizan archivos PDF encriptados (es decir, archivos con una contraseña de usuario y, por lo general, también con una contraseña de propietario) para evitar tanto el reenvío como el avance accidental. Estos son generados típicamente por la función de exportación de PDF de LibreOffice. Entiendo que el formato PDF para Acrobat 9.0 y versiones posteriores utiliza un cifrado AES 256 , y asumo que las versiones recientes de LibreOffice generan lo mismo, aunque no puedo encontrar detalles sobre esto.

¿Cuáles son las posibles vulnerabilidades en este método? Particularmente cuando se usa un servicio de correo electrónico público como Gmail (donde se supone que los contenidos de texto simple de todos los correos electrónicos ya están en manos del gobierno, y Dios sabe quién más), y se envían los archivos como archivos adjuntos.

encryption

pregunta Community 23.12.2013 - 10:37

fuente

2 respuestas

Lea otras preguntas en las etiquetas encryption

¿Qué algoritmo de hash es ideal para usar en la web? [duplicar] Contraseña recuperable encriptada

score 7 · Answer 1

Ya que está protegido por una contraseña de usuario, es vulnerable a ataques de fuerza bruta / diccionario a menos que elija una contraseña realmente larga y compleja. No importa si está utilizando AES 128 o 256 si su contraseña es el enlace más débil. Alguien que haya interceptado su correo electrónico puede intentar forzar la contraseña para leer su archivo PDF.

Si desea que su documento sea más seguro, Adobe admite el uso de basado en PKI cifrado y firmas digitales para mitigar el problema del uso de contraseñas débiles. Sin embargo, esto requiere el uso de certificados. Al cifrar, la computadora del editor genera aleatoriamente una clave simétrica (hasta AES256), y cifra esa clave a la clave pública asimétrica de cada destinatario para incluirla en el documento con el contenido cifrado de clave simétrica. A cambio, la computadora del destinatario utiliza su propia clave privada para descifrar la clave simétrica y luego descifrar el documento.

La clave generada aleatoriamente debe tener una entropía mucho mayor que la contraseña para mitigar los intentos de fuerza bruta.

score 1 · Answer 2

Existen herramientas para descifrar contraseñas de cifrado de archivos, incluido PDF. Debido a que utiliza AES-256, que está diseñado para ser rápido, es posible que alguien realice ataques de diccionario y diccionario híbrido en el archivo a un ritmo de millones por segundo. Al usar un servicio público, le permite a cualquier persona con acceso a los buzones, como los empleados de Google, probar un ataque sin conexión. Si el PDF está roto, nunca lo sabrá.
Pierdes la negación de que enviaste el mensaje. El asunto, el cuerpo y los encabezados del correo codificado MIME revelan detalles del correo que podrían filtrar información sobre el contenido y la intención del mensaje.

Si debe enviar un PDF cifrado a un destinatario, no use un protocolo en el que un servidor centralizado pueda actuar como intermediario. En su lugar, use un cliente punto a punto, donde la única manera posible de interceptar el archivo es rastrear paquetes en los enrutadores y los conmutadores en la ruta. Además, asegúrese de que el software cliente de igual a igual admita el cifrado de cliente a cliente. A pesar de que el PDF puede estar cifrado, deseará cifrar el resto de los datos del paquete IP, para evitar la pérdida de información sobre el contenido de los paquetes.

Sin embargo, la mejor forma de transferir archivos de forma segura es utilizando un espacio de aire. En otras palabras, Internet nunca está involucrado. Entonces, las agencias gubernamentales sin rostro ni siquiera pueden intentar una inspección profunda de paquetes y descifrar los paquetes cifrados, que incluso podrían generarse con un software que la agencia tiene una puerta trasera. En su lugar, cree el archivo, cifrelo, transfiéralo a una memoria USB y dé esa copia físicamente al destinatario en cuestión.