¿Qué tan útil es la firma de PDF en el mundo real?

1

Senario de fondo: Así que tuvimos un problema en el que nuestro sistema (los widgets brillantes de Alice) generó un PDF con un monto de cotización para 10 widgets. Alguien (Eva) tomó el PDF, lo modificó para aumentar el precio en un 20%, luego presentó el PDF como un reclamo de gastos para su jefe; Esperando embolsar la diferencia del 20%! El jefe (Bob) sabía cuál debería ser el precio normal y nos acusó de alza de precios. Muy imbarissing para CEO Alice. Afortunadamente, tenemos una copia de seguridad del PDF original. Eva 'fue dejada ir' ...

La CEO, Alice, dijo que no querían que eso volviera a suceder. Así que CTO Charlie dijo: 'Solucionarlo con archivos PDF firmados'

Mi pregunta es, ¿eso ayudará?

¿Hay algo que obligue a Bob a verificar si el PDF está firmado?

¿Qué impide que Eve copie el contenido del PDF firmado, lo modifique y luego se firme (tal vez con un certificado llamado 'Widget brillante de Alicia z '?

    
pregunta DarcyThomas 15.08.2018 - 01:31
fuente

1 respuesta

3

Si Alice firma el PDF antes de enviarlo a Bob, se verá así:

source

Si Eve cambia algo en el PDF, cuando Bob lo abra, mostrará algo como esto:

source

La firma contiene el certificado del emisor, y si alguien, excepto Alice, firma el documento en su lugar, la firma no será válida y el lector de PDF mostrará el mensaje firma no válida . Lo que Eve podría hacer es eliminar la firma y cambiar el PDF, similar a SSL-Strip en un PDF.

¿Cómo podría Alicia asegurarse de que la firma no sea eliminada? Ella podría llamar a Bob y decir a partir de ahora, que cada documento será firmado, sin excepción. Y poner ese mensaje en su sitio web. Y en cada email que ella envíe. Cuando Alice se gane la reputación de enviar solo correos electrónicos y documentos seguros y firmados, pocas personas aceptarán un documento falsificado sin firmar.

    
respondido por el ThoriumBR 15.08.2018 - 02:29
fuente

Lea otras preguntas en las etiquetas