Работа выполнена 1,5 года назад, но ничего не поменялось! Сегодня мы рассмотрим два средства подписания и проверки электронной подписи КриптоАРМ и Litoria Desktop 2, а также рассмотрим пример "подмены" содержимого документа без нарушения целостности подписи этого документа.
Введение
На сегодняшний день электронная подпись является удобным средством для подписания документов в компьютерных сетях, подтверждающем личность автора и неизменность данных после их создания. Главной особенностью является то, что электронная подпись имеет такую же значимость, что и собственноручная подпись на бумаге.
В большинстве своем, электронная подпись применяется на предприятиях для упрощения документооборота между работниками самого предприятия и для поддержания партнерских отношений с другими компаниями.
Необходимыми элементами для выполнения работы являются непосредственно сама электронная подпись, тестируемые и вспомогательные программы. Был использован квалифицированный сертификат ключа электронной подписи, приобретенный у аккредитованного удостоверяющего центра «СКБ Контур». И было установлено следующее программное обеспечение:
- Криптопровайдер «КриптоПРО CSP» версий 4.0.9944 (сертифицированная) и 5.0.11233 (несертифицированная).
- «Litoria Desktop 2» версии 2.3;
- «КриптоАРМ» версии 5.4.2.258.
Основные понятия и определения (63-ФЗ)
Электронная подпись (ЭП) - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
Сертификат ключа проверки ЭП - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.
Квалифицированный сертификат ключа проверки ЭП - сертификат ключа проверки электронной подписи, соответствующий требованиям, установленным настоящим Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, и созданный аккредитованным удостоверяющим центром либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи.
Удостоверяющий центр - юридическое лицо, индивидуальный предприниматель либо государственный орган или орган местного самоуправления, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные настоящим Федеральным законом.
Аккредитация удостоверяющего центра - признание уполномоченным федеральным органом соответствия удостоверяющего центра требованиям настоящего Федерального закона.
Средства ЭП - шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций - создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи.
КриптоАРМ
КриптоАРМ – программа, предназначенная для создания и проверки электронной подписи, шифрования файлов, управления цифровыми сертификатами, поддерживающая работу с российскими ГОСТ алгоритмами. Разработчик: ООО «Цифровые технологии».
Для ознакомления с продуктом «КриптоАРМ», его тестовую версию на 14 дней можно скачать в интернете на официальном сайте производителя. Но после окончания пробного периода нетрудно найти и лицензионный ключ на бессрочный период, поэтому программой можно пользоваться сколько угодно. Также можно купить официальную лицензию на бессрочный период за 1600 рублей.
Litoria Desktop 2
Основным назначением программного комплекса (ПК) «Litoria Desktop 2» является создание, добавление, заверение и проверка электронной подписи (ЭП), а также шифрование и извлечение файлов. В ПК «Litoria Desktop 2» реализована возможность выполнения одновременных операций создания ЭП и шифрования, извлечения и проверки ЭП. Разработчик: ООО «Газинформсервис».
Для знакомства с программным продуктом «Litoria Desktop 2», необходимо подать заявку на официальном сайте, указав почту, куда и придет ссылка на скачивание. Тестовая версия доступна пользователю на целый месяц (можно снести ее, установить заново и пользоваться еще месяц).
Сравнение продуктов
САМОЕ ИНТЕРЕСНО
Сейчас проведем ряд манипуляций, заключение в конце.
Для тестирования уязвимости мы создали условный документ, где весь текст шрифта Times New Roman, а часть «35000» шрифта Nano Sans (несильно отличается, но и почти нигде не используется (в офишиал доках)).
Подписали два формата этого документа: «docx» и «pdf». Далее модифицировали необходимый шрифт (Nano Sans), заменив «0» на «9».
После модификации и добавления шрифта в систему (систему, где будем проверять док, в систему жертвы (тут на нашем компике все делаем)) файл формата «docx» изменяется, но электронная подпись на нем остается валидной (!!!!), а файл«pdf» остался прежним.
Заключение
Конечно, данную уязвимость сложно использовать: для замены шрифта необходимы права администратора. Да и электронная подпись не на столько популярна сегодня, что люди доверяют всему, что ей подписано без точного подтверждения. Но раз такая лазейка существует, значит обязательно найдутся недобросовестные люди, которые будут это использовать в корыстных целях.
Поэтому подписывайте pdf-документы!