1 Trillion Dollar Refund – How To Spoof PDF Signatures——欺骗PDF签名

最新推荐文章于 2023-02-12 16:19:29 发布
最新推荐文章于 2023-02-12 16:19:29 发布
阅读量494 收藏 3
点赞数
分类专栏: 安全 文章标签: 安全 pdf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/c630843901/article/details/113828653
版权

文章目录


本文将从pdf基础开始讲起,介绍对pdf签名的三种攻击方式。攻击实例请见 PDF攻击实例-USF-ISA-SWA-Shadow Attack.7z

PDF结构

PDF本质上是一个ASCLL文件,我们用普通的文件浏览器打开一个pdf可以看到源代码

在这里插入图片描述

  • Header:是PDF的第一行,他解释了PDF所需要的解释器版本

  • Body:定义了PDF文件的内容,包括文本块、字体、图片和其他数据。Body的主体部分是对象object,
    如:2 0 obj Page。在所给的例子中,Body包含4个对象:Catalog,Pages,Page,Stream。其中

    1. 对象objects由三个部分组成在这里插入图片描述

      1. 首先是一个objects编号
      2. 接下来是一个版本编号,版本编号将会递增(当PDF被增量修改)
      3. 最后是固定字符串 obj

    2. Catalog是文件的根对象,定义了文件的结构,访问权限

    3. Catalog应用了Pages对象,后者包含了页数和Pages对象的引用信息

  • Xref table:包含了文件内所有PDF的位置信息(字节偏移量)

    1. Xref以两个整数a b开头 如:0 5,表示了obj是从0-4
    2. Xref中的每一个对象由3部分组成x,y,z
      1. x表示了相对于文件开头的偏移量
      2. y表示了版本
      3. z属于{n,f}中的一个,n表示in use,f表示free

  • Trailer:当一个PDF文件读入内存,将从尾到头进行处理。这就意味着,Trailer是PDF文档中首先处理的内容,它包含对Catalog和Xref table的引用

PDF签名工作原理

PDF签名依赖于PDF的一项特殊的机制,叫做增量存储(增量更新),允许修改PDF文件而不必改变之前的内容
在这里插入图片描述
原始的文档和这里的文档是一样的。通过对文档进行签名,利用增量存储来添加以下内容:一个新的Catalog,一个签名对象,一个新的Xref table引用了新对象,和一个新的Trailer包含了对旧的catalog或者新的catalog的引用,新的和旧的Xref的偏移量。

  • 新的Catalog:是对旧的Catalog的一个补充,增加了一个新的元素Perms,它定义了文档中更改的限制。并引用了5 0的签名对象
  • Signature对象:包含有哈希和签名文档的密码算法信息。它还有一个Contents参数,其包含一个16进制编码的PKCS7 blob,该blob存有证书信息,以及利用证书中公钥对应私钥创建签名值。ByteRange 参数指定了PDF文件的哪些字节用作签名计算的哈希输入,并定义了2个整数元组:
    1. a,b: 从字节偏移量a开始,后续的b个字节作为哈希运算的第一个输入。通常,a取值为0表示起始位置为文件头部,偏移量b则取值为PKCS#7 blob的起始位置。(即从下图中红框部分就没有算入加密)
    ![在这里插入图片描述](https://img-blog.csdnimg.cn/20210413152246607.png
    2. c,d:通常,偏移量c为PKCS#7 blob的结束位置,而c d则指向PDF文件的最后一个字节的范围,用作哈希运算的第二个输入。即从下图红框部分之后开始加密
    在这里插入图片描述
    4. 位于b和c之间建议不纳入计算

攻击方式

通用签名伪造 USF

思想是控制签名中的原始数据信息,使阅读器程序在打开PDF文件时无法找到其验证所需要的所有数据信息。而且这种操作不会被认为是信息错误,而会被判定为有效。

例如:攻击者控制Signature中的Contents或ByteRange,可以直接删除签名,或者删除签名内容的起始位置信息

在这里插入图片描述
在这里插入图片描述

如果成功,视图应用程序(或联机验证逻辑)将显示一个面板,其中包含的PDF中的签名有效,并且属于特定的个人或实体

增量存储攻击 ISA

滥用了PDF中的合法功能,即允许PDF增加内容来更新(这项功能很有用处,例如存储PDF注释或者在编辑文件时添加新的页面。)

主要思想:利用上述功能来将PDF的内容更改为攻击想要的文本或是整个页面。即可以用更新文档的方式来修改整个文档的结构或内容。因为PDF文件中的数字签名可以精确的保护ByteRange中的文件内容,而由于增量存储ISA会将Body Update追加到文章尾部,不在ByteRange的保护范围内,以达到在签名有效的情况下修改PDF内容

PDF规范并没有禁止此操作,但签名验证应指明已签名的文档已经被篡改。
在这里插入图片描述

若攻击成功:将显示新内容(正文更新)并应用程序不会注意到文档已被修改或更新。

签名包装攻击 SWA

主要思想:迫使验证逻辑处理与应用逻辑不同的数据。

将原始签名使用的范围修改到文档其他位置,并在已分配的位置插入新的内容,以此来定位签名验证的逻辑。攻击的起点是控制ByteRange的值,允许签名使用的范围转移到文档不同的位置

在这里插入图片描述

具体攻击步骤:

  1. (可选)删除Contents中的零字节填充,以获取更多的修改空间
  2. 通过操控c的值来重新定义ByteRange [a b c* d],使其指向文件中处于不同位置的第二个签名部分
  3. 创建指向新对象的Xref Table,但是必须保证新的Xref Table的位置与之前的Xref Table的位置一致,该位置不可更改,因为它已被已经签名的Trailer所引用
  4. 攻击者注入恶意代码,可以放在Xref Table之前或者之后都可,如若不进行第一步,则只能放在之后
  5. 一些PDF阅读器要求在Xref Table值后插入Trailer才能正常读取
  6. 攻击者删除在字节偏移c*处、由c和d定义的已签名内容。值得注意的是,被操控的PDF文件并没有以%%EOF结尾。一些验证程序之所以会提示已签名文件被修改,是由于签名后面的%%EOF。为了绕过此需求,PDF文件无法正常关闭。但是,它仍然可以由其他阅读器处理。

在这里插入图片描述
SWA攻击的变种:
在这里插入图片描述

  1. 第一种变体:在第二步的时候将a=0,b=0,c=c*,d=b+d,即将原来签名的第一部分全部移到第二部分里了
  2. 第二种变体:同第一种变体的思想,但是把b改为5,因为每个pdf文件的0-5的偏移量存储的是pdf的版本信息,不会改变

综上的三种攻击中,SWA是最有效的,其次是ISA

pdf signature被攻击的主要原因

  1. 标准没有规定怎么去验证一个签名,也没有具体示例,所以每个开发者都是用的自己的验证逻辑,而不是最佳示范
  2. pdf浏览器的高容错性,让很多本是错误的文件,一样可以被正常显示

防止以上三种攻击手段的算法例子

INPUT: PDFBytes, SigObj
// ByteRange is mandatory and must be well−formated
byteRange = SigObj.getByteRange
// Preventing USF:
if(byteRange == null OR byteRange.isEmpty)
	return false
// Parse byteRange
if(byteRange.length!=4)
	return false
foreach x in byteRange {
	if x!=instanceof(int)
	return false
}
a, b, c, d = byteRange
// BytRange must cover start of file
if(a!=0)
	return false;
// Ensure that more than zero bytes are protected in hashpart1
if(b≤0)
	return false
// Ensure that sencond hashpart starts after first hashpart
if(c≤b)
return false
// Ensure that more than zero bytes are protected in hashpart2
if(d≤0)
return false
// Preventing ISA. ByteRange must cover the entire file.
if((c+d)!=PDFBytes.length)
return false;
// The pkcs7 blob starts at byte offset (a+b) and goes to offset c
pkcs7Blob = PDFBytes[(a+b):c]
// Preventing USF. Pkcs7Blob value is not allowed to be null or empty.
if(pkcs7Blob == null OR pkcs7Blob.isEmpty)
	return false
// pkcs7Blob must be a hexadecimal string [0−9,a−f,A−F]
if(pkcs7Blob contains other chars than [09,a−f,A−F])
return false
// Parse the PKCS#7 Blob
sig, cert = pkcs7.parse(pkcs7Blob)
// Select (a+b) bytes from input PDF begining at byte a=0, i.e. 0 ... a+b−1
hashpart1=PDFBytes[a:(a+b)]
// Select (c+d) bytes from input PDF begining at byte c, i.e. c ... c+d−1
hashpart2=PDFBytes[c:(c+d)]
// Verify signature34returnpkcs7.verify(sig, cert, hashpart1||hashpart2)

参考:

  • 1 Trillion Dollar Refund– How To Spoof PDF Signatures ——CCS ’19, November 11–15, 2019, London, United Kingdom
  • https://www.pdf-insecurity.org/index.html
Joey Liao
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
我的pdf样式文件signature
10-12
多个关键字请用空格分隔,最多填写5个多个关键字请用空格分隔,最多填写5个多个关键字请用空格分隔,最多填写5个
PDFSignature3.zip
06-29
手动生成PDF合同,手写签名PDF上,解决itextpdf字体不显示问题
PDF文件结构及签章
qq_42873640的博客
10-25 3795
数据类型 直接对象 八种直接对象类型 约束 示例 Boolean Objects 值为true、false Numeric Objects 包含整型和浮点型 120.01 String Objects 由一系列0-255之间的字节组成,总长度不能超过65535文字字符用()括起来16进制数据用<>括起来字符串对象必须被完整的读入 (Brillig) Name Objects 由一个前导/ 和后面一系列字符组成,最大长度为127。 Name是一个原子符号且具有唯一性,
Shadow Attack:隐藏和替换签名PDF中的内容
c630843901的博客
04-21 675
PDF的基础以及常见的三种欺骗签名的方式请见 https://blog.csdn.net/c630843901/article/details/113828653 文章目录Shadow Attack Model Shadow Attack Model 攻击者模型基于真实的用例,在这些用例中签署了PDF文档(例如合同)。在这些用例中,攻击者可以在签名前将不可见的部分(影子内容,shadow content)注入PDF签名后,攻击者再次操纵已签名PDF。因此,它们在不使签名无效的情况下,对其内容进行了可见的
PDF文件的数字签名
weixin_38937732的博客
02-12 652
PDF文件的数字签名过程不复杂,使用itext开源包即可快速完成签名并用于项目,同时支持在签名处显示图章。四、运行以下代码即可对PDF文件进行签名,参考代码如下。一、准备好pkcs12格式的证书,可参考网上的方法。三、在项目的pom.xml文件中增加依赖。二、准备好图章图片。
PDF文件签名与盖章
IT天空-我是一滴雨水
11-11 3513
最近看到互联网上越来越多的合同都是以PDF的方式发送合同,并让用户感受到真切的法律效用,PDF合同文件都会有签章。 他有两方面好处,一个是让用户看到合同时有个正式的公司签章;另一个是PDF文件的签名能够防止篡改,具有一定的法律效应。
What if there were 1 trillion more trees?
xiaoxinxin2017的博客
01-29 510
Standing at almost 84 meters tall, this is the largest known living tree on the planet. Nicknamed General Sherman, this giant sequoia has sequestered roughly 1,400 tons of atmospheric carbon over its estimated 2,500 years on earth. Very few trees can comp.
CHAPTER 1 Using neural nets to recognize handwritten digits
热门推荐
This is bill的专属博客
10-13 1万+
The human visual system is one of the wonders of the world. Consider the following sequence of handwritten digits:Most people effortlessly recognize those digits as 504192. That ease is deceptive. In
How Google Plans To Use AI To Reinvent The $3 Trillion US Healthcare Industry
12-07
How Google Plans To Use AI To Reinvent The $3 Trillion US Healthcare Industry
Big Data Processing With Hadoop 1st Edition.Pdf
06-18
The digital universe is expected to double the data size in next two years and by 2020 we may reach 44 zettabytes (1021) or 44 trillion gigabytes. The zettabyte is a multiple of the unit byte for ...
AI_Roadmap_Exec_Summary-FINAL-.pdf
03-06
The ubiquitous deployment of AI systems has not only created a trillion dollar AI industry that is projected to quadruple in three years, but has also exposed the need to make AI systems fair and ...
trillion
03-31
关于Laravel Laravel是一个具有表达力,优雅语法的Web应用程序框架。 我们认为,发展必须是一种令人愉快的,富有创造力的经历,才能真正实现。 Laravel减轻了许多Web项目中使用的常见任务,从而减轻了开发过程中的...
一亿ID的人脸识别训练和万亿人脸对(Trillion Pairs)的人脸识别评测
06-10
本课程首先会带大家一起回顾下人脸识别的问题定义、历史发展,以及学术界的新进展。然后会跟大家聊一下工业界对人脸识别技术的需求,并分享一些工业界进行大规模人脸识别的经验,常用的人脸识别算法。...
PDF签名系列(2):PDF签名值到底存在哪里?
小强快跑~~
01-17 1316
来源:PDF签名系列(2):PDF签名值到底存在哪里? - 知乎 研究过PDF签名的同学应该见过下面这张图, 来自ADOBE的文档Acrobat_DigitalSignatures_in_PDF.pdf PDF签名的内容是整个文档除去signature dictionary里/Contents下面的内容. 签过名的哈希值再连同其他一些信息一起写进/Contents里. 也就是说/Contents内容以外的部分一旦被修改, 签名就无法验证通过了. 但是这张图容易误导我们的地方是, 我们会以为签名
使用vue-pdf-signature实现pdf预览
qq_45268602的博客
12-31 7487
使用embed、vue-pdf、vue-pdf-signature等实现pdf预览。
国密算法总结
c630843901的博客
07-04 1万+
文章目录分组密码算法国际DES国产SM4公钥密码算法国际RSA国产SM2(椭圆曲线算法)摘要算法MD5国产SM3 国密即国家密码局认定的国产密码算法,即商用密码,主要用于对不涉及国家秘密内容但又具有敏感性的内部信息、行政事务信息、经济信息等进行加密保护。。具体包括 SM1,对称加密算法,加密强度为128位,采用硬件实现 SM2为国家密码管理局公布的公钥算法,其加密强度为256位 SM3,密码杂凑算法,杂凑值长度为32字节,和SM2算法同期公布,参见《国家密码管理局公告(第 22 号)》 SMS4,对称加密
LSH(Locality Sensitive Hashing)局部敏感Hash
c630843901的博客
03-02 7915
文章目录LSH 的哈希函数族(Hash Family)定义LSH 的查找过程LSH 常见的 Hash Function具体介绍: LSH 的哈希函数族(Hash Family)定义 我们将这样的一族hash函数 称为是敏感的,如果对于任意中的函数,满足以下2个条件: 如果d(x,y) ≤ d1, 则h(x) = h(y)的概率至少为p1; 如果d(x,y) ≥ d2, 则h(x) = h(y)的概率至多为p2; 其中 d(x,y) 是 x 和 y 之间的一个距离度量,d1 < d2, h(x) 和
论文阅读--A Survey on Secure Data Analytics in Edge Computing
c630843901的博客
08-26 6091
文章标题: A Survey on Secure Data Analytics in Edge Computing D. Liu, Z. Yan, W.X. Ding*, M. Atiquzzaman, “A Survey on Secure Data Analytics in Edge Computing”, IEEE Internet of Things Journal, Vol. 6, No. 3, pp. 4946-4967, June 2019. Doi: 10.1109/JIOT.2019.28
使用python2010~2016年我国GDP为41.3,48.9,54.0,59.5,64.4,68.9,74.4。按照要求绘制以下图形。 1)绘制GDP折线图。用小矩形标记数据点,红色虚线,用注解标注最高点,图标题“GDP chart”,设置坐标轴标题,最后将图形保存为J
最新发布
04-24
plt.ylabel("GDP (trillion yuan)") plt.savefig("GDP_chart.jpg") ``` ![Image of GDP chart](https://i.ibb.co/wMHZMNw/GDP-chart.jpg) 请注意,图表的格式符合您提供的要求。如果您有任何其他问题,请随时向我...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值