Autor: Jan Hanáček
Téma čísla
Je možné zaručit bezpečnost elektronických dokumentů? Každému zaměstnanci, který má přístup k firemní agendě, projde rukama denně spousta citlivých dokumentů. Některé z nich slouží jen k archivaci, jiné uživatel posílá dál a sdílí se svými kolegy, mnohdy i s lidmi mimo firemní síť. Právě zde narůstá riziko, že se citlivé soubory ocitnou u někoho, kdo je může zneužít. Vždyť sebelépe bezpečná firemní síť neuchrání data, která se ocitnou mimo ni. Existuje celá řada možností a technik, jak zabezpečit, aby se do dokumentů, na kterých stojí životaschopnost vaší společnosti, nedostala nepovolaná osoba.
O
výhodách elektronických dokumentů jsme psali na jiném místě. Oproti fyzickým kopiím vám je nikdo nemůže ukradnout z ruky těsně po tom, co jste si je vytiskli, a pro ty zapomnětlivější z nás je nesporným plusem, že je nemůžeme nechat jen tak ležet každému na očích. Při přechodu z papírového tisku na digitální dokumenty jsme často okouzleni nespornými pozitivy druhého jmenovaného řešení. Je ale potřeba si uvědomit, že bezpečnost elektronických dokumentů má svá specifika. Na to, co si při práci s nimi můžeme dovolit, si musíme nejprve zvyknout. Podívejme se na některé aspekty a možnosti zabezpečení firemních dokumentů.
Slabiny elektronických podpisů Jedním z nejproblémovějších aspektů bezpečnosti digitálních dokumentů jsou elektronické podpisy, které je
signují. Ručně podepsaný dokument, u kterého je potřeba ověřit pravost podpisu, je možné vzít k notáři, popřípadě grafologovi, který pravost potvrdí, či vyvrátí během několika minut. V případě elektronického podpisu je ale situace jiná a komplikovanější. To, jestli se dá potvrdit jeho pravost, záleží na tom, jestli jeho formát odpovídá referenčním formátům využitým při podpisu. Tedy, jestli nese shodné znaky a šifrování, jaké byly použity při jeho vzniku. Je zajímavé, že útočníci, kteří cílí na elektronickou dokumentaci, své útoky nesměrují na platformy, které digitální podpisy umožňují, neútočí tedy na samotné vytvoření elektronického podpisu, ale na aplikace, které slouží k jejich ověřování. Cílem jsou programy pro zobrazení PDF dokumentů, u kterých předpokládají zranitelnosti v kódu a využívají je. Společnost Software602, která se problematikou digitálních podpisů již dlouhá léta zabývá, popisuje trojici
nejčastějších zneužití a varuje před používáním neověřených aplikací, ať už pro vytváření, editaci, nebo jen zobrazování elektronických dokumentů. Podívejme se na tato nebezpečí důkladněji.
Padělání elektronického podpisu Nejčastějším druhem útoku na digitální podpisy je snaha o padělání takového podpisu. Útok, v řeči bezpečnostních expertů označovaný jako Universal Signature Forgery neboli USF, nemá za cíl zamezit podepsání nějakého dokumentu a nesnaží se ani o podvržení podpisu. Při útoku jde o to zamezit správnému ověření elektronického podpisu manipulací s vlastním objektem podpisu, například přidáním neplatného obsahu nebo odebráním referencí. Ověřovací software při takto napadeném dokumentu není schopný použít správné kryptografické operace
3
