On the security of signatures in digital documents
- This thesis analyzes and evaluates the security of signatures in the PDF, ODF and OOXML document formats. Three new attack classes are presented for signed PDF documents, with 16 of 29 applications being vulnerable to at least one attack. For certified (PDF) documents, it is shown how standards-compliant functions can be used by the attacker to manipulate the visible content of a document while preserving the certification status. Here, 20 of 26 applications were vulnerable to at least one standards-compliant attack. The analysis and evaluation of signed ODF documents shows that 12 of 18 applications were vulnerable to malicious macro code execution, while it was possible to spoof the content of signed documents in 17 of the 18 applications. The analysis of the OOXML format reveals fundamental vulnerabilities in the design of document signatures, which are exploited in seven attacks.
- In dieser Arbeit wird die Sicherheit von Signaturen in den Dokumentenformaten PDF, ODF und OOXML analysiert und evaluiert. Für signierte PDF-Dokumente werden drei neue Angriffsklassen vorgestellt, dabei waren 16 von 29 Anwendungen für mindestens einen Angriff anfällig. Für zertifizierte (PDF) Dokumente wird gezeigt, wie standardkonforme Funktionen vom Angreifer verwendet werden können, um den sichtbaren Inhalt eines Dokuments zu manipulieren und gleichzeitig den Zertifizierungsstatus aufrechtzuerhalten. Hier waren 20 von 26 Anwendungen für mindestens einen standardkonformen Angriff anfällig. Die Analyse und Evaluierung von signierten ODF-Dokumenten zeigt, dass 12 von 18 Anwendungen für die Ausführung von bösartigem Makrocode anfällig waren, während es bei 17 der 18 Anwendungen möglich war, den Inhalt von signierten Dokumenten zu fälschen. Die Analyse des OOXML-Formats offenbart grundlegende Schwachstellen im Design der Dokumentensignaturen, welche in sieben Angriffen ausgenutzt werden.
Download full text files
Additional Services
| Author: | Simon RohlmannGND |
|---|---|
| URN: | urn:nbn:de:hbz:294-104656 |
| DOI: | https://doi.org/10.13154/294-10465 |
| Referee: | Jörg SchwenkGND, Juraj SomorovskyGND, Martin JohnsGND |
| Document Type: | Doctoral Thesis |
| Language: | English |
| Date of Publication (online): | 2023/11/17 |
| Date of first Publication: | 2023/11/17 |
| Publishing Institution: | Ruhr-Universität Bochum, Universitätsbibliothek |
| Granting Institution: | Ruhr-Universität Bochum, Fakultät für Informatik |
| Date of final exam: | 2023/07/06 |
| Creating Corporation: | Fakultät für Informatik |
| GND-Keyword: | Sicherheit; Elektronische Unterschrift; Dokument; Office (Programm); PDF (Datenformat) |
| Dewey Decimal Classification: | Allgemeines, Informatik, Informationswissenschaft / Informatik |
| faculties: | Fakultät für Informatik |
| Licence (German): |  Keine Creative Commons Lizenz - es gelten der Veröffentlichungsvertrag und das deutsche Urheberrecht |
