Warum kann der Kennwortschutz bei PDFs entfernt werden?

[Saugkraft]

Moin ihr Lieben.

Im Zusammenhang mit der rechtlichen Frage "Was ist sicher und was nicht" habe ich mich gefragt, wie es möglich ist, dass man den Kennwortschutz bei geschützten PDFs entfernen kann.

Die Verschlüsselung selbst (AES 256) ist ja derzeit noch sicher. Das Kennwort lässt sich also nicht sichtbar machen, sondern nur entfernen. Mich interessiert das technische wie und warum. Nicht wo und womit ich das kann.

Hat da jemand irgendwelche Informationen?

Danke und Gruß
El Pömpel

 

[medeman]

Wieso nicht, wenn das PDF nach dem öffnen samt Passworteingabe sowieso schon entschlüsselt im Speicher liegt..?

 

[MacMac512]

Ich glaube @Saugkraft meint das Entfernen ohne dass man es vorher entschlüsselt. Was tatsächlich mit manchen Programmen und Webseiten geht.

 

[Saugkraft]

So ist es.

Mit qpdf --decrypt geht das z.B. ohne Kennworteingabe.

Letztlich kann das ja nur bedeuten, dass in etwa so funktioniert (zur Veranschaulichung mal in "Pseudo-HTML"):

<head>
<password type="aes256">4Khre2yfzAEK5as</password>
<protection>on</protection>
<head>
<body>
aser Ark44-arefwakö SREJl234akreü34asdkö
....
</body>

wird zu:

<head>
<protection>off</protection>
</head>
<body>
Hallo Welt!
</body>

 

[wegus]

Ich glaub ich verstehe was Du meinst!

Der Paßwortschutz von PDFs ist keine Verschlüsselung, sondern wirklich nur schlicht eine Zugfriffskontrolle meine ich. Damit ist er eben auch abtrenn-/abschaltbar. Ein ähnliches Verhalten kann man bei der möglichen Drucksperre sehen. Ist die gesetzt kann ein PDF eigentlich nicht mehr gedruckt werden, es sei denn man lädt es mit einem Reader dem die Sperre herzlich egal ist und druckt eben das PDF aus.

 

[chris25]

So ist es.

Mit qpdf --decrypt geht das z.B. ohne Kennworteingabe.

Letztlich kann das ja nur bedeuten, dass in etwa so funktioniert (zur Veranschaulichung mal in "Pseudo-HTML"):

<head>
<password type="aes256">4Khre2yfzAEK5as</password>
<protection>on</protection>
<head>
<body>
aser Ark44-arefwakö SREJl234akreü34asdkö
....
</body>

wird zu:

<head>
<protection>off</protection>
</head>
<body>
Hallo Welt!
</body>

"PDF specifies a standard security handler that all viewer applications are expected to support, but applications may optionally substitute alternate security handlers of their own."

"Note: PDF cannot enforce the document access privileges specified in the encryption dictionary. It is up to the implementors of PDF viewer applications to respect the intent of the document creator by restricting access to an encrypted PDF file according to the passwords and permissions contained in the file."

Aus: http://www.cs.cmu.edu/~dst/Adobe/Gallery/PDFsecurity.pdf

Schon älter, aber der Standard hat sich, zumindest für die älteren PDF-Versionen, wahrscheinlich nicht geändert.

 

[Saugkraft]

Ja grandios, danke. Genau das hatte ich gesucht.

Der Hintergrund ist der: Linotype erlaubt die Weitergabe von lizensierten Schriften nur in Dokumenten, aus denen die Schrift nicht extrahiert werden kann.

Da stellt sich jetzt natürlich die Frage: Wo fängt "können" an? Ein Mercedes S Klasse ist auch gegen Diebstahl geschützt. Das wird allgemein auch so anerkannt (Versicherungen, etc.). Trotzdem ist das Ding in 5 Minuten geknackt.

Und das ist dann letztlich eine rechtliche Frage, welche Verantwortung der User hat.

 

[ruerueka]

Du könntest die Schrift vektorisieren. Dann kann sie nicht mehr extrahiert werden.

 

[Haskelltier]

Ja grandios, danke. Genau das hatte ich gesucht.

Der Hintergrund ist der: Linotype erlaubt die Weitergabe von lizensierten Schriften nur in Dokumenten, aus denen die Schrift nicht extrahiert werden kann.

Da stellt sich jetzt natürlich die Frage: Wo fängt "können" an? Ein Mercedes S Klasse ist auch gegen Diebstahl geschützt. Das wird allgemein auch so anerkannt (Versicherungen, etc.). Trotzdem ist das Ding in 5 Minuten geknackt.

Und das ist dann letztlich eine rechtliche Frage, welche Verantwortung der User hat.

Dagegen schützt Verschlüsselung nicht, denn jeder, der das Dokument betrachten kann (also das Passwort zur Entschlüsslung besitzt), könnte auch die unverschlüsselten Daten auslesen. Dieser Nichtkopieren-, Nichteditieren- und Nichtdrucken-„Schutz“, schützt gar nichts. Das sind nur bessere Hinweise, die ein PDF-Reader oder ein anderes Programm beachten kann, aber nicht muss.
Willst du das Extrahieren der Schriften verhindern, musst du die Schriften vektorisieren, willst du auch die Glyphenformen schützen (denn theoretisch könnte ja jemand aus den vektorisierten Formen wieder eine Schrift basteln), musst du das Dokument in genügend hoher Auflösung rastern. Vektorisieren sollte aber ausreichend sein.

 

[Leslie]

Ein Berechtigungskennwort kann man entfernen - das ist naturgemäß auf die Akzeptanz beim Empfänger angewiesen, wenn der Inhalt verfügbar und damit letztlich extrahierbar ist.
Aber ein PDF, welches ein Kennwort zum Öffnen hat und (mit einer halbwegs aktuellen Acrobat-Version und in einem neueren PDF Format wie PDF 1.7, also rückwärtskompatibel bis Acrobat 8) verschlüsselt ist, ohne Kennwort und ohne einen iterativ-brutalen Ansatz wie bei einem verschlüsselten Laufwerk öffnen? Ich lasse mich gerne korrigieren, aber das glaub' ich nicht.

 

[Leslie]

Ich glaub ich verstehe was Du meinst!

Der Paßwortschutz von PDFs ist keine Verschlüsselung (...)

Da muss man differenzieren: Kennwort zum Öffnen des Dokuments oder nur ein Berechtigungskennwort, das Schaltflächen ausblendet, Druckfunktionen deaktiviert und ähnliches? Mit Kennwort zum Öffnen wird verschlüsselt.

 

[Leslie]

Aus: http://www.cs.cmu.edu/~dst/Adobe/Gallery/PDFsecurity.pdf

Schon älter, aber der Standard hat sich, zumindest für die älteren PDF-Versionen, wahrscheinlich nicht geändert.

Die darin zur Umgehung angebotenen 128-Bit-Schlüssel sind aber schon seit Acrobat 8, also seit 2006 nicht mehr aktuell.
Die Tools werden wohl auch leistungsstärker geworden sein, aber ohne fehlerhafte Sicherheitslücken oder Brute-force dürfte man damit nicht weit kommen - ich bin skeptisch, dass so etwas heute noch funktioniert.

 

[chris25]

Die darin zur Umgehung angebotenen 128-Bit-Schlüssel sind aber schon seit Acrobat 8, also seit 2006 nicht mehr aktuell.
Die Tools werden wohl auch leistungsstärker geworden sein, aber ohne fehlerhafte Sicherheitslücken oder Brute-force dürfte man damit nicht wie kommen - ich bin skeptisch, dass so etwas heute noch funktioniert.

Viele PDFs werden auch heute noch in Version 1.3 verwendet. Aus den Zitaten scheint mir das Problem z.T. auch nicht aus der Verwendung einer bestimmten Verschlüsselung zu resultieren, sondern aus dem Konzept, das davon ausgeht, dass sich die Reader-Hersteller an die Vorgaben halten.

 

[Leslie]

Viele PDFs werden auch heute noch in Version 1.3 verwendet. Aus den Zitaten scheint mir das Problem z.T. auch nicht aus der Verwendung einer bestimmten Verschlüsselung zu resultieren, sondern aus dem Konzept, das davon ausgeht, dass sich die Reader-Hersteller an die Vorgaben halten.

Nein, der Ausgangsbeitrag bezieht sich auf verschlüsselte PDFs. Die Verschlüsselung setzt keine Akzeptanz beim Empfänger voraus und ein durch Acrobat mit Verschlüsselungskennwort geschütztes PDF lässt sich mit keinem normalen Reader lesen. Man kann das Kennwort auch nicht mit einem simplen Terminal-Befehl entfernen es schlicht umgehen oder ignorieren - wenn das hier jemand mit Bordmitteln durch Brute-force iterativ oder sogar elegant per Exploit hinbekommt, bin ich beeindruckt. (Ich beziehe mich damit nicht auf alte Sicherheitslücken, sondern auf Software und Standards der letzten 10 Jahre.)

 

[toto]

Der Hintergrund ist der: Linotype erlaubt die Weitergabe von lizensierten Schriften nur in Dokumenten, aus denen die Schrift nicht extrahiert werden kann.

Na ja, das ist eher ein theoretisches Problem. In der Praxis ist das extrahieren eines Fonts aus einem PDF in nutzbarer Form eh kaum möglich. Meist fehlen Glyphen, bei eingebetteten Fonts wird neu codiert. Und wenn fehlen z.B Font Metric Informationen.

 

[Haskelltier]

Ich versuche das ganze noch einmal deutlich zu machen:

Im Prinzip schützt die Verschlüsselung des PDF-Inhalts „nur“ davor, dass Unbefugte das verschlüsselte Dokument entwenden und dann lesen, denn ohne Kennwort enthält das Dokument nur Datenmüll. Es ist damit praktisch nur eine „Transportverschlüsselung“, die den Dokumentenaustausch (und die gespeicherte Datei) vor Unbefugten absichern soll. Ein Empfänger, der das Dokument lesen können soll, also das Kennwort zur Entschlüsselung kennt, kann dann prinzipiell auch den Inhalt vollständig auslesen (und ggf. unverschlüsselt weitergeben). Daran ändern auch vermeintliche Sicherheitsfunktionen, die die Kopierbarkeit oder Editierbarkeit einschränken sollen, nichts, denn das sind bestenfalls Bitten/Aufforderungen. Das wäre so als wenn man auf ein Blatt Papier ein Post-It draufklebt, auf dem steht, „Bitte nicht kopieren“ oder „Bitte nicht ändern“. Man kann sich dran halten oder aber den Aufkleber entfernen und das Blatt kopieren oder ändern wie man will. Übertragen auf PDFs heißt das, der Reader muss diese Funktionen gegenüber dem Nutzer umsetzen, ich kann aber auch einfach Software verwenden, die diese Sicherheitsfeatures nicht beachtet oder gar entfernt, dann ist der Schutz gleich Null.

Was heißt das nun? Wenn ich pdf-Dokumente weitergebe, schützt eine Verschlüsselung „nur“ vor unbefugten Mitlesern. Jeder, der das Dokument lesen können soll, also das Kennwort zur Entschlüsselung des Inhalts besitzt, kann damit aber machen was er oder sie will (kopieren, ändern usw.). Ich als Absender muss dem Empfänger also vertrauen, dass der Empfänger damit nur das macht, was vereinbart war (also beispielsweise keine Font-Daten ausließt). Vertraue ich dem Empfänger nicht, sollte ich auch das Dokument nicht weitergeben.

 

[Saugkraft]

Danke Leute. Das hilft mir weiter.

Vektorisieren fällt raus. Wenn ich das Ding erstellen würde, würde ich das entsprechend machen. Ich hatte nur grad die Frage von einem Bekannten, der das Problem hat und die Dateien mit Word erstellt.

Einfach mal bei Linotype anrufen ist natürlich möglich, aber die werden vermutlich sagen, dass es ja die erweiterte Lizenz gibt, die auch Weitergabe abdeckt.

Abschließende Sicherheit hat man ja eh nie. Wenn man sich die Urteile zum DeCSS ansieht.. Ein Verfahren, dass so leicht geknackt werden kann, gilt trotzdem als sicher.

Trotzdem hilft es natürlich immer wenn zumindest eine "gängige Meinung" zum Thema rechtliches vorhanden ist.

Mich selbst hat jetzt der technische Grund interessiert. Hatte mich damit noch nie befasst.

 

[freucom]

Der Hintergrund ist der: Linotype erlaubt die Weitergabe von lizensierten Schriften nur in Dokumenten, aus denen die Schrift nicht extrahiert werden kann.

Moin,
als Anwender sollte man beim PDF-Export die vorkommenden Schriften als „Eingebettete Untergruppe“ ins PDF bringen. Mehr kann man vom reinen Anwender nicht verlangen. Manipulationen oder gar kriminelle Aktivitäten durch den Empfänger vorbeugend zu verhindern, ist ein krasser Anspruch.