Computerbeveiliging - Hoe je bad guys buiten de deur houdt

niet te wijzigen document maken

02-11-2010, 20:03 door Anoniem, 18 reacties
Beste,
voor een opleiding sturen wij een verslag naar de student. Deze print het en levert het ondertekend weer in.
Hoe kan ik een document naar de student sturen wat deze wel kan afdrukken maar niet kan wijzigen?
Ik meen dat de beveiliging van een acrobat pdf gemakkelijk te kraken is en daarmee het pdf te wijzigen.
alvast bedankt voor het antwoord
Reacties (18)
03-11-2010, 11:28 door Anoniem
Maar die student kan toch altijd wat anders afdrukken of namaken en dat ondertekenen ? Bijvoorbeeld door het document in word na te typen. Of gewoon te printen, knippen plakken en weer inscannen ?
03-11-2010, 12:01 door Mysterio
Met een beveiligd PDF document kun je wel aantonen dat jouw document niet hetzelfde is als het ingeleverde gedeelte.
03-11-2010, 12:06 door Anoniem
Hoe dan ? De student levert een uitgeprint en ondertekend document in. Hoe ga je dat vergelijken met een PDF bestand ?
03-11-2010, 12:27 door M_iky
Geef het een digitale handtekening, of maak gebruik van checksums (bv SHA256). Hierbij genereer je de checksum voor het opsturen van dit document en nadien controleer je of deze checksum hetzelfde is na ontvangst, is deze anders dan is er met het document geknoeid.
03-11-2010, 13:09 door Bitwiper
Door Anoniem: voor een opleiding sturen wij een verslag naar de student. Deze print het en levert het ondertekend weer in. Hoe kan ik een document naar de student sturen wat deze wel kan afdrukken maar niet kan wijzigen?
Gezien het "afdrukaspect" is dit principieel onmogelijk. Los van allerlei technische mogelijkheden kan de student het document ook overtikken en daarbij wijzigingen maken.

Mogelijke oplossingen voor wat je uiteindelijk wilt bereiken:
- Stuur de in te vullen documenten op papier naar de student, en hou deze, na invulling en terugzending samen met het origineel letterlijk "tegen het licht", dan zie je eventuele verschillen heel snel.
- Wellicht kun je het e.e.a. ook met OCR doen.
- Met PDF kun je meen ik ook invulformulieren maken. In hoeverre dan de oorspronkelijke tekst separaat van de invulvelden wordt beschermd weet ik niet, en ook weet ik niet of zo'n ingevuld formulier enige juridische geldigheid heeft (wellicht een vraag voor Arnoud Engelfriet?)

Ik meen dat de beveiliging van een acrobat pdf gemakkelijk te kraken is en daarmee het pdf te wijzigen.
In steeds meer Europese landen geldt een digitaal ondertekend PDF bestand als juridisch document. Aan standaarden op dit punt wordt o.a. gewerkt door de ETSI (zie http://portal.etsi.org/stfs/STF_HomePages/STF364/STF364.asp). Meer info over "PDF Advanced Electronic Signatures" vind je hier: http://en.wikipedia.org/wiki/PAdES.

Waarop baseer je dat "acrobat pdf gemakkelijk te kraken is"?
03-11-2010, 13:30 door Anoniem
http://www.google.nl/search?hl=nl&q=acrobat+pdf+password+hack&aq=f&aqi=&aql=&oq=&gs_rfai=

http://crackpdf.com/
http://www.verypdf.com/pwdremover/pdf-password-crack.htm
http://www.crackpassword.com/products/prs/othersoft/pdf/
http://www.freedownloadmanager.org/downloads/crack_acrobat_password_software/
http://pdf-password-hack.qarchive.org/
03-11-2010, 14:51 door Anoniem
PDF encrypted documenten zijn niet makkelijk of nauwelijks te kraken, tenzij de encryptie level ervan erg hoog is. Wij maken deze namelijk ook. Wij gebruiken hiervoor een certifikaat (2048bits 0f 4096bits). Dit doen wij alleen als wij niet willen dat er modificaties worden gemaakt of andere idioten dingen. Uitprinten blokkeren wij soms ook. Wij doen erg veel met encryptie. Je moet het ook weten te gebruiken, anders gaat alles mis. Met MS Office Word 2007 is dit ook mogelijk. Maar werkt anders. Blablabla... Wij houden het hierbij. Teveel schrijfwerk.

Jorrit C & Millio A
sectrust.ams.osd/Crew
InfraGard US/NL

TIP!
PDF encrypted documenten maken:
http://pdf995.com/

Wij gebruiken deze methode niet. Maar kan handig zijn voor de forumstarter. Wij reageren niet op onze eigen berichten hier achter gelaten.
03-11-2010, 16:00 door Anoniem
Waarom biedt je het niet aan in de vorm van een webformulier wat de student na het invullen/zetten van handtekening gepresenteerd krijgt en dan zelf kan kiezen of hij het wil afdrukken. Zo vang je zijn input (handtekening) af en indien gewenst kan je ook het ook nog laten opsturen. Zou een boel papier kunnen besparen, want is students keuze of hij/zij het uitprint.

Op deze manier kan het op een voor elke student unieke url middels https gebeuren, zonder dat het verslag over het web vliegt.(email)

My 2 eurocent
03-11-2010, 18:21 door 0101
Ik zou zeggen dat het makkelijkste is om het document naar een afbeelding te converteren. Bijvoorbeeld met deze shareware tool (http://www.digitzone.com/pdftopng.html). (Daarvoor het Word-document (tenminste, ik neem aan dat het om een Word document gaat) natuurlijk eerst even opslaan als PDF.)
Vervolgens stop je de PNG in een PDF-document, zodat 'ie niet meer gewijzigd kan worden (voorbeeld van een tooltje: http://www.imageconverterplus.com/how-to-convert/png_pdf.html).
Natuurlijk is het moeilijk te controleren, maar je maakt het in ieder geval niet makkelijker voor eventuele fraudeurs. Verder biedt Word ook een optie om een watermerk in te sluiten, gebruik bij voorkeur een complexere afbeelding zodat het makkelijk te controleren is maar moeilijk om na te maken.
Succes!
03-11-2010, 19:16 door Anoniem
haha PHOTOSHOP skills :) niks is veilig joh, al print degene het uit toch is het aan te passen
03-11-2010, 22:28 door 0101
Door Anoniem: haha PHOTOSHOP skills :) niks is veilig joh, al print degene het uit toch is het aan te passen
Precies. Hoe moeilijker je het iemand maakt, hoe beter. Eigenlijk zou je het document in CAPTCHA tekst moeten afdrukken, zodat diegene geen tekstherkenning kan gebruiken. "Meneer, ik kan het niet lezen" ;-)
03-11-2010, 22:29 door 0101
Admin: verwijder deze reactie a.u.b. Per ongeluk dubbel gereageerd.
03-11-2010, 22:29 door 0101
Admin: verwijder deze reactie a.u.b. Per ongeluk dubbel gereageerd.
04-11-2010, 02:05 door Anoniem
Door 0101:
Door Anoniem: haha PHOTOSHOP skills :) niks is veilig joh, al print degene het uit toch is het aan te passen
Precies. Hoe moeilijker je het iemand maakt, hoe beter. Eigenlijk zou je het document in CAPTCHA tekst moeten afdrukken, zodat diegene geen tekstherkenning kan gebruiken. "Meneer, ik kan het niet lezen" ;-)

"Hoe moeilijker je het iemand maakt, hoe beter." Exact. Men verwacht dan namelijk niet dat het gelukt is om het zo strak en scherp na te maken, in de trend van: "Dit ziet er zo precies hetzelfde uit, zal dus vast wel echt zijn..." :-)
(Ik heb echter, ehhh ik ken echter mensen ;-) die je versteld doen staan over wat ze na hebben kunnen maken met PS. En dus hebben kunnen aanpassen.)
04-11-2010, 09:42 door Anoniem
Even een andere vraag, waarom is het belangrijk dat er niets gewijzigd wordt ? Hiermee wordt het toch ongeldig ? Je kunt niet zomaar iets wijzigen, ondertekenen en terugsturen en dan zeggen, Ha Ha, in paragraaf 6 staat dat U mij 100 euro geeft ..... Het lijkt me een hoop moeite op niets af, zoals al gezegd, als een student het zelf mag uitprinten kun je altijd wat in elkaar knutselen. Alle fraaie moeite die je doet, valt dan ook weg als je student zogenaamd een slechte printer gebruikt, zodat jouw subtiliteiten wegvallen...
Als je het opstuurd, weet je ook niet wie dit ondertekend en uitprint, want je bent er niet bij.... Het lijkt me dat je zekerheden zoekt waar ze niet zijn.
04-11-2010, 10:01 door Anoniem
Tsjonge jonge. De helft van de reacties laat zien dat ze het probleem totaal niet snappen en springen meteen op hun stokpaardje.

De poster wil van de studenten een ondertekend stuk papier, met daarop de tekst die hij(zij?) in gedachten had en als PDF opgestuurd had.
En liefst zonder van alle papieren achteraf te controleren of er niks (door de student, in diens voordeel) is aangepast.

Er is geen zekere technische oplossing, want PDF 'alleen printen' is zeker niet waterdicht, en er is altijd de 'print, scan en edit met photoshop' optie. Zeker als het maar om een kleine wijziging (minimaal 21 studiepunten -> minimaal 11 studiepunten, ofzo) gaat.

Een optie is om, in plaats van PDF, het geheel op gewaarmerkt papier of een ander moeilijk na te maken medium op te sturen. Misschien niet perfect, maar lastiger namaken dan PDF printen en editen.
Ik denk dat bij een dispuut achteraf een 'analoge' vervalsing ook zwaarder valt dan een hij zegt, zij zeggen verhaal over welke PDF er nu origineel gestuurd zou zijn.

Als het een generiek document betreft, valt ook de 'winkeliers' optie te overwegen, lijkt me.
(klant gaat accoord met algemene leveringsvoorwaarden zoals gedeponeerd bij de KvK. Wellicht dat bij het document iets dergelijks kan staan, dat de authoritieve versie berust bij de school/KvK/Rechtbank en dat de geprinte tekst zeer zorgvuldig is samengesteld maar bij verschillen de authoritieve versie voorgaat.)

Voor een nogal persoon-specifiek document is deze route ook wel mogelijk, maar behoorlijk omslachtig. Andersom is het ook niet onredelijk dat de student moet kunnen verifieren waarvoor getekend wordt, en als dit indirect is ('het verslag als opgenomen in het schoolarchief onder nummer 0x1234abcd') is dat wel erg obscuur en lastig. Grote kans dat het belachelijk gemaakt wordt en afgeschoten door het CvB, als het opgespeeld wordt.

Praktisch gesproken komt het denk ik neer op of gewaarmerkt papier, of PDF met 'moeilijker te editen' en dan achteraf controleren. Als dat gedaan wordt door personen die dicht genoeg bij de studenten zitten om te weten bij wie ze even goed moeten opletten (directe docent , controleert vooral de verslagen die nogal negatief waren ?) kan dat in praktijk ook goed genoeg zijn voor dit probleem.

Het is zelden of nooit dat een technische oplossing an-sich een security probleem oplost zonder verder werk of nadelen.
Het gaat typisch altijd een samenspel tussen techniek/preventie, controle, en reactie.
04-11-2010, 10:24 door Anoniem
Het zodanig dichttimmeren dat je niet kunt printen schiet zijn doel wellicht voorbij..... Verder is beveiligen en checksummen verder weinig nuttig, behalve voor de student, die zeker kan stellen dat wat hij uitprint, de juiste versie is.
Andersom help het niet.
04-11-2010, 17:35 door Anoniem
PrintScreen. Paint skillz. Als zo'n document vervalst moet worden gebeurt dat toch wel.
Geld zou niet na te maken moeten zijn. Maar ook dat gebeurt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.