S/MIME

Atak na podpis elektroniczny przez zmianę formatu

Rozszerzenie pliku determinuje sposób jego interpretacji przez odbiorcę, powinno być więc chronione wewnątrz podpisanej elektronicznie struktury - taka lekcja płynie z nowego ataku opublikowanego przez badaczy z włoskiego uniwersytetu Reggio Calabria. Informacja krąży w zainteresowanych kręgach od kilku tygodni, ale jako pierwsi napisali o niej Czesi w magazynie CryptoWorld.

Demonstracją ataku jest plik graficzny w formacie BMP, który zawiera jakiś tekst. Jednak wystarczy tylko zmienić rozszerzenie na HTML by plik wyświetlił tekst o zupełnie odmiennej treści. Jak to jest zrobione?

Testowe pliki z podpisem elektronicznym

Przykładowe pliki w różnych formatach podpisane elektronicznie różnymi aplikacjami dostępnymi na polskim rynku. Pliki są wystawione wyłącznie w celu testowania kompatybilności i interoperacyjności aplikacji do podpisu elektronicznego. Proszę o podawanie źródła przy cytowaniu lub posługiwaniu się tym materiałem.

Opis formatu Sigillum SDOC

Format Sigillum SDOC został opracowany przez PWPW[1] na potrzeby programu Sigillum Sign. Sigillum Sign jest faktycznie nakładką na Microsoft Office i potrafi podpisywać tylko z poziomu MS Office.

Formaty podpisu elektronicznego

Rozporządzenie o warunkach technicznych zawiera następującą specyfikację formatów podpisu elektronicznego dopuszczonego do stosowania w Polsce:

Syndicate content