En af fordelene ved at udgive sine dokumenter på nettet som PDF-filer er, at man kan kontrollere hvad filerne må bruges til. I modsætning til f.eks. et Word-dokument - hvor selv en dansk statsminister er kommet i klemme, fordi han glemte at fjerne skjulte metadata - så kan et PDF-dokument beskyttes med kryptering og forfatteren kan f.eks. indstille, at dokumentet hverken må printes eller gemmes lokalt.
Men nu viser det sig, at denne beskyttelse ikke er meget værd. Forleden kunne ComON fortælle om russiske Elcomsoft, som allerede hævder at have knækket 256-bit krypteringen i Adobe Acrobat 9. Elcomsoft sælger et program til mellem 50 og 400 euro, hvor den dyreste version angiveligt kan knække et password-beskyttet PDF-dokument på få minutter.
Det kan faktisk gøres meget billigere. Programmet Guaranteed PDF Decrypter kan fjerne alle begrænsninger fra PDF-dokumenter - også dem, der er krypteret med 256-bit AES-beskyttelse. Det gælder også den gratis demoversion, der kan hentes på nettet.
Tonny Bjørn fra sikkerhedsfirmaet Comendo mener at PDF-brugere bør tænke på, at krypteringen nemt kan knækkes med værktøjer som dette.
»Denne og tilsvarende applikationer er kritiske i den henseende, at mange tror en standard kryptering er nok til at holde snagende øjne væk fra indholdet. Dermed har de fleste også en tendens til at have et mere "afslappet" forhold til hvordan dokumentet overføres eller opbevares,« siger Tonny Bjørn.
Programmer som Guaranteed PDF Decrypter og APDFPR fra Elcomsoft demonstrerer, at det er nemt at manipulere indholdet i et PDF-dokument - selvom dokumentet er »låst« med Acrobat 9.
»Problematikken har været fremme tidligere - men dette produkt giver personer muligheden for at knække 256-bit AES krypterede PDF-dokumenter helt gratis. Givet det tager en uges tid, men det er muligt at nedbringe tiden ved at købe en bedre udgave for nogle få hundrede kroner,« siger Tonny Bjørn.
Guaranteed PDF Decrypter findes også i en udvidet version til 150 euro, hvor beregningerne kan fordeles over et ubegrænset antal klienter. Det skulle gøre det muligt at knække kodeordet til et 40-bit krypteret dokument på få timer.
Premium
Kritisk CVE-databasen om sikkerhed reddet i allersidste øjeblik - ny bevilling godkendt