Servus!
Wie sicher ist der Kennwortschutz von bei Adobe Acrobat 9? Ich erinnere mich schwach, dass es vor einigen Versionen noch ein Klacks war, das PW auszuhebeln. Immerhin wird Acrobat 9 mit 256-Bit-AES-Verschlüsselung beworben…
Wie sicher ist der Kennwortschutz von bei Adobe Acrobat 9? Ich
erinnere mich schwach, dass es vor einigen Versionen noch ein
Klacks war, das PW auszuhebeln.
Nein, das war in vorherigen Versionen auch nicht einfach „auszuhebeln“.
Immerhin wird Acrobat 9 mit
256-Bit-AES-Verschlüsselung beworben…
Die Verschlüsselung selbst ist nicht das Problem. Die 128bit AES des Vorgängers reichen kryptpgraphisch gesehen auch aus. Das schwächste Glied in der Kette ist das Passwort das du zur Verschlüsselung benutzt. Mit Brute-Force - also dem simplen ausprobieren aller möglichen Passwörter - ist es möglich, eine riesige Menge an Passwörtern durchzuprobieren.
Mit Adobe 9 ist das sogar noch einfacher geworden, da die 256-bit Verschlüsselung schneller funktioniert und daher im Gegenzug auch mehr Passwörter bei Brute-Force-Attacken ausprobiert werden können.
http://blogs.adobe.com/security/2008/12/acrobat_9_an…
http://blogs.zdnet.com/security/?p=2271
Dort wird gesagt, dass die 256-bit Verschlüsselung es erlaubt etwa 10x mehr Passwörter pro Sekunde zu testen, als bei der 128bit Verschlüsselung. Laut dem ZDNET-Blog etwa 80 Mio. Passwörter pro Sekunde mit Hilfe von parallel programmierten Algorithmen die auf einer GTX260 Grafikkarte laufen.
Du musst also nur dafür sorgen, dass dein Passwort lange genug ist und möglichst viele verschiedene Zeichen enthält (Groß/Kleinschreibung, Sonderzeichen, Zahlen), damit die Anzahl der Passwörter die ein Angreifer via Brute-Force ausprobieren müsste, so hoch ist, dass sie dein Passwort nie erraten werden.
Wenn du Groß/Kleinschreibung, Sonderzeichen und Zahlen nimmst, dann stehen dir pro Buchstaben im Passwort locker 70 Zeichen zur Verfügung. Bei einem Passwort das 10 Stellen lang ist, müsste ein Angreifer also etwa 7010 = 2.824.752.490.000.000.000 verschiedene Passwörter durchprobieren. Selbst wenn er das mit einer Geschwindigkeit von 100 Mio. Passwörtern pro Sekunde kann, dauert das ganze 28.247.524.900 Sekunden = 895 Jahre!
Wenn du dagegen ein Passwort mit nur 6 Stellen und nur aus Kleinbuchstaben benutzt, dann beträgt die Anzahl der möglichen Passwörter nur 308.915.776 und die kann der Angreifer dann in gerade mal 3 Sekunden (!!) durchprobieren.
Benutze also einfach ein Passwort mit 10 Stellen und Groß/Kleinschreibung/Zahlen/Sonderzeichen, dann kann kein Mensch dein Dokument entschlüsseln.
Benutze also einfach ein Passwort mit 10 Stellen und
Groß/Kleinschreibung/Zahlen/Sonderzeichen, dann kann kein
Mensch dein Dokument entschlüsseln.
Auch wenn der Erwerb und die Nutzung solcher Programme in Deutschland nicht erlaubt ist, gibt es doch welche ganz legal zu kaufen, denen das Kennwort und die Länge egal ist und ein PDF unmittelbar nach dem Mausklick geöffnet haben - mit vollen Rechten.
Nein, oder beweise das Gegenteil…
Benutze also einfach ein Passwort mit 10 Stellen und
Groß/Kleinschreibung/Zahlen/Sonderzeichen, dann kann kein
Mensch dein Dokument entschlüsseln.Auch wenn der Erwerb und die Nutzung solcher Programme in
Deutschland nicht erlaubt ist
Der Besitz und die Nutzung eines solchen Programmes ist in Deutschland nicht verboten, wenn das Programm nicht dazu angeschafft wurde, Straftaten nach §202a oder §202b StGB zu begehen.
Der sog. „Hackerparagraph“ sagt:
Wer eine Straftat nach §202a oder §202b vorbereitet, indem er [...]
Computerprogramme, <u>deren Zweck die Begehung einer solchen Tat</u>
ist [...] sich oder einem anderen verschafft [...] wird mit
Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
Das wichtige ist in diesem Zusammenhang das von mir Unterstrichene, welches den Zweck der Beschaffung/Benutzung der Software zur Bedingung macht, damit die Beschaffung/Benutzung eine Straftat wird.
gibt es doch welche ganz legal
zu kaufen, denen das Kennwort und die Länge egal ist und ein
PDF unmittelbar nach dem Mausklick geöffnet haben - mit vollen
Rechten.
Du meinst vermutlich sowas wie das hier:
http://www.elcomsoft.com/apdfpr.html
http://www.crackpdf.com/index.html#PDF%20Password%20…
Damit kannst du kein vernünftig verschlüsseltes PDF knacken mit einem sicheren Passwort.
Hier hast du ein von mir soeben erstelltes PDF mit 128bit RC4 Verschlüsselung (also nicht mal AES, du sollst ja ne Chance haben 
):
http://www.file-upload.net/download-1692188/Geheimte…
Zum Nachweis der Authentizität hier noch der SHA-1 Hash der Datei:
0C92FD085F0A9439C05B3E7C35C59887EBABA954
Bitte tu dir keinen Zwang an das Ding mit einem Tool deiner Wahl „per Mausklick“ zu entschlüsseln.
Und damit du nicht mit dem o.g. Hackerparagraphen in Konflikt gerätst: Hiermit gebe ich explizit jedem die Erlaubnis das Passwort dieser Datei mit beliebigen Mitteln herauszufinden. Die Verwendung eines solchen Tools auf diese Datei ist also keine Straftat im Sinne von §202c.
Falls du es nicht schaffst gebe ich das Passwort der Datei später gerne bekannt.
Naja, also man sollte hier dann schon unterscheiden zwischen einem mit Öffnen-Kennwort verschlüsseltem PDF und einem mit eingeschränkten Rechten.
Daß ein PDF mit Öffnen-Kennwort - ohne dessen Kenntnis - nicht leicht zu knacken ist, je länger und komplizierter es ist, ist klar. Das ist wie bei jedem Kennwort.
Würde man das ganze aber handhaben, wie z.B. bei den PDFs von eload24, dann kannste mit den von Dir genannten Tools die Einschränkungen aufheben.
Naja, also man sollte hier dann schon unterscheiden zwischen
einem mit Öffnen-Kennwort verschlüsseltem PDF und einem mit
eingeschränkten Rechten.
In diesem ganzen Artikel geht es ausschließlich um mit AES/RC4/was auch immer verschlüsselte PDFs, nicht um irgendwelche PDFs bei denen ein paar Rechte eingeschränkt wurden aber der Inhalt selbst im Klartext vorliegt.
Daß ein PDF mit Öffnen-Kennwort - ohne dessen Kenntnis - nicht
leicht zu knacken ist, je länger und komplizierter es ist, ist
klar. Das ist wie bei jedem Kennwort.
Das hast du aber vorher genau das Gegenteil behauptet:
/t/wie-sicher-ist-acrobat-9-kennwortschutz/5222533/3
Würde man das ganze aber handhaben, wie z.B. bei den PDFs von
eload24, dann kannste mit den von Dir genannten Tools die
Einschränkungen aufheben.
Es ging aber nicht um PDFs von irgendnem eload24-Portal sondern um verschlüsselte PDFs.
Es ging aber nicht um PDFs von irgendnem eload24-Portal
sondern um verschlüsselte PDFs.
Im Ausgangsposting ging es um den Kennwortschutz bei Acrobat 9 allgemein gesehen, weder explizit um den Schutz mit einem Öffnen-Kennwort, noch einzig um eine Kennwortvergabe zum Einschränken von Rechten.
Man muß hier also differenzieren, da eine allgemeingültige eindeutige Aussage zur Ausgangsfrage so nicht möglich ist. Beim Öffnen-Kennwort stimmt Deine Argumentation, bei eingeschränkten Rechten meine. So einfach ist das.