איך עוקפים חתימה דיגיטלית בpdf?
-
@ivrtikshoret חתימה דיגטלית זה אוסף של בתים שבתרגיל מתמטי מתאים למנפיק שלו + למידע עליו הוא חתום. כל שינוי במידע יגרום לאי התאמה.
אסביר את התאמה של המידע: תחשוב שיש בסוף קובץ מספר הכולל את הגימטריה של כל האותיות במסמך. אם תשנה אות, תיווצר אי התאמה בין המידע במסמך למספר הגימטריה. במקרה הזה, קל "לטפל" בבעיה ולהחזיר את התוצאה להיות תקינה, אבל אפשר לסבך את זה עד שזה נהיה בלתי אפשרי.אז נשארה דרך שלכאורה קלה יותר, לכתוב מחדש את החתימה ואז היא תתאים פיקס. אבל כפי שהוסבר חתימה דיגיטלית כוללת מידע על המנפיק - היא פשוט מוצפנת באופן שניתן לפתוח אותה רק ע"י מפתח ציבורי של מי שהצפין. אם אתה מצפין, מפתח הפתיחה יהיה שונה ממפתח הפתיחה של המצפין המקורי וככה ניתן לעלות על כך ששינית משהו.
-
@dovid אמר באיך עוקפים חתימה דיגיטלית בpdf?:
@ivrtikshoret חתימה דיגטלית זה אוסף של בתים שבתרגיל מתמטי מתאים למנפיק שלו + למידע עליו הוא חתום. כל שינוי במידע יגרום לאי התאמה.
אסביר את התאמה של המידע: תחשוב שיש בסוף קובץ מספר הכולל את הגימטריה של כל האותיות במסמך. אם תשנה אות, תיווצר אי התאמה בין המידע במסמך למספר הגימטריה. במקרה הזה, קל "לטפל" בבעיה ולהחזיר את התוצאה להיות תקינה, אבל אפשר לסבך את זה עד שזה נהיה בלתי אפשרי.אז נשארה דרך שלכאורה קלה יותר, לכתוב מחדש את החתימה ואז היא תתאים פיקס. אבל כפי שהוסבר חתימה דיגיטלית כוללת מידע על המנפיק - היא פשוט מוצפנת באופן שניתן לפתוח אותה רק ע"י מפתח ציבורי של מי שהצפין. אם אתה מצפין, מפתח הפתיחה יהיה שונה ממפתח הפתיחה של המצפין המקורי וככה ניתן לעלות על כך ששינית משהו.
העניין הוא שככל שאנחנו מדברים על חתימה "מאובטחת", ברגע שיגיע מכתב שמופיע עליו "חתום דיגיטלית" בעצם מה שאני ארשום ב "פרטי החותם" זה יהיה החתימה.
והמקבל לא יכול לדעת שאני זה שהכנסתי את פרטיו של פלוני, (כל זמן שהוא לא יוודא את זה מולו)
לדוגמא: נניח שחברת ביטוח מבקשת ממני מסמך חתום דיגיטלית ע"י רואה חשבון, ואני אכתוב מכתב ואחתום בחתימה מאובטחת עם פרטיו של רואה חשבון קיים, חברת הביטוח שתקבל את המכתב תראה חתימה מאובטחת עם פרטי רואה חשבון... ולא תדע שאני החותם, (כל זמן שלא תוודא מולו כמובן..)
זה מחזיר אותנו בעצם ל רמה של חתימה רגילה על דף, שכל אחד יכול לחקות את כתב היד של המקור. -
@ivrtikshoret הרואה חשבון בוודאי! אבל הגורם המקבל לא ידע, וזו פרצה מטורפת. כי מתייחסים היום לחתימה דיגיטלית כמשהו "קדוש" שלא ניתן לזייף, ולמעשה את זו המאובטחת קל ממש לזייף.
-זה שבעל המסמך המקורי יכול להוכיח שהיא לא שלו זה נחמד מאד, (גם בחתימה ידנית יש דרכים להוכיח זיופים) אבל מהות המושג חתימה ובפרט הדיגיטלית- זה האמון למסמך בלי הצורך לוודא מול בעליו.
ואת זה אין לנו כאן! -
@אחד-וחצי + @ivrtikshoret לא רק הרואה חשבון יכול לבדוק, כל אחד יכול לבדוק כי הרואה חשבון מצרף את
החתימה הפומביתהמפתח הפומבי על מסמכים אחרים ואפשר לבדוק מולם אם זה אותו דבר. בדיוק כמו חתימה ביד שככה עושים.@אחד-וחצי
אין פה שום פרצה ושום נעליים. אתה מתכוון שאתה לא הבנת את זה עד היום או שעוד כמה אנשים לא הבינו, זה לא הופך להיות פרצה מרשימה.
מי שמוצא פנקס שיקים יכול לחתום איך שמתחשק לו ולחלק את השיקים לכל דכפין, עד שזה מגיע למשיכת כסף מהחשבון שאז משווים בין החתימה של השיק לחתימה ששמורה בבנק, וה"ה לענייננו. -
@ivrtikshoret קובץ MP3 תמיד כתוב בו MP3 למרות שהתוכן משתנה לפי השיר.
התוכן של החתימה אכן משתנה לפי התוכן של המסמך,
אבל הוא מוצפן, וניתן לקריאה רק עם המפתח הציבורי (קוד, סיסמה לא סודית) הקבוע של המנפיק (הרואה חשבון). מאיפה יודעים מה הוא? הוא מצורף לחתימה, והוא אמור להיות די עקבי על פני כלל המסמכים שהרו"ח מנפיק. אם ניסית לקרוא את החתימה עם המפתח הציבורי המפורסם של הרו"ח והצלחת, סימן שאכן הוא זה שחתם אותו. -
למי שעדיין לא הבין, אני אנסה להסביר עם דוגמא (לא כ"כ מדוייקת, אבל מספיק ברורה להבין את העיקרון):
נניח שאני שולח ארגז נעול, שבתוכו יש מכתב המיועד להגיע לפלוני.
מישהו מעוניין לשנות את המכתב, ע"מ שיגיע לפלוני מכתב אחר.
יש לו שתי אפשרויות:- לשבור את המנעול, ולהחליף את המכתב.
- לקחת ארגז חדש, לכתוב את המכתב שהוא רוצה, ולנעול את הארגז במנעול חדש.
במקרה הראשון, הנמען יקבל מנעול שבור, מה שיוכיח לו שמישהו 'טיפל' בתוכן של הארגז.
במקרה השני, הנמען לא יצליח לפתוח את הארגז, בגלל שהמפתח שברשותו לא מתאים (הוא קיבל מפתח שמתאים למנעול שאני שמתי).אז מי שרוצה לרמות, צריך:
- או במקרה הראשון לקוות שהנמען עיוור, ולא ישים לב שהמנעול שבור..
- או לזייף מנעול שהוא בדיוק כמו הראשון, כך שהמפתח של הנמען - יתאים למנעול ששלחתי לו.
וזה כמובן תלוי בטיב המנעול, אם מדובר במנעול 'אפס', שניתן לרכוש מפתח ומנעול זהה בכל טמבור מצוי - אז ברור שניתן בקלות להחליף אותו.
אבל אם מדובר במנעול פלדלת, שיש בו חוץ מ2000 סוגי פינים, גם מגנטים בעלי משיכה מאוד מסויימת, ועוד שלל רעיונות (שתמציאו בעצמכם..) - אז זה קשה מאוד, עד בלתי אפשרי לזייף.
ובמחשבה שניה, מי שיצליח לזייף דבר כזה, יכול כבר לעלות על הקוד שלי בבנק, ולמשוך משם את כל המלייארדים ששוכבים שם..
זהו!
עכשיו נשאר רק להשוות את המושגים.
הארגז = קובץ PDF.
המנעול = חתימה דיגיטלית.
השולח = החותם על המסמך.
הנמען = כל מאן דבעי... -
@one1010 מתחשק לי לענות לך "בשולי המסמך למטה הצד שמאל, קוביה קטנה בלתי נראית שבה יש טרפז בצבע צהבהב חום".
זה מזכיר לי בדיחה על רב חובל שהכריז שתיכף מגיעים לקו המשווה, ביקש ממנו אחד הנוסעים לראות את הקו, הגיש לו רב החובל בגיחוך את המשקפת ובעת שהלה צפה מתח חוט מזקנו ממולה. "אני רואה!" התרגש הנוסע "ואפילו אני רואה גמל שמהלך על גבי הקו!".
כעת ברצינות: כל קובץ דיגיטלי (קובץ MP3, מסמך וורד או אקסל, תמונה, PDF וכו') מכיל בפועל רק קוד בשפה בינארית (שפה בה יש שני תוים בלבד) ממנו מורכב מידע שחלקו הוא הוראות מה להציג (אם בכלל) וחלקו האחר הוא מידע לא להצגה, למשל תאריך יצירת הקובץ. החלק של החתימה נמצא בקובץ רק אין משמעות להצגה שלו, כי כל החתימה איננה משהו ויזואלי, אלא כמו מטבע קריפטו שהינו מידע. -
@one1010 אמר באיך עוקפים חתימה דיגיטלית בpdf?:
@dovid ועכשיו ברצינות.... אז למעשה על הדף אין שום שינוי ורק בפרטי הקובץ?
נכון.
כל אחד יכול לצפות בזה?
בעזרת תוכנה מתאימה (כמו אדובי רידר), כמו שחתימה על דף מקוון הדפדפן יכול להציג את פרטי החתימה (בלחיצה על סמל המנעול בשורת הכתובת).
האם כשאני מביא מרשם לבית מרקחת עם ברקוד הוא יכול לאמת שם את החתימה הדיגיטלית?
כן כי זה רק לינק למסמך אינטרנטי
-
@one1010 מי לא משתמש? מה יעזור אם ישתמשו?
אם אתה מתכוון נגד זיופים, אני חושב שהבעיה היא שיש מספר בלתי מוגבל של גופים שיכולים לבדוק קורונה ממדינות שונות, הרשויות של מדינה אחת לא יכולות לאמת בקושי את קיום העיר שכתובה במסמך, קל וחומר לא מעבר לכך.