איך עוקפים חתימה דיגיטלית בpdf?
-
@ivrtikshoret קובץ MP3 תמיד כתוב בו MP3 למרות שהתוכן משתנה לפי השיר.
התוכן של החתימה אכן משתנה לפי התוכן של המסמך,
אבל הוא מוצפן, וניתן לקריאה רק עם המפתח הציבורי (קוד, סיסמה לא סודית) הקבוע של המנפיק (הרואה חשבון). מאיפה יודעים מה הוא? הוא מצורף לחתימה, והוא אמור להיות די עקבי על פני כלל המסמכים שהרו"ח מנפיק. אם ניסית לקרוא את החתימה עם המפתח הציבורי המפורסם של הרו"ח והצלחת, סימן שאכן הוא זה שחתם אותו. -
למי שעדיין לא הבין, אני אנסה להסביר עם דוגמא (לא כ"כ מדוייקת, אבל מספיק ברורה להבין את העיקרון):
נניח שאני שולח ארגז נעול, שבתוכו יש מכתב המיועד להגיע לפלוני.
מישהו מעוניין לשנות את המכתב, ע"מ שיגיע לפלוני מכתב אחר.
יש לו שתי אפשרויות:- לשבור את המנעול, ולהחליף את המכתב.
- לקחת ארגז חדש, לכתוב את המכתב שהוא רוצה, ולנעול את הארגז במנעול חדש.
במקרה הראשון, הנמען יקבל מנעול שבור, מה שיוכיח לו שמישהו 'טיפל' בתוכן של הארגז.
במקרה השני, הנמען לא יצליח לפתוח את הארגז, בגלל שהמפתח שברשותו לא מתאים (הוא קיבל מפתח שמתאים למנעול שאני שמתי).אז מי שרוצה לרמות, צריך:
- או במקרה הראשון לקוות שהנמען עיוור, ולא ישים לב שהמנעול שבור..
- או לזייף מנעול שהוא בדיוק כמו הראשון, כך שהמפתח של הנמען - יתאים למנעול ששלחתי לו.
וזה כמובן תלוי בטיב המנעול, אם מדובר במנעול 'אפס', שניתן לרכוש מפתח ומנעול זהה בכל טמבור מצוי - אז ברור שניתן בקלות להחליף אותו.
אבל אם מדובר במנעול פלדלת, שיש בו חוץ מ2000 סוגי פינים, גם מגנטים בעלי משיכה מאוד מסויימת, ועוד שלל רעיונות (שתמציאו בעצמכם..) - אז זה קשה מאוד, עד בלתי אפשרי לזייף.
ובמחשבה שניה, מי שיצליח לזייף דבר כזה, יכול כבר לעלות על הקוד שלי בבנק, ולמשוך משם את כל המלייארדים ששוכבים שם..
זהו!
עכשיו נשאר רק להשוות את המושגים.
הארגז = קובץ PDF.
המנעול = חתימה דיגיטלית.
השולח = החותם על המסמך.
הנמען = כל מאן דבעי... -
@one1010 מתחשק לי לענות לך "בשולי המסמך למטה הצד שמאל, קוביה קטנה בלתי נראית שבה יש טרפז בצבע צהבהב חום".
זה מזכיר לי בדיחה על רב חובל שהכריז שתיכף מגיעים לקו המשווה, ביקש ממנו אחד הנוסעים לראות את הקו, הגיש לו רב החובל בגיחוך את המשקפת ובעת שהלה צפה מתח חוט מזקנו ממולה. "אני רואה!" התרגש הנוסע "ואפילו אני רואה גמל שמהלך על גבי הקו!".
כעת ברצינות: כל קובץ דיגיטלי (קובץ MP3, מסמך וורד או אקסל, תמונה, PDF וכו') מכיל בפועל רק קוד בשפה בינארית (שפה בה יש שני תוים בלבד) ממנו מורכב מידע שחלקו הוא הוראות מה להציג (אם בכלל) וחלקו האחר הוא מידע לא להצגה, למשל תאריך יצירת הקובץ. החלק של החתימה נמצא בקובץ רק אין משמעות להצגה שלו, כי כל החתימה איננה משהו ויזואלי, אלא כמו מטבע קריפטו שהינו מידע. -
@one1010 אמר באיך עוקפים חתימה דיגיטלית בpdf?:
@dovid ועכשיו ברצינות.... אז למעשה על הדף אין שום שינוי ורק בפרטי הקובץ?
נכון.
כל אחד יכול לצפות בזה?
בעזרת תוכנה מתאימה (כמו אדובי רידר), כמו שחתימה על דף מקוון הדפדפן יכול להציג את פרטי החתימה (בלחיצה על סמל המנעול בשורת הכתובת).
האם כשאני מביא מרשם לבית מרקחת עם ברקוד הוא יכול לאמת שם את החתימה הדיגיטלית?
כן כי זה רק לינק למסמך אינטרנטי
-
@one1010 מי לא משתמש? מה יעזור אם ישתמשו?
אם אתה מתכוון נגד זיופים, אני חושב שהבעיה היא שיש מספר בלתי מוגבל של גופים שיכולים לבדוק קורונה ממדינות שונות, הרשויות של מדינה אחת לא יכולות לאמת בקושי את קיום העיר שכתובה במסמך, קל וחומר לא מעבר לכך. -
@one1010 אמר באיך עוקפים חתימה דיגיטלית בpdf?:
@dovid אם בבית מרקחת יכולים לאמת את המרשם שלי למה בביקורת גבולות א"א לאמת ע"י חתימה דיגיטלית של בדיקת קורונה שעשיתי בישראל
לא הבנת מה ש@dovid אמר לך מרשם זה לא קשור לחתימה אלקטרונית אלא שאין כזה דבר מרשם בדף בקופת חולים (ברופא פרטי יש מרשמים על נייר בכתב יד) אלא שהמרשם נמצא אך ורק במחשבי הקופת חולים ובדף שמביאים לך יש רק ברקוד עם מספר סידורי שדרכו הרוקח מוצא את המרשם במחשבי הקופת חולים וגם הנייר עם הברקוד זה קשור לעבר המצב כיום שהרופא לא נותן לך בכלל דף עם המרשם אלא מכניס את זה בתיק הרפואי ובבית מרקחת אתה מגיע אך ורק עם כרטיס מגנטי
ופשוט בביקורת הגבולות לא עשו כזאת מערכת ואגב כיום התו הירוק הוא רק קישור לאפליקציה ולא מהווה אישור בתור דף -
@dovid אמר באיך עוקפים חתימה דיגיטלית בpdf?:
@אחד-וחצי + @ivrtikshoret לא רק הרואה חשבון יכול לבדוק, כל אחד יכול לבדוק כי הרואה חשבון מצרף את
החתימה הפומביתהמפתח הפומבי על מסמכים אחרים ואפשר לבדוק מולם אם זה אותו דבר. בדיוק כמו חתימה ביד שככה עושים.@אחד-וחצי
אין פה שום פרצה ושום נעליים. אתה מתכוון שאתה לא הבנת את זה עד היום או שעוד כמה אנשים לא הבינו, זה לא הופך להיות פרצה מרשימה.
מי שמוצא פנקס שיקים יכול לחתום איך שמתחשק לו ולחלק את השיקים לכל דכפין, עד שזה מגיע למשיכת כסף מהחשבון שאז משווים בין החתימה של השיק לחתימה ששמורה בבנק, וה"ה לענייננו.מה שאתה אומר תקף כלפי חתימה "מאושרת"
לעומת זאת בחתימה "מאובטחת" שבה אין גורם מאשר שמנפיק את התעודה ולכן אין איך להוכיח מי חתם על המסמך והחתימה רק מאשרת שמאז שהמסמך נחתם הוא לא שונה/נערך ולכן אם לדוגמא עסק בשם פלוני אלמוני מנפיק חתימה לעצמו ושולח לך קבלה חתומה על סך 1000 ש"ח אתה יכול פשוט לערוך את הקבלה ולחתום אותה עם חתימה שאתה הנפקת שגם כן שבשם החותם כתוב "פלוני אלמוני" ואז אין איך להוכיח מה החתימה האמיתית
ולכן חתימה מאובטחת לא תקפה בשום מקום למעט בהנפקת קבלות שאז צריך להוסיף אימות בנוסף לחתימה שהוא שהתשלום יועבר באשראי העברה או ציק ששם בעל אמצעי התשלום יהיה זהה לשם הלקוח ושם בעל החשבון מקבל התשלום יהיה זהה לשם החותם על הקבלה
אגב כמעט בכל האתרים/תוכנות להנפקת קבלות זה חתום בחתימה מאובטחת בלבד מה שאומר שמבחינת החוק היבש אי אפשר להנפיק דרכם קבלה ממוחשבת בקרה של תשלום במזומן -
@one1010 אמר באיך עוקפים חתימה דיגיטלית בpdf?:
למה א"א לעשות בקלות אישור עם חתימה דיגיטלית.
ולמה בביטוח לאומי עדיין מקבלים פקסים? זה המדינה שלנו
(אגב היתה בעבר מפלגה נראה לי בשם "הפיראטים בראשות האינטרנט פתק לשלשול" מקור השם שלה היה הבעיה שלך למה בעידן האינטרנט עדין מצביעים בפתק מנייר ומשום מה היא לא עברה את אחוז החסימה........)
וחוץ מזה שלזה בדיוק אמורה להוביל התעודת זהות ביומטרית - כבר היום באזור האישי הממשלתי מרוכז חלק גדול המידע שיש למדינה עליך ובתעודת זהות ביומטרית שהיא כרטיס חכם שמכיל חתימה אלקטרונית מאובטחת של בעל התעודה ואתה יכול להוציא אישורים במכונות אוטומטיות של משרד הפנים וגם לעבור איתה במעברי גבול ורק בגלל הביוקרטיה והסירבול אין שם עדיין את כל המידע -
@beri-zip אמר באיך עוקפים חתימה דיגיטלית בpdf?:
ולכן חתימה מאובטחת לא תקפה בשום מקום למעט בהנפקת קבלות שאז צריך להוסיף אימות בנוסף לחתימה שהוא שהתשלום יועבר באשראי העברה או ציק ששם בעל אמצעי התשלום יהיה זהה לשם הלקוח ושם בעל החשבון מקבל התשלום יהיה זהה לשם החותם על הקבלה
איך אוכפים את זה?