Adobe ha apportato una modifica fondamentale all'algoritmo utilizzato per proteggere con password i documenti PDF in Acrobat 9, rendendolo molto più facile recuperare una password e sollevare preoccupazioni sulla sicurezza dei documenti, secondo la società di sicurezza russa Elcomsoft.
Elcomsoft è specializzata nella creazione di software in grado di recuperare le password per i documenti Adobe. Il software viene utilizzato dalle aziende per aprire documenti dopo che i dipendenti hanno dimenticato le password e dalle forze dell'ordine nelle loro indagini.
Per i suoi prodotti Reader 9 e Acrobat 9, Adobe ha implementato la crittografia AES (Advanced Encryption Standard) a 256 bit, superiore alla crittografia AES a 128 bit utilizzata nei precedenti prodotti Acrobat.
La crittografia originale a 128 bit è forte e in alcuni casi ci vorrebbero anni per testare tutte le possibili chiavi per scoprire una password, ha affermato Dmitry Sklyarov, analista della sicurezza delle informazioni presso Elcomsoft.
Ma Elcomsoft ha affermato che il cambiamento nell'algoritmo sottostante per Acrobat 9 rende il cracking di una password debole — specialmente uno corto con solo lettere maiuscole e minuscole — fino a 100 volte più veloce che in Acrobat 8, Sklyarov ha detto. Nonostante l'utilizzo della crittografia a 256 bit, la modifica dell'algoritmo compromette ancora la sicurezza di un documento.
Adobe ha riconosciuto il modifica dell'algoritmo di crittografia sul suo blog sulla sicurezza. La società ha affermato che i tentativi di forza bruta, in cui vengono provate decine di milioni di combinazioni di password speranze di sbloccare il documento - potrebbe finire per capire le password più rapidamente utilizzando meno processore cicli.
Le modifiche sono state apportate per aumentare le prestazioni, ha affermato Adobe. Ma Sklyarov ha affermato che anche con l'algoritmo di crittografia a 128 bit utilizzato in Acrobat 8, l'applicazione risponde rapidamente sia all'immissione corretta che a quella errata della password.
"Non c'è alcuna ragione razionale per cui lo hanno fatto", ha detto Sklyarov.
Nonostante il cambiamento, c'è un modo per proteggere i documenti: quando si imposta una password, le persone dovrebbero usare a combinazione di lettere maiuscole e minuscole e altri caratteri speciali, come virgolette, Sklyarov disse. Se vengono utilizzati caratteri speciali, la password non deve contenere meno di otto caratteri. Se vengono utilizzate solo lettere, dovrebbero essere almeno da 10 a 12 caratteri, ha detto.
Adobe ha impartito lo stesso consiglio. "Con una frase più lunga e una maggiore diversità di caratteri, ci sono molte più permutazioni da indovinare", secondo il blog. La società ha inoltre raccomandato che la sicurezza dei documenti possa essere migliorata anche mediante controlli di accesso aggiuntivi come smart card e strumenti biometrici.