Zum Hauptinhalt springen

7.2.1. Insufficient Coverage (Unzureichende Abdeckung)

7.2.1. Insufficient Coverage (Unzureichende Abdeckung)

Teile der Nachricht, die nicht von der Signatur abgedeckt sind, können von einem Angreifer geändert werden, ohne die Signatur zu brechen. Der Angreifer kann z. B. Header oder andere Komponenten einfügen oder ändern, die die Verarbeitung beeinflussen, aber nicht signiert sind. Die Signaturverifikation würde weiterhin bestehen, doch der Vertrauensgehalt der Signatur würde durch nicht signierte Inhalte unterlaufen.

Anwendungen sollten daher möglichst viel der Nachricht signieren, innerhalb der Grenzen von Anwendung und Einsatz. Der Verifizierende sollte nur signierte Komponenten vertrauen und kann sensible nicht signierte Teile vor der weiteren Verarbeitung entfernen.

Letztes Update am