2024年5月10日发(作者:)

MS Word/Excel 可视化电子签章系统的安全隐患分析

随着电子签名法的通过,电子签名技术在中国正加速推广。目前,不论在Internet上查询还是在市场

中都可以见到多种计算机文档电子签名软件,其中很多产品特点非常类似,即:模仿盖章和手写签字对

MS Word/Excel 文档进行可视化签章,签章过程在MS Word /Excel 中是可见的,签章后的文档仍然可以

被Word/Excel正常打开。为考察这类签名软件的安全性控制问题,本文测试、分析了四种MS Word/Excel

电子签章软件的安全性

1 对四个Word/Excel可视签章软件的安全性测试

1.1 测试对象与测试基本情况

为测试MS Word/Excel电子签章软件的安全性,我们测试了四个公司的的软件。

软件1 软件2 软件3

版本一,对Word、版本二,提供分别版本三,可对Word

Excel文件可签用于Word和进行签章

章、手写电子签字 Excel的控件,提

供签章文档实例

测试环境:Windows XP Professional

MS Word 2000, MS Excel 2000, MS Word 2003,MS Excel 2003

其它工具:Hex Workshop 4.1 共享版

软件4

版本四,须先申请并安

装数字证书才可使用,

可对Word文件签章

四个软件产品在功能、操作方式上有很多相似之处,可视化做的都很好,和实际纸制文件的盖章、

签名在视觉上较接近。四个软件在Word/Excel 2000、Word/Excel 2003中的表现一致。

通过测试,我们并没有看到足够安全的软件产品,它们有相同的、十分明显的安全缺陷,这些缺陷

足可以给用户带来严重问题。

1.2 软件1测试中发现的安全漏洞

1

1.2.1 不控制格式,只控制文件的实际数据内容

软件1签章后,文件内的字符不能再更改,一旦更改,签章不能通过验证。但对字符格式不加控制,

如字号、字体颜色等。举一个例子,可以在文件中把某些字符设置成白色,因为文档的背景是白色的,

这些字符实际不可见,签章(或签字)后任何人都可以再将白色字符改为黑色。

下面是一个关于经费申请的Word文件,申请上写的看起来是1000,其实是10000,因为最后一个0

是白色的,总经理王峰批准后,申请人又将最后一个0改为黑色。

图1:表面上看是申请了1000圆,但后面还有一个白色的0

2