Überprüfung der PDF-Integrität

Inhaltsverzeichnis

• Integritätsprüfung über die Befehlszeile
• CyberRisk Rating Signature Public Key

Das Cyber Risk Rating Portal stellt am Ende des Bewertungsprozesses für jeden Lieferanten mehrere Dokumente aus. Dazu gehören unter anderem das Cyber Risk Rating-Zertifikat, das die Gesamtbewertungspunkte für den Lieferanten sowie den WebRisk-Score enthält, und der Cyber Risk Rating-Report, der die Antworten des Lieferanten zusammen mit den Validierungsergebnissen auflistet.

Um die Integrität der Dokumente zu gewährleisten und potenzielle Kompromisse durch Dritte während des Downloadvorgangs zu verhindern, wird für jedes Dokument eine Signatur hinzugefügt, die den signierten Digest pro Dokument enthält. Durch die Signatur des Digests wird die Integrität des Dokuments garantiert, da eine Änderung des Dokumenteninhalts zwangsläufig einen anderen Digest erzeugen würde, der nicht mit der bereitgestellten Signatur übereinstimmt. Darüber hinaus kann die Signatur nicht verändert werden, da sie mit unserem eigenen geheimen RSA Private Key signiert wurde. Die für den Prozess verwendeten Algorithmen sind SHA256 zur Erstellung des Digests des Dokuments und RSA PKCS#1 v1.5 für die Signatur.

Die Integrität über die Befehlszeile verifizieren

Es wird empfohlen, die Integrität jedes Dokuments nach dem Herunterladen als ZIP-Archiv zu überprüfen. Für jedes Dokument repräsentiert die entsprechende Signaturdatei .sig den signierten Digest in Byte-Form. Darüber hinaus wird der Public Key benötigt, der auf unserer Seite verwendet wurde. Er kann hier heruntergeladen werden: Cyber Risk Rating Signature Public Key.

Die Überprüfung kann mit OpenSSL Version v1.1.1f oder höher durchgeführt werden.

$ openssl dgst -sha256 -verify crr-signature-key.pub -signature Cyber-Risk-Rating-Report-Valid.pdf.sha256.sig Cyber-Risk-Rating-Report-Valid.pdf
Verified OK

Wenn die Dokumente kompromittiert sind, schlägt die Überprüfung fehl. In diesem Fall kontaktieren Sie sofort support@nimbusec.com für weitere Unterstützung.

$ openssl dgst -sha256 -verify crr-signature-key.pub -signature Cyber-Risk-Rating-Report-Valid.pdf.sha256.sig Cyber-Risk-Rating-Report-Compromised.pdf
Verification Failure

CyberRisk Rating Signature Public Key

Sie können den Signaturschlüssel als Datei hier herunterladen: Cyber Risk Rating Signature Public Key

Oder Sie verwenden die untenstehende Klartextversion:

-----BEGIN PUBLIC KEY-----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-----END PUBLIC KEY-----