Криптостойкость современного PDF

Такие вещи скажет только тот, кто ковырял и дизассемблил адоб (если кому-то это вообще нужно). Спрашивать надо на крякерских форумах типа крэклаба и ему подобных. Проверяли, скорей всего, только какие-то конкретные версии, да и их вряд ли досконально. Если есть незакрытая дыра, вам о ней не скажут, так как для кое-кого это источник дохода. Если были дыры, но их закрыли, то могут и рассказать. Это всё на случай, если совсем пускаться в тяжкие. Ну, а так, unknown уже всё по существу сказал.

И ник выбрал подходящий – meticulous :))

Culo — это задница на итальянском. Meti culo us = мети жопа нас, мети! :)

Чем это грозит, кроме потери доступа к своему нику в случае утраты пароля?

Создайте PGP ключ для форума, загрузите его в профиль, подписав случайную строку, вам данную сайтом, тогда окончательно потеряете доступ к форуму, если (и только если) потеряете ключ.

Посмотрите на требования госдепа или других внутренних регуляторов США. И декларирует ли производитель удовлетворение данным требованиям. Обычно производители софта очень даже заинтересованы в этом секторе сбыта. Зовется он compliance. Существует потому, что ряд юрлиц вынуждены соблюдать требования регуляторов и выбирают софт с учетом этих самых требований.

Обычно производители софта очень даже заинтересованы в этом секторе сбыта

В России есть аналогичные требования для лицензирования услуг и сертификации по защите информации для госорганизаций, и что с того?

В России есть аналогичные требования для лицензирования услуг и сертификации по защите информации для госорганизаций, и что с того?

Некорректная поставновка вопроса, равно как и попытка сравнения. Видимо автор поста знает о "russian compliance" лишь по наслышке, но имеет какое-то мнение, которое очень хочет довести до хоть какой-нибудь аудитории.

Рус, это всё общие фразы. Конкретика будет? Что вы всем этим хотели сказать-то, про compliance?

Что качество реализации криптографических функций в проприетарном софте может подвергаться сертификации на соответствие требованиям. Разработанным специалистами из акодемической среды и принятыми на вооружение регуляторами. Обязывающими различные государственные и коммерческие реализации использовать только тот софт/железо, которые удовлетворяют данным требованиям.
Таким образом технику Apple некоторое время не разрешали использовать в США различным службистам и некоторым коммерческим структурам. До тех пор, пока Apple не подтянуло качество реализации некоторых функций до набора утвержденных требований.
Примерно такая же ситуация и в РФ – есть требования ФСТЭК, ФСБ и какой-то там части минобороны. В отношении организаций бюджетных или коммерческих, допущенных до работы в каком-то режиме секретности. Насколько помнится у ФСО персональных требований нет – оно полагается на шкалу оценки ФСБ.

Что в США, что в РФ коммерческий софт проходит сертификацию с предоставлением исходников и средств сборки в бинарники. Анализируется с позиции комплексной оценки различных сценариев/моделей угроз. Как сами исходники, так и работа бинарников. Исходя из того уровня сертификации, которую хотел бы подтвердить вендор. Анализ выполняется не госслужащими, а несколькими аналитическими агенствами. Очень опасающимися потерять лицензию на право заниматься подобной деятельностью.
Только таким образом продукция Microsoft, Apple, Adobe и других именитых вендоров может быть допущена до использования с документами содержащими "чувствительную информацию" какого либо рода.
Потому оценка качества реализации шифрования содержимого документов PDF может быть произведена через анализ того на какой уровень сертифицирована та продукция Adobe, посредством которой сформирован данный документ.

Сертифицированные шифрующие USB-накопители оказались с лёгкостью взломаны.

Сертифицированные шифрующие USB-накопители оказались с лёгкостью взломаны.

Журнализды такие журнализды.
FIPS140-2 описывает модули лишь в контексте защиты информации промышленных систем, аналог в России зовется "для служебного пользования".
Т.е. FIPS140-2 никогда неиспользуется для уровней типа "коммерческая тайна", не говоря уже о "секретно" и выше.

Напомнило. С последующим. И вот этим до кучи.
А сертификация — это штука такая. Больше формально-бюрократическая.

Ужас. Всё, о чём говорят параноики с пгпру, сбывается. Нет ли тут причинно-следственной связи... :)

С этой темы можно сделать вывод – если вы задали вопрос на ПгпГРУ и получили ответ с одного предложения ( наприер, "нет нельзя, такая система уязвима") – не орите в стиле малолетних троллей – "обоснуй!!111 Чё зассал!!!!1111".

С этой темы можно сделать вывод

Дело не в этом, а в том, что сайт перманентно перлюстрируется специалистами, и на сомнительные ответы следует немедленная реакция. Если реакции нет, значит, все согласны. Если эти несколько специалистов перестанут систематически сюда писать, pgpru превратится в обычный базар типа того, что просиходит на остальных форумах.
P.S. Unknown аццки повеселил, добавил ваш пост в копилку. :)

А сертификация — это штука такая. Больше формально-бюрократическая.

Угу, сразу видно "специалиста" не наделенного опытом сертификации в ФСБ программных систем с криптографией.
Взятки не работают, процесс длится от полугода до двух-трех годов, в среднем порядка полутора лет.

процесс длится от полугода до двух-трех годов, в среднем порядка полутора лет.

Бюрократия зашкаливает. Всё, как положено. В РФ почти все значимые справки долго оформляются по тем же причинам, а не потому, что процесс очень ответственный.