Szyfrowanie Office’a kompromitacją Microsoftu

Jak podaje Bruce Schneier, autor książki „Applied Cryptography” i ekspert ds. bezpieczeństwa komputerowego, systemy zabezpieczeń najpopularniejszych składników pakietu Microsoft Office – Worda i Excela – posiadają amatorskie luki umożliwiające przełamanie ich w prosty sposób.

W swoim blogu Schneier powołuje się na artykuł opisujący szczegóły użycia algorytmu RC4. Schneier ujawnił, że luka narusza jedną z podstawowych zasad dotyczących ciągów szyfrujących, według której nie wykorzystuje się tych samych ciągów szyfrujących do kodowania dwóch różnych dokumentów. Chodzi o to, że dokonanie operacji XOR na zaszyfrowanych w ten sposób dokumentach umożliwia przełamanie klucza szyfrującego.

W wyniku wykonania funkcji XOR na zaszyfrowanych tym samym kluczem dokumentach, szyfrowanie znosi się wzajemnie i dzięki temu otrzymuje się ciąg, będący wynikiem działania funkcji XOR na jawnych tekstach. A stąd już tylko krok do uzyskania dwóch jawnych tekstów, wystarczy bowiem poddać tekst analizie częstotliwości występowania liter.

Po raz pierwszy Microsoft wykorzystał te same klucze szyfrujące dla algorytmu RC4 w Wordzie i Excelu już w 1999r, w WinNT Syskey. Pięć lat później koncern powiela ten sam błąd w innych swoich produktach. Sprawa jest o tyle ciekawa, że błąd należy do grupy podstawowych.

Prostym sposobem jego rozwiązania jest dodawanie do każdego klucza szyfrującego dokument losowego wektora. Wtedy za każdym razem klucz szyfrujący byłby inny.

Źródło informacji: The Inquirer