Насколько безопасно шифрование, используемое в Microsoft Office 2007?
Я читал различные статьи о шифровании Microsoft Office 2007 и, насколько я понимаю, 2007 является безопасным с использованием всех параметров по умолчанию, благодаря этому он использует AES, а 2000 и 2003 могут быть настроены как безопасные путем изменения алгоритма по умолчанию на AES. Мне было интересно, читал ли кто-нибудь еще какие-либо другие статьи или знал о каких-либо конкретных уязвимостях, связанных с тем, как они реализуют шифрование. Я хотел бы быть в состоянии сказать пользователям, что они могут использовать это для отправки полу-чувствительных документов, если они используют AES и надежный пароль. Спасибо за информацию.
2 ответа
Да, офисное шифрование довольно безопасно. Некоторое время назад я собрал презентацию о безопасности Office 2007. Вот соответствующие фрагменты из статьи, на которую я ссылался.
- В предыдущих версиях Microsoft Office использовался потоковый шифр RC4 с длиной ключа до 128 бит.
- Слабость в реализации алгоритма шифрования RC4 позволила хакерам сравнить две версии файла, защищенного паролем, для обнаружения содержимого и позволить неавторизованным пользователям читать его содержимое.
- Система Microsoft 2007 Office использует шифрование Advanced Encryption Standard (AES), которое является самым мощным стандартным алгоритмом из доступных и было выбрано Агентством национальной безопасности (NSA) для использования в качестве стандарта для правительства США, AES по умолчанию 128 ключ (который может быть увеличен до 256 бит с помощью реестра Windows или групповой политики) и использует хеширование SHA-1
- Система Microsoft 2007 Office улучшает алгоритм преобразования паролей в ключи: выполняется 50000 последовательных итераций SHA-1.
- Шифрование AES поддерживается для форматов Open XML, которые использовались в предыдущих версиях Microsoft Office, когда эти документы создаются в приложении системы Microsoft Office 2007. Однако документы, сохраненные в более старых двоичных форматах Office, могут быть зашифрованы только с использованием RC4 для обеспечения совместимости со старыми версиями Microsoft Office.
- Поддержка AES является функцией поставщиков криптографических услуг операционной системы. Шифрование AES поддерживается в Windows Server 2003 и выше, Windows XP SP2 и выше
Смотрите также блог Дейва Леблана
Office 2007 Encyption хорош, но только когда применимы следующие две вещи:
- Файл имеет собственный формат 2007 года (docx для Word, xlsx для Excel и т. Д.)
- Вы выбираете хороший пароль. Для большинства людей это 8+ символов, по крайней мере один из них: строчные, прописные и цифры. Для большей безопасности, дольше и с символами.
Если файл, который вы открываете, находится в режиме совместимости, вы не можете гарантировать безопасность файла (это может быть в режиме совместимости с Office 97, где шифрование может быть нарушено менее чем за 10 секунд).
Office 2003 Шифрование может быть хорошим. В Office 2003 шифрование по умолчанию установлено как совместимое с Office 97 (проблема<10 секунд). Можно настроить на использование RC4, который в некоторой степени безопасен. Он использует от 40 до 128-битных ключей. RC4 попал под пристальное внимание, хотя с тем, как он работает; и многие предполагают, что атака грубой силой займет значительно меньше времени, чем 2^ п.