Функция защиты данных в документах Microsoft Word и Excel содержит серьезную ошибку, которая позволяет злоумышленникам расшифровывать защищенные паролем файлы, сообщает ZDNET.
Проблема вызвана тем, что программисты Microsoft неправильно реализовали алгоритм шифрования в приложениях Office, пишет
комментарии (http://eprint.iacr.org/2005/007) специалист по криптографии из института Infocomm Research в Сингапуре Хунцзюнь Ву. “Из этих шифрованных файлов можно извлечь очень много информации. Если кто-то пользовался шифрованием в документах Microsoft Office… то им пора заняться оценкой причиненного ущерба”.
Microsoft в четверг сообщила, что она приступила к изучению этого дефекта.
“Наше раннее расследование показывает, что эта проблема очень мало угрожает заказчикам, – говорится в заявлении Microsoft, адресованном CNET News.com. – В некоторых случаях злоумышленник может прочесть содержимое зашифрованного файла, если в его распоряжении находится несколько версий этого файла. Чтобы попытаться воспользоваться уязвимостью, злоумышленнику потребуется доступ к двум разным файлам с одним и тем же именем, которые к тому же защищены одним и тем же паролем”.
В теории шифрования схемы, кодирующие более одного сообщения с применением одного и того же ключа, считаются недопустимыми. Дело в том, что сравнением информации шифрованных сообщений можно значительно сократить время поиска нужного пароля для их расшифровки.
Ошибка Microsoft Office – не первая проблема, возникшая у Microsoft с реализацией методов шифрования в ее продуктах. Секьюрити-эксперты то и дело указывали компании на слабые пароли в предыдущих версиях операционной системы Windows. А в 1999 году компания оказалась в центре споров по поводу того, действительно ли надежны ключи, на которых строится безопасность Windows NT.
Сегодняшняя проблема почти идентична проблеме слабого системного ключа, обсуждавшейся в 1999 году, говорит главный технолог Counterpane Internet Security и автор “Прикладной криптографии” Брюс Шнайер. “Это криптографическая ошибка уровня детского сада, – говорит он. – И еще хуже, что ее повторили дважды”.
Шнайер, который в начале этой недели рассмотрел проблему в своем блоге (http://www.schneier.com/blog/archives/2005/01/microsoft_rc4_f.html), критикует Microsoft за то, что та не учится на прошлых ошибках.
Производитель ПО утверждает, что в процессе изучения кода он не обнаружил вновь выявленной уязвимости, но отмечает, что эта ошибка кажется аналогичной предыдущей. Microsoft говорит также, что она намерена исследовать криптографический код, используемый в Office. “По завершении этого исследования Microsoft примет надлежащие меры для защиты заказчиков, которые смогут получить исправление в рамках нашего ежемесячного цикла выпуска обновлений”.