В MS Office серьёзные проблемы с криптографией
Во всех версиях широко распространённого ПО MS Office обнаружена серьезная уязвимость, связанная с шифрованием документов в приложениях Word и Excel. Сингапурские ученые из института изучения телекоммуникаций под руководством Хоньджун Ву (Hongjun Wu) опубликовали данные по проблеме использования криптографических алгоритмов RC4 в приложениях, входящих в состав офисного пакета MS Office. Как оказалось, при использовании ключа величиной 128 бит при повторном сохранении документов уже после их первоначального создания, приложения Word и Excel используют один и тот же ключ пароля и параметры инициализации для шифрования различных версий одного и того же документа. Обычно же при использовании одного пароля должны употребляться различные параметры инициализации.
Обнаруженная уязвимость свойственна всем версиям пакета MS Office.
В качестве другого примера
Исследователи провели следующий эксперимент с файлом, созданным с помощью приложения Word: были сопоставлены 2 версии шифрованного документа, полностью идентичные за исключением одного слова. Как оказалось, двоичные выходные данные этих шифрованных файлов были идентичны за исключением изменений, вызванных изменением текста документа. Аналогичным образом изменяются файлы электронных таблиц в приложении Excel.
В качестве решения проблемы исследователи предлагают методы принудительного изменения параметров инициализации, используемых при шифровании документов.
Официального комментария представителей Microsoft на обнаруженную уязвимость пока не последовало.