Функция защиты данных в документах Microsoft Word и Excel содержит серьезную ошибку, которая позволяет злоумышленникам расшифровывать защищенные паролем файлы, сообщает ZDNET.

Проблема вызвана тем, что программисты Microsoft неправильно реализовали алгоритм шифрования в приложениях Office, пишет
комментарии (http://eprint.iacr.org/2005/007) специалист по криптографии из института Infocomm Research в Сингапуре Хунцзюнь Ву. “Из этих шифрованных файлов можно извлечь очень много информации. Если кто-то пользовался шифрованием в документах Microsoft Office… то им пора заняться оценкой причиненного ущерба”.

Microsoft в четверг сообщила, что она приступила к изучению этого дефекта.

“Наше раннее расследование показывает, что эта проблема очень мало угрожает заказчикам, – говорится в заявлении Microsoft, адресованном CNET News.com. – В некоторых случаях злоумышленник может прочесть содержимое зашифрованного файла, если в его распоряжении находится несколько версий этого файла. Чтобы попытаться воспользоваться уязвимостью, злоумышленнику потребуется доступ к двум разным файлам с одним и тем же именем, которые к тому же защищены одним и тем же паролем”.

В теории шифрования схемы, кодирующие более одного сообщения с применением одного и того же ключа, считаются недопустимыми. Дело в том, что сравнением информации шифрованных сообщений можно значительно сократить время поиска нужного пароля для их расшифровки.

Ошибка Microsoft Office – не первая проблема, возникшая у Microsoft с реализацией методов шифрования в ее продуктах. Секьюрити-эксперты то и дело указывали компании на слабые пароли в предыдущих версиях операционной системы Windows. А в 1999 году компания оказалась в центре споров по поводу того, действительно ли надежны ключи, на которых строится безопасность Windows NT.

Сегодняшняя проблема почти идентична проблеме слабого системного ключа, обсуждавшейся в 1999 году, говорит главный технолог Counterpane Internet Security и автор “Прикладной криптографии” Брюс Шнайер. “Это криптографическая ошибка уровня детского сада, – говорит он. – И еще хуже, что ее повторили дважды”.

Шнайер, который в начале этой недели рассмотрел проблему в своем блоге (http://www.schneier.com/blog/archives/2005/01/microsoft_rc4_f.html), критикует Microsoft за то, что та не учится на прошлых ошибках.

Производитель ПО утверждает, что в процессе изучения кода он не обнаружил вновь выявленной уязвимости, но отмечает, что эта ошибка кажется аналогичной предыдущей. Microsoft говорит также, что она намерена исследовать криптографический код, используемый в Office. “По завершении этого исследования Microsoft примет надлежащие меры для защиты заказчиков, которые смогут получить исправление в рамках нашего ежемесячного цикла выпуска обновлений”.

By Ruslan Novikov

Интернет-предприниматель. Фулстек разработчик. Маркетолог. Наставник.