Пять лет спустя. Те же грабли
АрхивКриптографы нашли серьезную дыру в защите документов, зашифрованных популярными программами Microsoft Word и Excel. Уязвимость практически идентична уязвимости в защите криптоключей, выявленной в Windows NT еще в 1999 году.
На веб-сайте IACR, Международной ассоциации криптографических исследований, опубликована статья, предупреждающая о серьезной дыре в защите документов, подготовленных и зашифрованных популярными программами Microsoft Word и Excel.
Характерно, что новая уязвимость - неправильное использование алгоритма поточного шифрования RC4 - практически идентична уязвимости в защите криптоключей (Syskey), выявленной в Windows NT еще в 1999 году.
Теперь же криптограф Хонъюн Ву (Hongjun Wu) из сингапурского Института инфокоммуникационных исследований показал, что файлы Word и Excel, защищаемые с помощью пароля и предположительно сильного шифрования (длина ключа до 128 бит), могут быть легко вскрыты, если злоумышленнику доступно больше одной версии документа. Подобное, заметим, случается часто, поскольку при архивном копировании, как правило, сохраняется один из промежуточных вариантов файла, а в организациях и офисах многие документы ныне готовят-редактируют несколько человек.
В процессе эволюции Microsoft Office средства криптографической защиты информации, бесспорно, претерпели радикальное усовершенствование. К примеру, в Office 95 все шифрование сводилось к циклическому сложению (побитовой операцией XOR) пароля с текстом документа, то есть создавалась лишь видимость защиты. В последующих версиях Office начали применять вполне качественный поточный шифр RC4 (разработка сооснователя фирмы RSA Рональда Райвеста), однако в ранних экспортных вариантах программы длина ключа ограничивалась 40 битами. При такой длине ключа шифры, как известно, без проблем вскрываются на ПК простым перебором всех возможных комбинаций. То есть, строго говоря, защита документов опять же была лишь провозглашена, но не обеспечена. Затем экспортные законы США, контролирующие продажу криптографии как одной из разновидности вооружений, были подкорректированы, так что в последних версиях Microsoft Office пользователям в принципе доступны теоретически стойкие шифрсредства - в частности, RC4 с длиной ключа 128 бит. Да вот беда: реализован он так, что надежной защиты как не было, так и нет.
Среди фундаментальных основ криптографии имеется очень важное правило: если для засекречивания используется поточный шифр (наложение на открытый текст постоянно изменяющейся шифрпоследовательности), то никогда одну и ту же шифрпоследовательность не накладывают на два разных документа. Причем в данном контексте принципиально "разными" документами можно считать любые модификации файла. Если же это сделано, то все шифрование можно развалить простым складыванием двух шифртекстов (побитовой операцией XOR), после чего биты шифрующей последовательности "выпадают" (взаимно уничтожаются сложением), а остается сумма двух открытых текстов. При наличии базовых криптографических навыков оба текста нетрудно восстановить с помощью анализа частот встречаемости знаков, прогона по тексту вероятных слов и ряда других известных методов.
Шифруя многократно модифицируемый в приложениях MS Office документ одним и тем же ключом, корпорация Microsoft делает именно эту грубейшую криптографическую ошибку, причем уже не впервые, не желая учиться даже на собственном опыте. Широко известен элементарнейший способ исправления подобной ситуации - добавление в ключ уникального, одноразового "вектора инициализации" (IV), который не является секретом, но каждый раз делает шифрпоследовательность иной. Почему это не реализовано в MS Office - остается загадкой.
Представители Microsoft, как водится, постарались всячески умалить опасность "новой-старой" слабости. Возможность вскрытия нескольких версий одного файла, конечно, не отрицается. Но если пользователи так уж озабочены безопасностью, то они "могут защитить свою информацию ограничением доступа к зашифрованным документам Office, а также сохраняя документ, если в него внесены изменения, всякий раз с новым паролем". Впрочем, одновременно дано обещание выпустить соответствующий патч.
