Quanto è sicura la crittografia utilizzata da Microsoft Office 2007?

Ho letto vari articoli sulla crittografia di Microsoft Office 2007 e da quello che ho raccolto 2007 è sicuro usando tutte le opzioni predefinite grazie ad AES, e 2000 e 2003 possono essere configurati sicuri cambiando l'algoritmo predefinito in AES. Mi chiedevo se qualcun altro avesse letto altri articoli o se fosse a conoscenza di eventuali vulnerabilità specifiche legate al modo in cui implementano la crittografia. Vorrei poter dire agli utenti che possono utilizzare questo per inviare documenti semi-sensibili purché utilizzino AES e una password complessa. Grazie per l'informazione.

Sì, la crittografia dell'ufficio è piuttosto sicura. Ho preparato una presentazione sulla sicurezza di Office 2007 qualche tempo fa. Ecco i bit rilevanti di un white paper a cui ho fatto riferimento.

• Le versioni precedenti di Microsoft Office utilizzavano un codice di flusso RC4 con una lunghezza della chiave fino a 128 bit.
• la debolezza nell'implementazione dell'algoritmo di crittografia RC4 ha permesso agli hacker di confrontare due versioni di un file protetto da password per scoprire i contenuti e consentire agli utenti non autorizzati di leggerne i contenuti.
• Microsoft 2007 Office System utilizza la crittografia Advanced Encryption Standard (AES), che è l'algoritmo standard industriale più forte disponibile ed è stato selezionato dalla National Security Agency (NSA) per essere utilizzato come standard per il governo degli Stati Uniti, AES ha un valore predefinito 128 -bit chiave (che può essere aumentata a 256 bit tramite il registro di Windows o i criteri di gruppo) e utilizza l'hash SHA-1
• Microsoft Office System 2007 migliora l'algoritmo di conversione delle password in chiavi: vengono eseguite 50.000 iterazioni sequenziali SHA-1.
• La crittografia AES è supportata per i formati Open XML utilizzati nelle versioni precedenti di Microsoft Office quando tali documenti vengono creati in un'applicazione di Microsoft Office System 2007. Tuttavia , i documenti salvati nei formati binari di Office precedenti possono essere crittografati solo tramite RC4 per mantenere la compatibilità con le versioni precedenti di Microsoft Office.
• Il supporto AES è una funzione dei fornitori di servizi di crittografia del sistema operativo. La crittografia AES è supportata su Windows Server 2003 e versioni successive, Windows XP SP2 e versioni successive

Vedi anche il blog di Dave Leblanc

La codifica di Office 2007 è valida, ma solo quando si applicano queste due cose:

• Il file è in un formato nativo 2007 (docx per Word, xlsx per Excel, ecc.)
• Scegli una buona password. Per la maggior parte delle persone questo è 8+ caratteri, usando almeno uno di ciascuno: lettere minuscole, maiuscole e numeri. Per maggiore sicurezza, più a lungo e con simboli.

Se il file che apri è in Modalità compatibilità non puoi garantire la sicurezza del file (potrebbe essere in modalità Compatibilità di Office 97, dove la crittografia può essere interrotta in <10 secondi).

La crittografia di Office 2003 può essere buona. In Office 2003 la crittografia è impostata per impostazione predefinita per essere compatibile con Office 97 (problema <10 secondi). Può essere impostato per utilizzare RC4 che è in qualche modo sicuro. Utilizza chiavi da 40 a 128 bit. Recentemente RC4 è stato esaminato con attenzione per come funziona; e molti teorizzano che un attacco di forza bruta richiederebbe significativamente meno tempo di 2 ^ n.