Насколько безопасно шифрование, используемое в Microsoft Office 2007?

Я читал различные статьи о шифровании Microsoft Office 2007 и, насколько я понимаю, 2007 является безопасным с использованием всех параметров по умолчанию, благодаря тому, что он использует AES, а 2000 и 2003 можно настроить безопасным, изменив алгоритм по умолчанию на AES. Мне было интересно, читал ли кто-нибудь еще какие-либо другие статьи или знал о каких-либо конкретных уязвимостях, связанных с тем, как они реализуют шифрование. Я хотел бы быть в состоянии сказать пользователям, что они могут использовать это для отправки полу-чувствительных документов, если они используют AES и надежный пароль. Спасибо за информацию.

Да, офисное шифрование довольно безопасно. Некоторое время назад я собрал презентацию о безопасности Office 2007. Вот соответствующие фрагменты из статьи, на которую я ссылался.

• В предыдущих версиях Microsoft Office использовался потоковый шифр RC4 с длиной ключа до 128 бит.
• Слабость в реализации алгоритма шифрования RC4 позволила хакерам сравнить две версии файла, защищенного паролем, для обнаружения содержимого и позволить неавторизованным пользователям читать его содержимое.
• Система Microsoft 2007 Office использует шифрование Advanced Encryption Standard (AES), которое является самым мощным стандартным алгоритмом из доступных и было выбрано Агентством национальной безопасности (NSA) для использования в качестве стандарта для правительства США. AES имеет значение по умолчанию 128 ключ (который может быть увеличен до 256 бит с помощью реестра Windows или групповой политики) и использует хеширование SHA-1
• Система Microsoft 2007 Office улучшает алгоритм преобразования паролей в ключи: выполняется 50000 последовательных итераций SHA-1.
• Шифрование AES поддерживается для форматов Open XML, которые использовались в предыдущих версиях Microsoft Office, когда эти документы создаются в приложении системы Microsoft Office 2007. Однако документы, сохраненные в более старых двоичных форматах Office, могут быть зашифрованы только с использованием RC4 для обеспечения совместимости со старыми версиями Microsoft Office.
• Поддержка AES является функцией поставщиков криптографических услуг операционной системы. Шифрование AES поддерживается в Windows Server 2003 и выше, Windows XP SP2 и выше

Смотрите также блог Дейва Леблана

Office 2007 Encyption хорош, но только когда применимы следующие две вещи:

• Файл имеет собственный формат 2007 года (docx для Word, xlsx для Excel и т. Д.)
• Вы выбираете хороший пароль. Для большинства людей это 8+ символов, по крайней мере один из них: строчные, прописные и цифры. Для большей безопасности, дольше и с символами.

Если файл, который вы открываете, находится в режиме совместимости, вы не можете гарантировать безопасность файла (это может быть в режиме совместимости с Office 97, где шифрование может быть нарушено менее чем за 10 секунд).

Office 2003 Шифрование может быть хорошим. В Office 2003 шифрование по умолчанию установлено как совместимое с Office 97 (проблема <10 секунд). Он может быть настроен на использование RC4, который несколько безопасен. Он использует от 40 до 128-битных ключей. RC4 попал под пристальное внимание в последнее время, хотя с тем, как он работает; и многие предполагают, что атака грубой силой займет значительно меньше времени, чем 2 ^ п.