Quão segura é a criptografia usada pelo Microsoft Office 2007?

11

Li vários artigos sobre a criptografia do Office 2007 da Microsoft e, do que concluo, 2007 é seguro usando todas as opções padrão devido ao uso do AES, e 2000 e 2003 podem ser configurados como seguros alterando o algoritmo padrão para AES. Eu queria saber se alguém já leu algum outro artigo ou sabe de alguma vulnerabilidade específica envolvida na maneira como implementa a criptografia. Eu gostaria de poder dizer aos usuários que eles podem usar isso para enviar documentos semi-sensíveis, desde que eles usem AES e uma senha strong. Obrigado pela informação.

    
por ThatGraemeGuy 15.03.2010 / 15:20

2 respostas

8

Sim, a criptografia do escritório é bastante segura. Eu coloquei uma apresentação sobre a segurança do Office 2007 um tempo atrás. Aqui estão os pedaços relevantes de um whitepaper que eu referenciei.

  • As versões anteriores do Microsoft Office usavam uma codificação de fluxo RC4 com um comprimento de chave de até 128 bits.
  • A fraqueza na implementação do algoritmo de criptografia RC4 possibilitou que hackers comparassem duas versões de um arquivo protegido por senha para descobrir o conteúdo e permitir que usuários não autorizados lessem seu conteúdo.
  • O Microsoft 2007 Office System usa a criptografia Advanced Encryption Standard (AES), que é o algoritmo padrão da indústria mais strong disponível e foi selecionado pela National Security Agency (NSA) para ser usado como padrão para o governo dos EUA. uma chave de 128 bits padrão (que pode ser aumentada para 256 bits por meio do registro do Windows ou da diretiva de grupo) e usa hashing SHA-1
  • O Microsoft Office system 2007 melhora o algoritmo de conversão de senhas em chaves: são executadas 50.000 iterações seqüenciais SHA-1.
  • A criptografia AES é compatível com formatos Open XML usados em versões anteriores do Microsoft Office quando esses documentos são criados em um aplicativo do sistema Microsoft Office 2007. No entanto , os documentos salvos nos formatos binários mais antigos do Office só podem ser criptografados usando o RC4 para manter a compatibilidade com versões mais antigas do Microsoft Office.
  • O suporte AES é uma função dos provedores de serviços de criptografia do sistema operacional. A criptografia AES é suportada no Windows Server 2003 e superior, Windows XP SP2 e superior

Veja também blog de Dave Leblanc

    
por 15.03.2010 / 16:35
4

O Office 2007 Encyption é bom, mas somente quando essas duas coisas se aplicam:

  • O arquivo está em um formato nativo de 2007 (docx para Word, xlsx para Excel, etc)
  • Você escolhe uma boa senha. Para a maioria das pessoas, esse é o caractere 8+, usando pelo menos um de cada: minúsculas, letras maiúsculas e números. Para mais segurança, mais tempo e com símbolos.

Se o arquivo que você abrir estiver no Modo de Compatibilidade, não será possível garantir a segurança do arquivo (ele pode estar no modo de compatibilidade do Office 97, em que a criptografia pode ser quebrada em < 10 segundos).

A criptografia do Office 2003 pode ser boa. No Office 2003, a Criptografia é definida por padrão para ser compatível com o Office 97 (< 10 segundo problema). Pode ser configurado para usar o RC4, que é um pouco seguro. Ele usa chaves de 40 a 128 bits. O RC4 tem estado sob escrutínio tardio, embora com o modo como funciona; e muitos teorizam que um ataque de força bruta levaria menos tempo que 2 ^ n.

    
por 15.03.2010 / 15:33