Wie sicher ist die von Microsoft Office 2007 verwendete Verschlüsselung?

Ich habe verschiedene Artikel über die Office 2007-Verschlüsselung von Microsoft gelesen. Soweit ich weiß, ist 2007 mit allen Standardoptionen, die AES verwendet, sicher. 2000 und 2003 können sicher konfiguriert werden, indem der Standardalgorithmus auf AES geändert wird. Ich habe mich gefragt, ob jemand andere Artikel gelesen hat oder bestimmte Schwachstellen kennt, die mit der Implementierung der Verschlüsselung zusammenhängen. Ich möchte den Benutzern mitteilen können, dass sie damit halbempfindliche Dokumente senden können, solange sie AES und ein sicheres Passwort verwenden. Danke für die Auskunft.

Ja, die Büroverschlüsselung ist ziemlich sicher. Ich habe vor einiger Zeit eine Präsentation zur Sicherheit von Office 2007 zusammengestellt. Hier sind die relevanten Teile eines Whitepapers, auf das ich verwiesen habe.

• Frühere Versionen von Microsoft Office verwendeten eine RC4-Stream-Verschlüsselung mit einer Schlüssellänge von bis zu 128 Bit.
• Die Schwachstelle bei der Implementierung des RC4-Verschlüsselungsalgorithmus ermöglichte es Hackern, zwei Versionen einer kennwortgeschützten Datei zu vergleichen, um den Inhalt zu ermitteln und nicht autorisierten Benutzern das Lesen des Inhalts zu ermöglichen.
• Das Microsoft 2007 Office-System verwendet die Advanced Encryption Standard (AES) -Verschlüsselung, die der stärkste verfügbare Algorithmus nach Industriestandard ist und von der National Security Agency (NSA) als Standard für die US-Regierung ausgewählt wurde. AES hat einen Standardwert von 128 -bit-Schlüssel (der über die Windows-Registrierungs- oder Gruppenrichtlinie auf 256 Bit erhöht werden kann) und verwendet SHA-1-Hashing
• Das Microsoft 2007 Office-System verbessert den Algorithmus zum Konvertieren von Kennwörtern in Schlüssel: Es werden 50.000 sequentielle SHA-1-Iterationen durchgeführt.
• Die AES-Verschlüsselung wird für Open XML-Formate unterstützt, die in früheren Versionen von Microsoft Office verwendet wurden, wenn diese Dokumente in einer Microsoft 2007 Office-Systemanwendung erstellt wurden. In älteren Office-Binärformaten gespeicherte Dokumente können jedoch nur mit RC4 verschlüsselt werden, um die Kompatibilität mit älteren Versionen von Microsoft Office zu gewährleisten.
• Die AES-Unterstützung ist eine Funktion der Kryptografiedienstanbieter des Betriebssystems. Die AES-Verschlüsselung wird unter Windows Server 2003 und höher, Windows XP SP2 und höher unterstützt

Siehe auch Dave Leblancs Blog

Office 2007 Encyption ist gut, aber nur, wenn diese beiden Dinge zutreffen:

• Die Datei hat das native Format 2007 (docx für Word, xlsx für Excel usw.).
• Sie wählen ein gutes Passwort. Für die meisten Menschen sind dies 8+ Zeichen, wobei jeweils mindestens eines verwendet wird: Kleinbuchstaben, Großbuchstaben und Zahlen. Für mehr Sicherheit, länger und mit Symbolen.

Wenn sich die von Ihnen geöffnete Datei im Kompatibilitätsmodus befindet, können Sie die Sicherheit der Datei nicht garantieren (möglicherweise im Office 97-Kompatibilitätsmodus, in dem die Verschlüsselung in weniger als 10 Sekunden unterbrochen werden kann).

Die Office 2003-Verschlüsselung kann gut sein. In Office 2003 ist die Verschlüsselung standardmäßig so eingestellt, dass sie mit Office 97 kompatibel ist (<10 Sekunden Problem). Es kann RC4 eingestellt werden, was etwas sicher ist. Es werden 40- bis 128-Bit-Schlüssel verwendet. RC4 wurde jedoch in letzter Zeit hinsichtlich seiner Funktionsweise unter die Lupe genommen. und viele theoretisieren, dass ein Brute-Force-Angriff deutlich weniger Zeit als 2 ^ n dauern würde.