Hibás az Office titkosítási eljárása

Egy szingapúri biztonsági cég jelentése szerint a Microsoft Word és Excel hibás titkosítási eljárása miatt bárki könnyedén kibonthatja a jelszóval védett fájlokat, és hozzájuthat bizalmas adatainkhoz.

Hongdzsun Wu, az Institute of Infocomm Research szakembere jelentésében megjegyezte, hogy a szoftveróriás szakemberei nem megfelelő kódon integrálták a titkosítási eljárást, így az Office alkalmazások által elmentett fájlok védelme megkérdőjelezhető. "Rengeteg értékes információt nyerhetünk ki a titkosított fájlokból. Mindenki, aki igénybe vette a Microsoft Office titkosítási eljárást, jobban teszi, ha már most utánanéz, hogy milyen adatok kerültek veszélybe" - áll a jelentésben.

A Microsoft szóvivője tegnap megerősítette, hogy megkezdték a probléma vizsgálatát. "A vizsgálat első eredményei alapján kijelenhetjük, hogy a szóban forgó hiba igen kis veszélyt jelent a felhasználókra nézve. A támadó egyes esetekben valóban kibonthatja a titkosított fájlokat, de csak akkor, ha a kérdéses fájl több verziója is az illető birtokában van. A támadónak ugyanis a hiba kihasználásához két azonos nevű, de eltérő fájlra van szüksége, amelyeket ugyanaz a jelszó véd" - áll a Microsoft közleményében.

A kriptográfusok véleménye némileg eltér a Microsoft álláspontjától: szerintük ugyanis súlyos hibáról van szó, mivel az eljárás olykor ugyanazt a kulcsot használja két eltérő fájl titkosításához. Azt pedig könnyű belátnunk, hogy az eltérő fájlok összehasonlításával a támadók jelentős időt takaríthatnak meg, és jóval hamarabb visszafejthetik a fájlok kibontásához szükséges kulcsot.

A Microsoftot nem először éri kritika ezen a téren. Biztonsági cégek számos esetben figyelmeztettek a korábbi Windowsok gyenge jelszavas védelmére, sőt, 1999-ben még a Windows NT védelmének hatékonyságát is kétségbe vonták. Bruce Schneier, a Counterpane Internet Security technológiai igazgatója a mostani hibát az 1999-es esethez hasonlította, és kritizálta a szoftveróriást, mert a jelek szerint a vállalat saját korábbi hibáiból sem tanul. "A kriptográfia terén ez gyerekes hiba, és különösen bántó, hogy már másodszor fordul elő" - jelentette ki Schneier.