Abo
  • IT-Karriere:

Verschlüsselung in Word und Excel unzureichend

Amateurfehler macht Verschlüsselung in Microsofts Applikationen angreifbar

Die Dokumentenverschlüsselung in Word und Excel lässt sich leicht umgehen, weil Microsoft bei der Implementierung der entsprechenden Verschlüsselungstechnik geschlampt hat. Entgegen den üblichen Gepflogenheiten verwendet Microsoft bei der Dokumentenverschlüsselung den gleichen Initialisierungsvektor für zwei unterschiedliche Dokumente. Pikanterweise wurde der gleiche Fehler auch schon vor rund fünf Jahren bei der Verschlüsselung in Windows NT 4.0 gemacht.

Artikel veröffentlicht am ,

Microsofts Office-Applikationen Word und Excel verschlüsseln Dokumente per RC4-Verschlüsselung mit einer Schlüssellänge von 128 Bit. Normalerweise wird bei jeder erneuten Verschlüsselung ein neuer Initialisierungsvektor sowie ein neuer Keystream verwendet. Wenn allerdings verschlüsselte Dokumente mit Word oder Excel bearbeitet wurden, verwendet Microsoft entgegen der üblichen Vorgehensweise den bisherigen Initialisierungsvektor und behält somit auch den bisherigen Keystream bei, wie der Kryptologe Hongjun Wu des Institute of Infocomm Research in Singapur herausfand.

Stellenmarkt
  1. über experteer GmbH, Frankfurt am Main
  2. Zech Management GmbH, Bremen

Somit lässt sich ein in Word oder Excel sicher verschlüsselt geglaubtes Dokument auf relativ einfache Art und Weise knacken, so dass Unberechtigte Zugang zu den entsprechenden Informationen erlangen. Dazu muss ein Angreifer lediglich Zugang zu zwei verschlüsselten Word- oder Excel-Dokumenten erhalten, die jeweils mit dem gleichen Keystream verschlüsselt wurden. Dann ist es nach Angaben von Wu ein Leichtes, die Verschlüsselung zu knacken, um die darin enthaltenen Informationen einzusehen.

Der Sicherheitsexperte Bruce Schneier wirft Microsoft vor, dass sich das Unternehmen einen Amateurfehler bei der Verschlüsselungsimplementierung in Word und Excel geleistet habe. Dies sei um so peinlicher, da der gleiche Fehler bereits 1999 bei der Verschlüsselung in Windows NT 4.0 gemacht wurde.

Die unzureichende Verschlüsselungsimplementierung wurde für Word 2002 und Excel 2002 bestätigt. Vermutlich steckt dieser Fehler aber auch in anderen Word- und Excel-Versionen.



Anzeige
Spiele-Angebote
  1. 4,31€
  2. (-72%) 8,30€
  3. 4,19€

Humtata 22. Jan 2005

Das kann gut sein. Nicht jeder braucht all das, was Office bietet. Manch einer braucht...

Dumm wie Brot 22. Jan 2005

Dummer Spruch. Intelligenz und Klugheit sind zwei verschiedene Sachen. Aber das kann...

529 21. Jan 2005

Hey, nicht gleich so aufregen ;) War doch nur Spaß.

iggy 21. Jan 2005

Das wars. Vielleicht reiß ich heute wieder ne Witzrunde an ;-)

Michael - alt 21. Jan 2005

Vor allem ist es ja überaus sinnvoll, dort wo große Anzahlen an Dokumenten vorliegen, ein...


Folgen Sie uns
       


Asus Studiobook Pro X (Ifa 2019)

Das Studiobook Pro X ist mit Xeon-Prozessor, Quadro GPU und einem Preis von 4300 Euro eindeutig auf professionelle Anwender ausgerichtet.

Asus Studiobook Pro X (Ifa 2019) Video aufrufen
Ryzen 7 3800X im Test: Der schluckt zu viel
Ryzen 7 3800X im Test
"Der schluckt zu viel"

Minimal mehr Takt, vor allem aber ein höheres Power-Budget für gestiegene Frequenzen unter Last: Das war unsere Vorstellung vor dem Test des Ryzen 7 3800X. Doch die Achtkern-CPU überrascht negativ, weil AMD es beim günstigeren 3700X bereits ziemlich gut meinte.
Ein Test von Marc Sauter

  1. Agesa 1003abba Microcode-Update taktet Ryzen 3000 um 50 MHz höher
  2. Agesa 1003abb Viele ältere Platinen erhalten aktuelles UEFI für Ryzen 3000
  3. Ryzen 5 3400G und Ryzen 3 3200G im Test Picasso passt

Manipulierte Zustimmung: Datenschützer halten die meisten Cookie-Banner für illegal
Manipulierte Zustimmung
Datenschützer halten die meisten Cookie-Banner für illegal

Nur die wenigsten Cookie-Banner entsprechen den Vorschriften der DSGVO, wie eine Studie feststellt. Die Datenschutzbehörden halten sich mit Sanktionen aber noch zurück.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Chrome & Privacy Google möchte uns in Zukunft anders tracken
  2. Tracking Google und Facebook tracken auch auf vielen Pornoseiten
  3. Android Apps kommen auch ohne Berechtigung an Trackingdaten

Serielle Hybride: Unterschätzte Zwischenlösung oder längst überholt?
Serielle Hybride
Unterschätzte Zwischenlösung oder längst überholt?

Die reine E-Mobilität kommt nicht so schnell voran, wie es Klimaziele und Luftreinhaltepläne erfordern. Doch viele Fahrzeughersteller stellen derweil eine vergleichsweise simple Technologie auf die Räder, die für eine Zukunft ohne fossile Kraftstoffe Erkenntnisse liefern kann.
Von Mattias Schlenker

  1. ADAC Keyless-Go bietet Autofahrern keine Sicherheit
  2. Gesetzentwurf beschlossen Regierung verlängert Steuervorteile für Elektroautos
  3. Cabrio Renault R4 Plein Air als Elektro-Retroauto

    •  /