Новости образования
Главная
Ш.Уалиханов
О библиотеке
Подразделения
Фонды
Кто есть кто
Поэзия
English

Новости образования

20.01.2005 - Дыра в приложениях Word и Excel


Эксперт по вопросам безопасности Брюс Шнаер (Bruce Schneier) утверждает, что система защиты документов в Microsoft Word и Excel имеет дилетантскую уязвимость, которая позволяет легко их взломать.

В своем дневнике он написал, VoleWare нарушил одно из важнейших правил потокового шифрования (stream cipher), которое гласит: "Не используй одного и того же ключевого потока (keystream) для шифрования двух разных документов".

Если кто-то так сделает, вы можете взломать кодирование путем ксорирования двух зашифрованых потоков вместе. Ключевой поток выпадает, и вы получаете "текст XOR* текст" - откуда легко можете восстановить нешифрованый текст используя анализ частоты использования букв и прочие базовые техники.

Эту аматорскую ошибку совершила компания Microsoft, потому что использует потоковый шифр RC4 в обеих программах Word и Excel. О чем написал Hongjun Wu (проспект PDF).

В этом отчете указывается на серьезную брешь в безопасности Microsoft Word и Excel. Потоковый шифр RC4 с длинной ключа до 128 бит используется в Word и Excel для защиты документов. Но когда в зашифрованные документы вносятся изменения и сохраняются, вектор инициализации остается прежним, и таким образом такой же ключевой поток сгенерированный из RC4 используется для шифровки двух разных версий документа. Последствия могут быть катастрофическими, поскольку таким образом может быть получена секретная информация из множества документов.

Это не ново. Microsoft совершил ту же ошибку в 1999 с RC4 в WinNT Syskey. Пять лет спустя он ее повторил в других продуктах.

*XOR-шифрование является самым простым и быстрым. XOR – это булево «исключающее ИЛИ», использующееся в языках программирования, как логический или бинарный оператор. Действует он так:

  • 1 XOR 1 = 0
  • 0 XOR 0 = 0
  • 1 XOR 0 = 1
  • 0 XOR 1 = 1

Т.е. если биты (или логические значения) различны, то получается 1 (true), если одинаковы, то 0 (false).

По материалам: ITUA.info

Тел.: (3262) 45-29-56, 45-43-87

E-mail: ounbtaraz@narod.ru

Copyright (c) by ОУНБ им.Ш.Уалиханова


Сайт создан в системе uCoz