Эволюция шифрования в Microsoft Office

В заключении своей статьи “Почему криптосистемы ненадежны”, написанной в 1998 году, я указывал, что положение с применением сильной криптографии в приложениях начинает меняться в лучшую сторону. Рассмотрим эволюцию использования криптографических средств на примере одного из самых популярных приложений для персональных компьютеров  - офисного пакета MS Office, тем более, что недавно Microsoft официально открыла спецификации этого пакета, включая используемые алгоритмы шифрования. Ниже я буду говорить только о паролях на открытие файла, т.к. при установке остальных паролей (на доступ по чтению и т.д.) сам текст документа не зашифровывается и они поэтому могут быть легко обойдены.

Первым шифрованием, применяемым в MS Office до версии 6.0 включительно, было ни что иное, как обычный XOR. Понятно, что такой простейший алгоритм шифрования не обеспечивает никакой защиты (и теперь стыдливо называется в спецификации словом “запутывание” (“obfuscation”)), и любые пароли восстанавливались мгновенно. Такое запутывание не запутало специалистов по криптографии, и соответствующие программы по взлому MS Word и Excel появились очень быстро. Как отмечал один из их авторов Marc Thibault, “ложное чувство безопасности гораздо хуже, чем ее отсутствие” и просил фирму Microsoft улучшить защиту в Office. Читать далее »

В начале было слово …

… и слово было 4 бита, потому как первый микропроцессор Intel 4004, выпущенный в 1971 году, был 4-разрядным. К процессорам, их характеристикам и их эволюции мы еще неоднократно вернемся в этом блоге, но для начала позвольте представиться.

Меня зовут Павел Семьянов, я уже более 15 лет занимаюсь компьютерной безопасностью и работаю в Санкт-Петербургском Политехническом Университете. Одним из моих увлечений с самого начала стала криптография, в особенности ее практическое применение в различных компьютерных системах, а одним из моих хобби, тесно связанным с работой, стало написание программ для анализа уязвимостей криптографических систем и, в основном, взлома (иначе говоря, восстановления) паролей. (Я обязательно коснусь разницы в терминах “взлом паролей” и “восстановление паролей”, в том числе юридической, в одной из следующих записей).  Поэтому надеюсь, что информация из первых рук о практической криптографии, которой я располагаю, будет небезынтересна широкому кругу читателей.

Читать далее »

WordPress Themes