Web

 

MS-Office-Verschlüsselung fehlerhaft

21.01.2005

MÜNCHEN (COMPUTERWOCHE) - Aufgrund einer fehlerhaften Implementierung der Verschlüsselungsfunktion innerhalb von Microsofts Office-Suite können Angreifer chiffrierte Daten ausspähen. Hongjun Wu, der als Kryptographie-Forscher für das Institute for Infocomm Research in Singapur arbeitet, hat den Fehler entdeckt.

Wie der Experte erklärt, nutzen sowohl "Word" als auch "Excel" als Verschlüsselungsmethode das von dem Krypto-Veteranen Ronald Rivest entwickelte Verfahren RC4, um Daten zu chiffrieren. Wu erläutert in einem Aufsatz detailliert, dass die Programme dabei jedoch versäumen, den Initialisierungsvektor für den Chiffrierschlüssel zu verändern, wenn ein einmal gespeichertes Dokument modifiziert und erneut gesichert wird. So sei es möglich, durch einfache Vergleiche der Binärdateien verschiedener Versionen einer Datei Rückschlüsse auf den Krypto-Schlüssel zu ziehen und mit dessen Hilfe schließlich auf chiffrierte Inhalte zuzugreifen.

Microsoft hat den Hinweis zur Kenntnis genommen und will den Fehler untersuchen. In ersten Stellungnahmen bezeichnete das Unternehmen das dadurch entstehende Risiko als "sehr gering". Ein Angreifer müsse schon mehrere Versionen einer verschlüsselten Datei desselben Namens vorliegen haben, um eine Chance zu haben, an die chiffrierten Inhalte zu kommen. (ave)