En elementær fejl i Microsoft Office betyder at det er forholdsvis nemt at blotlægge indholdet i password-beskyttede dokumenter, som ellers burde være beskyttet med stærk kryptering, skriver digi.no. Det er forskeren Hongjun Wu fra Institute of Infocomm Research i Singapore, der har afsløret den fejlagtige implementering af krypterings-algoritmen RC4 i Word og Excel.
Microsofts kontorpakke bruger RC4 til at beskytte tekstdokumenter og regneark mod uautoriseret adgang. Med nøgler på 128 bit burde det være umuligt at knække krypteringen. Men forskeren har afsløret, at man kan finde frem til indholdet hvis man har adgang til to krypterede versioner af samme dokument.
»Når et krypteret dokument ændres og lagres, forbliver initialiserings-vektoren den samme, og det betyder at den samme nøglestrøm fra RC4 bruges til at kryptere forskellige versioner af dokumentet. Det har katastrofale konsekvenser, fordi det bliver meget let at genvinde mange af informationerne i dokumentet,« skriver Hongjun i sin artikel om problemet.
Microsoft har erkendt problemet, men mener at risikoen er forholdsvis lille, fordi angriberen skal have adgang til to filer med samme navn og password. Men softwarefirmaet vil alligevel undersøge problemet nærmere.
Ifølge sikkerhedseksperten Bruce Schneier begik Microsoft den samme fejl i 1999 i forbindelse med implementeringen af RC4 i Windows NT. Han betegner det som en amatørfejl.