Schwachstelle in Verschlüsselung bei Microsofts Office-Paket

Nach Angaben eines Kryptologen des Institute of Infocomm Research in Singapur hat Microsoft die in Office-Produkte eingebaute Verschlüsselung fehlerhaft implementiert. Angreifer können aus mehreren Dokumenten den Inhalt restaurieren.

Word- und Excel-Datien lassen sich mit einem Passwort schützen. Dazu wird der Stromchiffrieralgorithmus RC4 mit einer Schlüssellänge von 128 Bit verwendet, aus dem ein Schlüsselstrom generiert wird, der genauso lang wie das zu verschlüsselnde Dokument ist. Üblichweise benutzt man hierfür noch einen zusätzlichen, (pseudo)-zufälligen Initialisierungsvektor, damit der selbe Schlüsselstrom nicht mehrfach Einsatz findet. Andernfalls wäre das Chiffrat anfälliger für Kryptanalysen.

Genau diesen Fehler hat wohl Microsoft bei der Programmierung gemacht: Der Initialisierungsvektor eines geschützten Dokuments ändert sich nie. Nimmt ein autorisierter Anwender Änderungen an einem Dokument vor und speichert es anschließend, so wird der ursprüngliche Schlüsselstrom wieder verwendet.

Damit ein Angreifer eine Kryptanalyse starten kann, muss er allerdings in den Besitz von mindestens zwei Dokumenten gleichen Namens, aber unterschiedlichen Inhalts gelangen, die mit dem gleichen Passwort geschützt sind -- beispielsweise indem er den Mailverkehr belauscht. Wie einfach das allerdings geht, zeigt der Artikel über ARP-Spoofing "Angriff von innen" auf heise Security.

Medienberichten zufolge analysiere Microsoft derzeit das Problem, gehe aber von einem sehr geringen Risiko für Anwender aus. Bruce Schneier, anerkannter Kryptoexperte und Autor von "Applied Cryptography", wirft den Redmondern in seinem Weblog vor, einen Anfängerfehler begangen zu haben. Zudem habe man nichts dazu gelernt -- den gleichen Fehler habe Microsoft bereits 1999 bei der Implementierung des Windows NT Syskeys begangen.

Siehe dazu auch: (dab)

• Misuse of RC4 in Word and Excel von Hongjun Wu
• Weblog: Microsoft RC4 Flaw von Bruce Schneier