Le chiffrement utilisé par Microsoft Office 2007 est-il sécurisé?

11

J'ai lu divers articles sur le cryptage Office 2007 de Microsoft et d'après ce que je suppose, 2007 est sécurisé à l'aide de toutes les options par défaut car il utilise AES, et 2000 et 2003 peuvent être configurés de manière sécurisée en changeant l'algorithme par défaut en AES. Je me demandais si quelqu'un d'autre avait lu d'autres articles ou connaissait des vulnérabilités spécifiques liées à la façon dont ils implémentent le cryptage. Je voudrais pouvoir dire aux utilisateurs qu'ils peuvent utiliser cela pour envoyer des documents semi-sensibles tant qu'ils utilisent AES et un mot de passe fort. Merci pour l'information.

ThatGraemeGuy
la source

Réponses:

8

Oui, le chiffrement au bureau est assez sécurisé. J'ai préparé une présentation sur la sécurité d'Office 2007 il y a quelque temps. Voici les extraits pertinents d'un livre blanc auquel j'ai fait référence.

  • Les versions précédentes de Microsoft Office utilisaient un chiffrement de flux RC4 avec une longueur de clé allant jusqu'à 128 bits.
  • la faiblesse de la mise en œuvre de l'algorithme de chiffrement RC4 a permis aux pirates de comparer deux versions d'un fichier protégé par mot de passe pour découvrir le contenu et permettre aux utilisateurs non autorisés de lire son contenu.
  • Microsoft 2007 Office system utilise le cryptage Advanced Encryption Standard (AES), qui est l'algorithme le plus puissant disponible sur le marché et a été sélectionné par la National Security Agency (NSA) pour être utilisé comme standard pour le gouvernement américain, AES a une valeur par défaut 128 -bit key (qui peut être augmentée à 256 bits via le Registre Windows ou la stratégie de groupe) et utilise le hachage SHA-1
  • Le système Microsoft 2007 Office améliore l'algorithme de conversion des mots de passe en clés: 50 000 itérations séquentielles SHA-1 sont effectuées.
  • Le chiffrement AES est pris en charge pour les formats Open XML utilisés dans les versions précédentes de Microsoft Office lorsque ces documents sont créés dans une application système Microsoft Office 2007. Cependant , les documents enregistrés dans les anciens formats binaires Office peuvent uniquement être chiffrés à l'aide de RC4 pour maintenir la compatibilité avec les anciennes versions de Microsoft Office.
  • Le support AES est une fonction des fournisseurs de services cryptographiques du système d'exploitation. Le chiffrement AES est pris en charge sur Windows Server 2003 et supérieur, Windows XP SP2 et supérieur

Voir aussi le blog de Dave Leblanc

Jim B
la source
4

L'encryptage Office 2007 est bon, mais uniquement lorsque ces deux choses s'appliquent:

  • Le fichier est au format natif 2007 (docx pour Word, xlsx pour Excel, etc.)
  • Vous choisissez un bon mot de passe. Pour la plupart des gens, c'est 8+ caractères, en utilisant au moins un de chacun: minuscules, majuscules et chiffres. Pour plus de sécurité, plus longtemps et avec des symboles.

Si le fichier que vous ouvrez est en mode de compatibilité, vous ne pouvez pas garantir la sécurité du fichier (il peut être en mode de compatibilité Office 97, où le cryptage peut être rompu en <10 secondes).

Le chiffrement Office 2003 peut être bon. Dans Office 2003, le cryptage est défini par défaut pour être compatible avec Office 97 (<10 secondes de problème). Il peut être configuré pour utiliser RC4 qui est quelque peu sécurisé. Il utilise des clés de 40 à 128 bits. RC4 a récemment fait l'objet d'un examen minutieux en raison de son fonctionnement; et beaucoup théorisent qu'une attaque par force brute prendrait beaucoup moins de temps que 2 ^ n.

Chris S
la source
Je suis désolé de ne pas avoir clarifié. Je parle principalement d'Excel et de Word.