Office-Verschlüsselung innert Kürze geknackt

Ein Designfehler in Microsoft Office, der im Jahre 2005 bekannt wurde, hat nun an Bedeutung gewonnen. Vermutlich haben die Redmonder den Fehler deswegen wahrscheinlich nie ausgebessert, da bisher kein bekanntes Exploit-Tool vorhanden war. Die Situation hat sich aber nach Eric Filiols Präsentation (PDF) geändert. Er habe laut eigener Aussage ein Tool entwickelt, welche die Verschlüsselung von Office-Dokumenten binnen Minuten knacken kann. Das Werkzeug entstand bei Analysearbeiten mit dem RC4-Algorithums, der 1994 in Office eingeführt wurde. Er konnte lange nicht darüber sprechen, da er damals für das französische Militär gearbeitet hat. Informationen dieser Art unterlagen der Geheimhaltung.

Die Implementierung des Algorithmus in Microsoft Office sei fehlerhaft. Um Sicherheit zu gewährleisten, dürfe jeder Schlüssel nur ein einziges Mal verwendet werden. Dies sei bei Microsoft Office aber nicht der Fall. Schlüssel würden bei der Erschaffung eines neuen Dokumentes nicht getauscht. Durch Vergleichen zweier Dokumente kann Filios Tool diesen Schlüssel knacken. Office 2007 ist davon nicht betroffen, da es AES-Verschlüsselung verwendet. Allerdings ist davon auszugehen, dass Office-2007-Vorgänger immer noch den grössten Marktanteil inne halten. Eric Filiol plant nicht, das Werkzeug zu veröffentlichen. Ob Microsoft die Lücke noch schliesst steht in den Sternen. Inoffiziellen Quellen zu Folge sehe man das Problem als nicht besonders gross. Anwender könnten Dokumente auch mit anderen Tools verschlüsseln.