Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft Office-encryptie niet zo veilig als gedacht

Versleutelen / Key / EncryptionEen onderzoeker is tot de vaststelling gekomen dat Microsoft Word en Excel een veiligheidsprobleem kennen met betrekking tot de encryptie. Wanneer een beveiligd document heropgeslagen wordt, gebruikt Office niet alleen dezelfde sleutel voor de 128-bit RC4-encryptie, maar ook dezelfde initialisatievectoren. Normaal moeten verschillende vectoren gebruikt worden bij het versleutelen met hetzelfde wachtwoord. In de praktijk komt het erop neer dat een kwaadwillige die twee versies van een gecodeerd bestand kan onderscheppen, bijvoorbeeld nadat een collega een aanpassing aanbracht en opnieuw opsloeg, heel wat informatie kan achterhalen. Hongjun Wu noteerde zijn bevindingen in een rapport, maar een reactie van Microsoft is er vooralsnog niet.

Door Yoeri Lauwers

Eindredacteur

21-01-2005 • 09:44

51 Linkedin Google+

Bron: Infoworld

Reacties (51)

Wijzig sortering
Meestal wordt er een woorden lijst gebruikt. Om te kraken.
Aan gezien de meeste mensen en normaal woord of naam gebruiken als wachtwoordt en niet zoiets als n3D3l@Nd.
Dat laatste zou je dus echt alleen kunnen vinden door elke combinatie van tekens te proberen.
Heb laatst ook Passware (recovery pro) geprobeerd op een beveiligd excelblad van een kennis (om een lay-out geintje uit te halen). Het programma werkt ook prima voor rar, etc, etc.

Maar het grappige is dat je niet persť HET password krijgt maar 'gewoon' een werkende sleutel:

voorbeeld (naar feit):
password: liefste (niet mijn idee, maar goed, het is der een)
gekraakt password: VAOXUWMXEXWCSMP

(ik hoorde later pas het originele password en was verbaasd over het verschil)

dit werkt ook andersom: als je die lange sleutel gebruikt om bv het excelblad te beveiligen, dan kan je het weer openen met het 'originele' password. Dus die twee sleutels hangen wel degelijk samen. Het kraken van beide codes gaat vrij rap: tijd daarvoor maakt volgens mij niets uit.

@tormentor:
ik bedoelde juist dat ik beide heb gekraakt (ik heb het bestand immers weer met vaox... opnieuw beveiligd en daarna ook weer met passware gekraakt) en dat het beide ongeveer even rap ging (geen meetinstrument gebruikt dus, behalve mijn eigen tijdsbesef). Dus die code gaat wel degelijk snel!
Voordat je een password als 'VAOXUWMXEXWCSMP' hebt gekraakt ben je wel even bezig... brute force houdt op als het wachtwoord te lang is... dan gaat het voor een gewone pc te lang duren
dit is een zeer bekende techniek om encryptie te kraken. Ook voor het kraken van bijv. wifi netwerken wordt de zelfde techniek gebruikt, alhoewel het daar iets moeilijker ligt omdat er wel zo nu en dan geswitcht wordt. Dus het feit dat de gebruikte encryptie er voor gevoelig is, en het feit dat ze niks veranderen, maakt duidelijk dat je er van uit kunt gaan dat het met vrij weinig moeite te kraken is.

Nog makkelijker dan wifi, en dat zegt toch wat ;-)

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True