Non si finisce mai d’imparare, devono pensare in queste ore a Redmond. Da quando, cioè, il mega-esperto di sicurezza, considerato un vero e proprio guru della cybersecurity, Bruce Schneier, ha scritto nel suo blog che la sicurezza della crittazione dei documenti di Word ed Excel è fortemente compromessa.
Qual è l’errore di Microsoft? Semplicemente un errore da dilettanti. Crittare un file, come avviene a richiesta nel pacchetto professionale di Office, consiste in una operazione per la quale viene creata una chiave per RC4 composta fino a un massimo di 128 bit per proteggere i documenti. La chiave è basata su di un vettore di inizializzazione per iniziare il processo di crittazione, garantendo che il processo sia sempre differente.
La considerazione che viene fatta, ai fini della sicurezza, è che se un singolo documento crittato con una chiave di tal fatta è perfettamente sicuro (sino a che non saranno inventati computer abbastanza potenti da poter “smontare” la chiave con un sistema di forza bruta), l’uso del medesimo vettore su due documenti diversi li rende facilmente confrontabili con la chiave logica XOr e quindi decodificabili.
Ecco l’errore di Microsoft, come rileva Schneier rifacendosi a uno studio realizzato recentemente: Word ed Excel, quando i documenti già crittati vengono modificati e salvati nuovamente, utilizza lo stesso vettore e la stessa modalità di generazione della chiave. In pratica, espone la sicurezza (elevata) di RC4 alla debolezza massima, rendendola praticamente inutilizzabile.
Questo errore, dice Schneier, veniva fatto con il WinNT Syskey, e oggi viene ripetuto, dopo ben cinque anni, esattamente con le stesse modalità in altri prodotti. Non si finisce mai di imparare, devono appunto aver pensato a Redmond. Soprattutto se non si presta attenzione alle lezioni precedenti, aggiungiamo noi…
