¿Qué tan seguro es el cifrado utilizado por Microsoft Office 2007?

He leído varios artículos sobre el cifrado de Office 2007 de Microsoft y, por lo que sé, 2007 es seguro usando todas las opciones predeterminadas debido a que usa AES, y 2000 y 2003 se pueden configurar de forma segura cambiando el algoritmo predeterminado a AES. Me preguntaba si alguien más ha leído algún otro artículo o conoce alguna vulnerabilidad específica relacionada con la forma en que implementan el cifrado. Me gustaría poder decirles a los usuarios que pueden usar esto para enviar documentos semi-sensibles siempre que usen AES y una contraseña segura. Gracias por la información.

Sí, el cifrado de oficina es bastante seguro. Hice una presentación sobre la seguridad de Office 2007 hace un tiempo. Aquí están los bits relevantes de un documento técnico al que hice referencia.

• Las versiones anteriores de Microsoft Office usaban un cifrado de flujo RC4 con una longitud de clave de hasta 128 bits.
• La debilidad en la implementación del algoritmo de cifrado RC4 hizo posible que los piratas informáticos compararan dos versiones de un archivo protegido por contraseña para descubrir el contenido y permitir que usuarios no autorizados lean su contenido.
• Microsoft 2007 Office system utiliza el cifrado de Advanced Encryption Standard (AES), que es el algoritmo estándar más fuerte disponible en la industria y fue seleccionado por la Agencia de Seguridad Nacional (NSA) para ser utilizado como estándar para el gobierno de los EE. UU., AES tiene un valor predeterminado 128 -bit clave (que se puede aumentar a 256 bits a través del Registro de Windows o la política de grupo) y utiliza hashing SHA-1
• El sistema Office 2007 de Microsoft mejora el algoritmo de conversión de contraseñas en claves: se realizan 50,000 iteraciones secuenciales SHA-1.
• El cifrado AES es compatible con los formatos Open XML utilizados en versiones anteriores de Microsoft Office cuando esos documentos se crean en una aplicación del sistema Microsoft 2007 Office. Sin embargo , los documentos guardados en los formatos binarios de Office anteriores solo se pueden cifrar con RC4 para mantener la compatibilidad con versiones anteriores de Microsoft Office.
• El soporte AES es una función de los proveedores de servicios criptográficos del sistema operativo. El cifrado AES es compatible con Windows Server 2003 y superior, Windows XP SP2 y superior

Ver también el blog de Dave Leblanc

Office 2007 Encyption es bueno, pero solo cuando se aplican estas dos cosas:

• El archivo está en un formato nativo de 2007 (docx para Word, xlsx para Excel, etc.)
• Eliges una buena contraseña. Para la mayoría de las personas, se trata de más de 8 caracteres, utilizando al menos uno de cada uno: minúsculas, mayúsculas y números. Para mayor seguridad, por más tiempo y con símbolos.

Si el archivo que abre está en modo de compatibilidad, no puede garantizar la seguridad del archivo (podría estar en el modo de compatibilidad de Office 97, donde el cifrado puede romperse en <10 segundos).

Office 2003 Encryption puede ser bueno. En Office 2003, el cifrado está configurado de forma predeterminada para ser compatible con Office 97 (problema de <10 segundos). Se puede configurar para usar RC4, que es algo seguro. Utiliza claves de 40 a 128 bits. RC4 ha sido objeto de escrutinio últimamente por la forma en que funciona; y muchos teorizan que un ataque de fuerza bruta tomaría significativamente menos tiempo que 2 ^ n.