Jak podaje Bruce Schneier, autor książki "Applied Cryptography"
i ekspert ds. bezpieczeństwa komputerowego, systemy zabezpieczeń
najpopularniejszych składników pakietu Microsoft Office - edytora
tekstów Word i arkusza kalkulacyjnego Excel - posiadają amatorskie
luki umożliwiające przełamanie ich w prosty sposób.
Schneier ujawnił, że luka narusza jedną z podstawowych zasad
dotyczących ciągów szyfrujących, według której nie wykorzystuje się
tych samych ciągów szyfrujących do kodowania dwóch różnych
dokumentów. Chodzi o to, że dokonanie operacji XOR na
zaszyfrowanych w ten sposób dokumentach umożliwia przełamanie
klucza szyfrującego. W wyniku wykonania funkcji XOR na
zaszyfrowanych tym samym kluczem dokumentach, szyfrowanie znosi się
wzajemnie i dzięki temu otrzymuje się ciąg, będący wynikiem
działania funkcji XOR na jawnych tekstach. A stąd już tylko krok do
uzyskania dwóch jawnych tekstów, wystarczy bowiem poddać tekst
analizie częstotliwości występowania liter.
Po raz pierwszy Microsoft wykorzystał te same klucze szyfrujące dla
algorytmu RC4 w Wordzie i Excelu, już w 1999 r. w implementacji
Windows NT o nazwie kodowej Syskey. Pięć lat później koncern
powiela ten sam błąd w innych swoich produktach. Sprawa jest o tyle
ciekawa, że błąd należy do grupy podstawowych. Prostym sposobem
jego rozwiązania jest dodawanie losowego wektora do każdego klucza
szyfrującego dokument. Wtedy za każdym razem klucz szyfrujący byłby
inny.
Więcej informacji na ten temat można znaleźć w blogu Schneiera.