id: Гость   вход   регистрация
текущее время 11:27 28/03/2024
Владелец: SATtva редакция от 03/09/2006 21:08 (автор: SATtva) Печать
создать
просмотр
редакции
ссылки

Это старая редакция страницы Библиотека / Статьи / R C 4 От Microsoft за 03/09/2006 21:08.


Дыра в RC4 от Microsoft


Одно из главных правил реализации потоковых шифров – никогда не использовать один и тот же выход генератора для шифрования двух разных документов. Если это правило нарушить, можно будет тривиально взломать криптосистему, объединив шифртексты операцией "исключающее ИЛИ". Гамма нейтрализуется, вы получаете два объединённых по XOR'у открытых текста, и можете легко восстановить любой с помощью частотного анализа текста и других элементарных приёмов.


Это дилетантская ошибка. Простой способ предотвратить такую атаку – использовать при каждом зашифровании документа в дополнение к ключу уникальный вектор инициализации (ВИ).


Microsoft реализовала потоковый шифр RC4 в своих программах Word и Excel. И допустила именно эту ошибку. Хонъюн Ву (Hongjun Wu) приводит подробности:


В этой работе мы хотим показать серьёзную ошибку в безопасности продуктов Microsoft Word и Excel. Потоковый шифр RC4 с длиной ключа до 128 бит используется в Word и Excel для защиты документов. Но всякий раз, когда зашифрованный документ подвергается правке и сохранению, вектор инициализации остаётся прежним, и, как следствие, для зашифрования различных редакций документа применяется идентичная сгенерированная алгоритмом гамма. Последствия этого катастрофичны, поскольку множество сведений о документе можно с лёгкость восстановить.

Это не новость. Microsoft уже наступала на грабли RC4 в 1999 г. в своём WinNT Syskey. Пять лет спустя она вновь повторяет это в других продуктах.