WordとExcelの暗号化機能に脆弱性 57
ストーリー by Oliver
暗号の安全は鍵の機密性次第 部門より
暗号の安全は鍵の機密性次第 部門より
Anonymous Coward曰く、"WordとExcelの暗号化機能に脆弱性が発見された。RC4暗号アルゴリズムの実装方法が正しくなかったことが発覚したもので、同じ文書の別々のバージョンの暗号化を行う場合、通常は異なる初期化ベクターを使うべきところで、同じベクターを用いて暗号化が行われており、1つの文書の複数のバージョンで暗号鍵が同じままといったケースが起こりえるという。この問題はシンガポールにあるInstitute of Infocomm Researchのホンジュン・ウー氏の調査により発覚した。ウー氏は新しい論文の「The Misuse of RC4 in Microsoft Word and Excel」[PDF]でこの問題について解説している。"
ワードって (スコア:1, 興味深い)
ファイルに組み込まれたり。造反者を見つける為の仕組みみたいで
使いたくないワープロの1つ。
#ワードで内部告白すると危険でっせ。
#逆に言えば転がっているワードの文章を覗くと書いた人が分かる。
Re:ワードって (スコア:2, おもしろおかしい)
「徹夜で作った資料です」ってメール送ってきたんだけど、
作成者の欄が男性名(私の知ってる人)でした。
徹夜で…そうか、そういうことだったのかw
まったく、ワードは危険ですな。
Re:ワードって (スコア:1, おもしろおかしい)
資料が出来上がるまで、彼女がエッチしてくれんとです。
徹哉です。徹哉です...
Re:ワードって (スコア:1)
Re:ワードって (スコア:2, 参考になる)
Re:ワードって (スコア:0)
うーん、そういうのを公開するなら初めから付けなければいいし
方法じゃなくてオプションで付けるとかやり方があると思いますけど
その辺頭が回らないのがmsなのかと....
ことの始
Re:ワードって (スコア:2, 参考になる)
> 方法じゃなくてオプションで付けるとかやり方があると思いますけど
やはり、社内でドキュメントを共有するなら誰が作った、誰が変更したという情報は必須かもしれません。
外部に配布しないでローカルに流通しているだけならここ誰が書き換えたんだよってのが解ると便利ですし。
で・・・先ほど示したMicrosoftの技術情報 [microsoft.com]にもありますが、
Office XP(含むWord 2002,Excel 2002...)からは、
「ツール」>「オプション」>「セキュリティ」>「プライバシ オプション」>「ファイルを保存するとき個人情報を削除する」にチェックで出来ます。
あと、保存画面で右上の「ツール」>「セキュリティ オプション」>「プライバシ オプション」>「ファイルを保存するとき個人情報を削除する」でも出来ます
OSにWindowsXP(保障外ですが2000も可)で、OfficeXP/2003をお使いであれば、隠しデータの削除アドイン [microsoft.com](解説 [microsoft.com],既知の問題一覧 [microsoft.com])があります。
こちらはバッチ処理も可能 [microsoft.com]なので便利かもしれません。
以上参考になれば。
Re:ワードって (スコア:1)
>情報は必須かもしれません。
必須ですが、文面に書いていけない理由はないと思います。
>外部に配布しないでローカルに流通しているだけなら
>ここ誰が書き換えたんだよってのが解ると便利ですし。
もちろん必須です。文面自体に書かない理由はないでしょう。
#つか、作成者や修正者、更新履歴のない文書なんてのは、存在させちゃいけません。
---- redbrick
Re:ワードって (スコア:1)
Re:ワードって (スコア:1)
規模の小さい会社はどういった事をやりたくても出来ない・余裕がないのが実情。
Re:ワードって (スコア:1)
Re:ワードって (スコア:1)
Re:ワードって (スコア:1, すばらしい洞察)
雛形だけ作って、実際の内容はほかの人が作ってたり。
ヘッダとかフッタがちょうどいい文書があったので、中身は全部消して新たに作り直してたり。
現場での文書管理はそんなものです。
Re:ワードって (スコア:0)
正しい実装 (スコア:1)
正しく実装すればRC4はそれなりに安全なブロック暗号です。
確か
・周期以上の暗号化はしない
・同じ鍵は使わない
・RC4ストリームの先頭1024バイトは破棄
とか。
"Stupid risks are what make life worth living!" -- Homer Simpson
Re:正しい実装 (スコア:1)
…ってことを言いたいの?
それだけでAC書き込みとはご苦労様です。
"Stupid risks are what make life worth living!" -- Homer Simpson
Re:正しい実装 (スコア:0)
Re:正しい実装 (スコア:0)
Re:正しい実装 (スコア:1)
詳しそうなACなんで、ついでだから教えていただきたいのですが、
鍵とIVの差って何なんでしょうか?
"Stupid risks are what make life worth living!" -- Homer Simpson
Re:正しい実装 (スコア:0)
- なにをどうやったら iv と k を混同できるんだボケ
- ほらこれで「やっぱりこの AC は知ったかぶりをしている」と罵倒しやすくなったよね
- でも最後には「CBC iv でぐぐれボケ」と教えてあげる優しい AC 様なのでした
Re:正しい実装 (スコア:0)
鍵はユーザーが選択するもの。
IV(の選出アルゴリズム)は実装者が選択するもの。
Re:正しい実装 (スコア:0)
Re:正しい実装 (スコア:1)
色々関係ないことを書いたあげく「ぐぐれ」で逃げるのは知ったかぶりの証拠。
kとivの違いを書いた方が短い文ですむのに…
「タレこみ読め」ならまだ良かったのですが(実際書いてあるし)…AC様はタレこみを読んですらいないのですか?
うぷぷ
"Stupid risks are what make life worth living!" -- Homer Simpson
Re:正しい実装 (スコア:0)
これぞまさに「天に唾する」ってやつでしょうか。
Re:正しい実装 (スコア:1)
# うぷぷ。
これぞまさに天に唾する?
それはAC様の最初の御発言かと…
未だにRC4に関する知識を示せない時点で。
…あ、kとivの違いは最初から知ってますんで。
自分で組み込んだことある [srad.jp]し…
わざわざ「無礼」に聞いたのは答えられるか見たかっただけですよ?
"Stupid risks are what make life worth living!" -- Homer Simpson
Re:正しい実装 (スコア:0)
「iv の再利用が問題」と書いているのに「同じ鍵は使わない」
なんてこと書いちゃったのね。そりゃ恥ずかしい。
# あ、あなたのページ見たので IP アドレス公開してもいいですよ。
# 固定
Re:正しい実装 (スコア:1)
そんだけタイプするより「RC4の知識」書いた方が早いし。#683185 [srad.jp]しかも所詮ACだしってなるわけで。
ところで私の実装は、k(乱数)からのみIV作ってるんで結局再利用が同じ意味になってるんですが。
PKCでkをクライアント側に渡す予定だったから問題にならないし。
このIVの初期化方法ならk=IV。
kとIVは常に違う、と信じている方が恥ずかしい…
# というか「IPアドレスを公開してもいい」という言葉が出てくるとは思いもつかなかった。
# サイトへ誘導したのは罠だと思ったんですか?いつの時代だ…
"Stupid risks are what make life worth living!" -- Homer Simpson
Re:正しい実装 (スコア:0)
> 再利用が同じ意味になってるんですが。
Word と Excel も同じような実装になっているの?
Re:正しい実装 (スコア:0)
> ・同じ鍵は使わない
なんて書いちゃそりゃ突っ込まれるって。だって間違いだもの。
そこで素直に訂正しておけばいいものを
> はぁ。タレこみ文通り「初期化ベクター」の方がお気に召しますか。
Re:正しい実装 (スコア:0)
この前似たような状況で IP アドレス公開してた馬鹿を見たよ。
parsley だったっけ?
Re:正しい実装 (スコア:1)
最後のを知識自慢と取りますか。
> なにをどうやったら iv と k を混同できるんだ
> ぐぐれ
って時点で知ったかぶりをしているって判明してるので、そんなつもりはなかったんですが。
でもまぁ知識自慢されてると思うってことは間違いなく知ったかだったんですな。
今更ながら、知ったかACの格好の標的になるような書き込みをしてしまったことは認めます。
通信目的だけに実装して私の中ではほぼk=IVになってたし。
まぁ、その知ったかACはkとIVは言葉が違うから違うとしか考えてなかったようですが。最初はそれさえも…
…あぁ。
「前提なしだったから気づかなかった」って言うんですか。
"Stupid risks are what make life worth living!" -- Homer Simpson
Re:正しい実装 (スコア:1)
#683208でも書きましたが、口外しなければOKなので、私の実装は、
kを毎セッションごと乱数で決定、そのkを相手に渡すのは公開鍵暗号で…と考えていました。
これは通信におけるごく普通の秘密鍵+公開鍵暗号の使い方だと思いますが…
また間違ってますかね。
"Stupid risks are what make life worth living!" -- Homer Simpson
どんな場合に脆弱? (スコア:1)
するようなシーンがあるんだろうか? 論文で例に出されているマルチユーザー
環境で使うにしても、ファイル自身よりはACLなりEFSなり、ファイルシステム
の機能で保護した方が楽なような気がするのだが…
WordとExcelの暗号化手法に脆弱性 [itmedia.co.jp]
Microsoft Officeにまつわる暗号化関連の話題 [atmarkit.co.jp](下の方のコラム)
# そもそも Office にそんな機能は求めていないのでID
Re:どんな場合に脆弱? (スコア:1)
そのファイルを読み書きできるユーザー権限でウィルス等が稼動してしまえばACL/EFSは無力なわけで。
未だ外部ストレージは大抵FAT/FAT32なので暗号化できないのもありますし。
あとメールは平文ですからファイル自身に暗号化機能を持たせるのもありでしょう。
(パスワードまで一緒に書いて送ってたら笑うしかありませんが・・)
まぁ、そういったケースならPGPとか使えよって話ではありますが・・・
安全対策は二重三重にする意味はあるでしょう。
厳しくしたり、面倒になりすぎて守らない人が出ない程度には。
Re:どんな場合に脆弱? (スコア:0)
#「(社員用の)パスワード何だっけ?」「xxだよ
Re:どんな場合に脆弱? (スコア:0)
その情報が、どれだけクリティカルか考えず派遣の
前で口外してしまうというのも問題だけど、
そういう場所に派遣がいることを、肯定している人事判断に
すでに問題があるような気がしますね。
社内秘で扱うべきところを、派遣の目や耳に触れる事を承知し
区数? (スコア:0)
隠しコマンド (スコア:0)
どうやったら出せるんでしょう?
「Ctrl+Alt+Insert+マウス右クリック」とかですか?
「上上右下左上+A+Bボタン連打」とかですか?
Re:隠しコマンド (スコア:1)
イースターエッグ [yoshikawa.com]のこと?
え?違った?
# 転職しよーか、なぁ。
Re:隠しコマンド (スコア:0)
ツール→オプション→セキュリティ
無問題 (スコア:0)
適切な道具を選択しよう (スコア:0)
蛇足ですが、、、文章作成には何をお使いですか? (スコア:0)
Re:蛇足ですが、、、文章作成には何をお使いですか? (スコア:1)
まともに残したり提出したりするものはTeX
それなりに体裁を整えて印刷だけしてすぐ破棄するような使い捨て文章はWord
表計算はMATLAB、グラフもMATLAB
たまにperlでフィルタを作っても見ます。
手っ取り早くやりたいものはやっぱりExcel
でもプレゼンはPowerPointだけ。
そろそろOpenOfficeに移ってもいいのかナァ
LAN内LAN稼働中
おすすめの表計算ソフトは (スコア:0)
Re:おすすめの表計算ソフトは (スコア:1)
Re:おすすめの表計算ソフトは (スコア:0)
Excelのソルバーだとちょっと大きな問題になると解けませんが
gnumericはGLPKが入っています。
問題はWindowsで動かない点。
OpenOfficeはWindowsで動きますけど、
gnumericと比べるとずいぶんと見劣りする感じです。
Re:WordとExcelで文書作成しないから (スコア:0)
Re:WordとExcelで文書作成しないから (スコア:0)
古いバージョンは,罫線とかレイアウトに凝ると,僅か数ページでもよく落ちたよ.
Re:WordとExcelで文書作成しないから (スコア:0)
Wordであるページに張り付けた絵が前のページと次のページを行ったり来たりを
繰り返して止まらなくなります。
あれも伝家の宝刀「それは仕様です」かな?