Speisekarte
HeimatNavigation

So installieren Sie einen Verschlüsselungsalgorithmus auf einem Computer. Datenverschlüsselungsalgorithmus. Optionen zum Schutz von Dokumenten

3 Antworten

kann jemand die echten Daten bekommen oder etwas tun, wenn der Verschlüsselungsalgorithmus bekannt ist

Wenn der Angreifer den Verschlüsselungsalgorithmus kennt, greift er ein, denn jetzt muss er nur noch herausfinden, mit welchem ​​Schlüssel er verschlüsselt wurde. Aber etablierte Verschlüsselungsalgorithmen wie AES haben keine bekannten Schwächen. Daher wird ein Angreifer es gewaltsam verwenden, um Zugriff auf Daten zu erhalten.

Wenn Sie Schlüssel der entsprechenden Größe verwenden (z. B. AES 256 Bit oder mehr), wird dies eine sehr schwierige Aufgabe. DES hat auch keine bekannten Schwächen, aber seine kleine Schlüsselgröße (56 Bit) ermöglicht einen Brute-Force-Angriff innerhalb einer angemessenen Zeitspanne (z. B. Tage). Deshalb wird DES nicht mehr verwendet.

auch wenn der Hacker nichts von Private Keys, Public Key oder PV weiß?

Beachten Sie, dass öffentliche Schlüssel nur im Zusammenhang mit asymmetrischer Verschlüsselung anwendbar sind. In diesem Fall ist der öffentliche Schlüssel in der Regel öffentlich (daher der Name „öffentlicher Schlüssel“). Die asymmetrische Verschlüsselung ist jedoch so konzipiert, dass Sie den öffentlichen Schlüssel selbst dann nicht entschlüsseln können, wenn Sie ihn kennen Privat Schlüssel.

Daher haben sich Verschlüsselungsalgorithmen wie AES bewährt und sich als recht sicher erwiesen. Wie David Schwartz in seiner Antwort betont, ist (normalerweise) Ihre Implementierung schuld, nicht der Verschlüsselungsalgorithmus, wenn Sie ein Problem haben.

Fast per Definition, wenn die Verschlüsselung korrekt implementiert und Teil eines vernünftig gestalteten Systems ist, Nein. Das ist der springende Punkt der Verschlüsselung.

Beachten Sie, dass Verschlüsselung keine Zauberei ist. Es muss genau eingesetzt werden, um einen sinnvollen Schutz zu bieten. Es gibt viele Möglichkeiten, es falsch zu machen.

Wenn Sie ein Produkt nicht mit großem Respekt verwenden (wie TrueCrypt, Firefox oder GPG) und es genau so verwenden, wie es verwendet werden soll, besteht eine sehr gute Chance, dass Sie keine wirkliche Sicherheit erhalten. Beispielsweise verwendete Dropbox AES, aber eine Sicherheitslücke in einem anderen Teil ihres Systems ermöglichte es einem Benutzer, andere Benutzerdaten zu entschlüsseln. Es half also nicht, dass es verschlüsselt war.

Ja, die Wahrung der Geheimhaltung eines Algorithmus trägt geringfügig zur Sicherheit bei. Wenn ein Angreifer weiß, dass Sie DES verwendet haben (was nicht besonders schwer zu knacken ist), können sie es wahrscheinlicher versuche es zu brechen.

Ich denke, der Kern Ihrer Frage sind statistische Angriffe, die versuchen, die Verschlüsselung zu durchschauen, um die Natur der Daten zu entschlüsseln. Jeder einigermaßen moderne Algorithmus ist mathematisch so konzipiert, dass er jeden Versuch vereitelt, zu erraten, was die Daten sind.

David macht jedoch einen sehr guten Punkt. Selbst eine perfekte Verschlüsselung (falls vorhanden) wäre anfällig für menschliches Versagen. Diese Algorithmen sind nutzlos, es sei denn, Sie trennen sich von sich selbst und kreuzen Ihre ts und haben absolutes (und berechtigtes) Vertrauen in diejenigen, die die Daten entschlüsseln können.

21.06.2011 Wladimir Bezmaly

Über die Vorteile des Wechsels zu Office 2010 wurde viel geschrieben, und ich denke, es lohnt sich nicht, alle Argumente zu wiederholen. Heute möchte ich über die Vorteile eines solchen Übergangs in Bezug auf die Sicherheit verschlüsselter Dokumente sprechen.

Erinnern wir uns zunächst daran, wie Dokumente geschützt wurden. Microsoft Word in Microsoft Office.

Vergangenheit und Gegenwart der Verschlüsselung in Office

In Office war bis einschließlich Version 6.0 der erste Verschlüsselungsalgorithmus reines XOR. Natürlich solche der einfachste Algorithmus Verschlüsselung bot keinen Schutz, und alle Passwörter wurden fast sofort wiederhergestellt. Es ist ganz natürlich, dass die entsprechenden Programme zum Hacken von Microsoft Word und Microsoft Excel erschien fast sofort. Darüber hinaus ist, wie einer der Autoren solcher Programme feststellte, ein falsches Sicherheitsgefühl viel schlimmer als seine Abwesenheit. Und er forderte Microsoft auf, den Schutz in Office zu verbessern.

Dies geschah in späteren Versionen von Microsoft Office 97 und 2000. Diese Produkte verwendeten starke MD5- und RC4-Verschlüsselungsalgorithmen. Aufgrund der damals in den Vereinigten Staaten geltenden Beschränkungen für den Export starker Kryptographie konnten außerhalb der Vereinigten Staaten verwendete kryptographische Algorithmen jedoch keine Schlüssel verwenden, die länger als 40 Bit waren. Dies führte zu einer künstlichen Begrenzung der RC4-Schlüssel auf 40 Bit, und daher wurden von 16 Bytes, die am Ausgang von MD5 empfangen wurden, 11 einfach auf 0 überschrieben, und der RC4-Schlüssel wurde aus 5 signifikanten Bytes und 11 Nullen gebildet. Dies führte zu der Möglichkeit, einen Brute-Force-Angriff zu organisieren. Um eine MS Word/Excel 97/2000-Datei zu entschlüsseln, müssen Sie maximal 240 Schlüssel aufzählen.

Angesichts des Auftretens von Schlüsseltabellen (Regenbogentabellen) kann der gewünschte Angriff in einer begrenzten Zeit (von einigen Sekunden bis zu mehreren Minuten) durchgeführt werden. Darüber hinaus sind Internetseiten aufgetaucht, die solche Dienste anbieten, wie www.decryptum.com (die Kosten für die Entschlüsselung einer Datei betragen 29 $); Software Guaranteed Word Decrypter (GuaWord) 1.7, Guaranteed Excel Decryptor (GuaExcel) 1.7 (PSW-soft), Advanced Office Passwortknacker(AOPB), Advanced Office Password Recovery (AOPR) (Elcomsoft).

In Microsoft Office XP/2003 wurde derselbe Algorithmus mit einem 40-Bit-Schlüssel als Standardverschlüsselungsalgorithmus belassen. Es wurden jedoch folgende Änderungen vorgenommen:

  • Hash-Algorithmus SHA1 (statt MD5);
  • der RC4-Schlüssel kann bis zu 128 Bit lang sein;
  • Passwortlänge von 16 auf 255 Zeichen erhöht.

Eine andere Sache ist, dass das verwendete Verschlüsselungs- und Passwortverifizierungsschema in jedem Fall eine hohe Brute-Force-Rate (bis zu 1.000.000 Passwörter pro Sekunde) ermöglicht, wie in Abbildung 1 gezeigt.

Office 2007 hat sich beworben neues Schema Verschlüsselung zur Bekämpfung entwickelt schnelle Geschwindigkeit Brute-Force-Passwörter. Es beinhaltet grundlegende Unterschiede aus der Vorgängerversion:

  • der RC4-Algorithmus wurde durch den AES-Verschlüsselungsalgorithmus mit einer Schlüssellänge von 128 Bit ersetzt;
  • Anstatt einmal zu hashen, wird das Passwort zyklisch 50.000 mal gehasht;
  • Die Verwendung von Verschlüsselungsalgorithmen von Drittanbietern ist möglich.

Ergebend Maße genommen Die Geschwindigkeit der Aufzählung von Passwörtern beträgt nicht mehr als 200 Passwörter pro Sekunde, sodass Sie in angemessener Zeit Passwörter mit nicht mehr als 5–6 Zeichen erraten können.

Gleichzeitig sollte betont werden, dass mit dem Aufkommen von Software, die die Ressourcen einer Grafikkarte nutzt, die Brute-Force-Geschwindigkeit auf 5.000 Passwörter pro Sekunde steigt, was für einen vollwertigen Brute auf jeden Fall eindeutig nicht ausreicht Kraftangriff (Bildschirm 2).
Abbildung 2. Brute-Force-Angriff basierend auf Grafikkartenressourcen

Das Format geschützter Dateien kann nicht als einfach und verständlich bezeichnet werden. Wenn zum Öffnen einer Datei ein Kennwort festgelegt ist, handelt es sich schließlich um einen OLE-Container, der aus Informationen zur Verschlüsselung, einem verschlüsselten Stream und zusätzlichen Informationen besteht. Doch obwohl er wie der Verschlüsselungsblock in Office XP/2003 den Namen des Krypto-Anbieters, die Namen der Hash- und Verschlüsselungsalgorithmen sowie die Schlüssellänge und Daten zur Passwortverifizierung und -entschlüsselung enthält, ist der Die folgenden Parameter sind in Office 2007 fest codiert:

  • AES-Verschlüsselungsalgorithmus mit einer Schlüssellänge von 128 Bit;
  • SHA-1-Hashing-Algorithmus.

Gleichzeitig werden Verschlüsselung und Hashing vom Microsoft Enhanced RSA and AES Cryptographic Provider bereitgestellt. Gleichzeitig sollte berücksichtigt werden, dass bei einem Brute-Force-Angriff die Brute-Force-Geschwindigkeit katastrophal abfällt.

Der Algorithmus zur Überprüfung von Passwörtern zum Schutz eines Dokuments vor Änderungen mit Nur-Lese-Zugriff sowie Büchern und Excel-Tabellen. Bisher wurde der Passwort-Hash im Dokument gespeichert, bestehend aus 2 Bytes. Dementsprechend war es möglich, es auf das erste passende Passwort umzukehren. Nun wird der Hash-Algorithmus durch einen Eintrag in der XML-Datei definiert und dort auch die Anzahl der Hash-Iterationen definiert.

Optionen zum Schutz von Dokumenten

Mit den Dokumentschutzeinstellungen können Sie ändern, wie Dateien und Text mit der Kennwortschutzfunktion verschlüsselt werden. Es gibt zwei Arten von Dokumentschutzoptionen:

  • globale Einstellungen gelten für Office-Excel 2007, Office PowerPoint 2007 und Office-Wort 2007. Zwei globale Dokumentensicherheitsoptionen werden in Tabelle 1 beschrieben;
  • Anwendungsspezifische Einstellungen, die nur für Microsoft Office OneNote 2007 gelten.

Diese Einstellungen finden Sie entweder auf der Seite „Benutzereinstellungen bearbeiten“ des Centers Office-Bereitstellungen, in 2007 Microsoft Office System, Sicherheitseinstellungen oder im Knoten Benutzerkonfiguration/Administrative Vorlagen des Objekteditors Gruppenrichtlinie“ im Abschnitt 2007 Microsoft Office System/Sicherheitseinstellungen.

Datenschutzeinstellungen

Datenschutzeinstellungen tragen zum Schutz privater und sensibler Informationen bei. Wir können vier Hauptkategorien von Datenschutzeinstellungen in Office 2007 verwenden. Die Einstellungen können im OAT oder über die Gruppenrichtlinie konfiguriert werden. Die vier Kategorien der Datenschutzeinstellungen werden im Folgenden beschrieben.

Die Einstellung des Dokumentinspektors ist in Tabelle 2 dargestellt.

Die CLSID für das Inspektormodul finden Sie in den Registrierungseinträgen in den folgenden Registrierungsschlüsseln:

HKEY_LOCAL_MACHINE/Software/ Microsoft/Office/12.0/Excel/ Document Inspectors HKEY_LOCAL_MACHINE/Software/ Microsoft/Office/12.0/PowerPoint/ Document Inspectors HKEY_LOCAL_MACHINE/Software/ Microsoft/Office/12.0/Word/ Document Inspectors

Die Option „Dokumentinspektor“ finden Sie auf der Seite „Benutzeroptionen bearbeiten“ des Office-Anpassungstools: 2007 Microsoft Office System (Computer)/Andere.

Alternativ finden Sie diese Einstellung im Gruppenrichtlinienobjekt-Editor: Computerkonfiguration/Administrative Vorlagen/Microsoft Office 2007 (Computer)/Andere.

Verschlüsselung in Office 2010. Die in Microsoft Office 2010 verwendeten Verschlüsselungsalgorithmen hängen von den Algorithmen ab, auf die über APIs im Windows-Betriebssystem zugegriffen werden kann. Office 2010 unterstützt zusätzlich zur Kryptografie-API (CryptoAPI) auch die CNG-Schnittstelle (CryptoAPI: Next Generation), die erstmals in Microsoft Office 2007 Service Pack 2 (SP2) verfügbar gemacht wurde.

Es sollte beachtet werden, dass Sie mit CNG eine dynamischere Verschlüsselung erreichen und Module anwenden können Dritthersteller. Wenn Office die CryptoAPI verwendet, hängen die Verschlüsselungsalgorithmen von den Algorithmen ab, die im Cryptographic Service Provider (CSP) verfügbar sind, der im Windows-Betriebssystem enthalten ist.

Die Liste der auf dem Computer installierten Kryptografiedienstanbieter ist im folgenden Registrierungsschlüssel enthalten:

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Cryptography/Defaults/Provider

In Office 2010 und Office 2007 SP2 können Sie die folgenden CNG-Verschlüsselungsalgorithmen und andere kryptografische CNG-Erweiterungen verwenden, die auf Ihrem System installiert sind: AES, DES, DESX, 3DES, 3DES_112 und RC2. CNG-Hash-Algorithmen und andere kryptografische CNG-Erweiterungen können verwendet werden: MD2, MD4, MD5, RIPEMD-128, RIPEMD-160, SHA-1, SHA256, SHA384 und SHA512.

Beim Verschlüsseln von Dokumenten im Open XML-Format (DOCX, XSLX, PPTX usw.) ist der Standard-Verschlüsselungsalgorithmus AES (der Verschlüsselungsalgorithmus, der von der National Security Agency (NSA) als Standard für die US-Regierung ausgewählt wurde, wird im Betrieb unterstützt Windows-Systeme XP SP2, Windows Vista, Windows 7, Windows Server 2003 und Windows Server 2008) mit einer Schlüssellänge von 128 Bit ist der Hash-Algorithmus SHA1.

Kryptographie und Verschlüsselungsoptionen. Tabelle 3 listet die Optionen auf, mit denen Sie die Verschlüsselungsalgorithmen ändern können, wenn Sie Versionen von Microsoft Office verwenden, die die CryptoAPI verwenden.

Wenn Sie in Office 2010 die Einstellung für den Verschlüsselungstyp für kennwortgeschützte Office Open XML-Dateien ändern möchten, müssen Sie zunächst die Option „Verschlüsselungskompatibilität festlegen“ aktivieren und die Option „Legacy-Format verwenden“ auswählen. Die Option „Verschlüsselungskompatibilität festlegen“ ist in Access 2010, Excel 2010, PowerPoint 2010 und Word 2010 verfügbar.

Tabelle 4 listet die Optionen auf, mit denen Sie Verschlüsselungsalgorithmen ändern können, wenn Sie Office 2010 verwenden. Diese Optionen gelten für Access 2010, Excel 2010, OneNote 2010, PowerPoint 2010, Project 2010 und Word 2010.

Zusätzlich zu den in der vorherigen Tabelle aufgeführten CNG-Optionen können Sie für Excel 2010, PowerPoint 2010 und Word 2010 eine CNG-Option namens „Use neuer Schlüssel beim Ändern des Passworts", mit der Sie angeben können, ob beim Ändern des Passworts ein neuer Verschlüsselungsschlüssel verwendet werden soll. Standardmäßig wird beim Ändern eines Kennworts der neue Schlüssel nicht verwendet.

Die Option „Passwort zum Öffnen deaktivieren Benutzeroberfläche' kann verwendet werden, um das Hinzufügen von Passwörtern zu Dokumenten zu verhindern und dadurch die Dokumentenverschlüsselung zu deaktivieren. Diese Einstellung steuert, ob Office 2010-Benutzer Kennwörter zu Dokumenten hinzufügen können. Standardmäßig können Benutzer Kennwörter hinzufügen.

Kompatibel mit früheren Versionen von Office. Wenn Sie Office-Dokumente verschlüsseln möchten, empfehlen wir Ihnen, diese im Open XML-Format (DOCX, XLSX, PPTX usw.) statt im Office 97-2003-Format (DOC, XLS, PPT usw.) zu speichern. Bei der Verschlüsselung von Binärdokumenten (DOC, XLS, PPT) wird der RC4-Algorithmus verwendet, was nicht empfohlen wird! Da die Standardanzahl der Rehash-Zyklen 100.000 beträgt, ist die Standard-Brute-Force-Rate für Kennwörter halb so hoch wie die des illegalen Zugriffs auf Office 2007-Dokumente.

Somit können wir eine einfache Schlussfolgerung ziehen: In Bezug auf die Resistenz gegen Brute-Force-Angriffe sind Dokumentenkennwörter in Microsoft Office 2010 mit Abstand am effektivsten.

Vladimir Bezmaly ( [E-Mail geschützt]) – Sicherheitsspezialist, MVP Consumer Security, Microsoft Security Trusted Advisor



Grundvoraussetzungen für Chiffren

Die verschlüsselte Nachricht darf nur lesbar sein, wenn der Schlüssel vorhanden ist.

· die Anzahl der Operationen, die erforderlich sind, um den verwendeten Verschlüsselungsschlüssel aus dem Fragment der verschlüsselten Nachricht und dem entsprechenden Klartext zu ermitteln, darf nicht kleiner sein als die Gesamtzahl möglicher Schlüssel;

Die Anzahl der Operationen, die zum Entschlüsseln von Informationen durch Durchsuchen aller möglichen Schlüssel erforderlich sind, muss streng niedriger geschätzt werden und die Fähigkeiten moderner Computer überschreiten (unter Berücksichtigung der Möglichkeit der Verwendung von Netzwerk-Computing);

Die Kenntnis des Verschlüsselungsalgorithmus sollte die Zuverlässigkeit des Schutzes nicht beeinträchtigen

eine geringfügige Änderung des Schlüssels sollte zu einer erheblichen Änderung der Form der verschlüsselten Nachricht führen, selbst wenn derselbe Ausgangstext verschlüsselt ist;

eine geringfügige Änderung des Ausgangstextes sollte zu einer erheblichen Änderung der Form der verschlüsselten Nachricht führen, selbst wenn derselbe Schlüssel verwendet wird;

Strukturelemente des Verschlüsselungsalgorithmus müssen unverändert bleiben;

zusätzliche Bits, die während des Verschlüsselungsprozesses in die Nachricht eingeführt werden, müssen vollständig und sicher im Chiffretext verborgen werden;

Die Länge des Geheimtextes muss gleich der Länge des Originaltextes sein;

· es sollte keine einfachen und leicht herzustellenden Abhängigkeiten zwischen den Schlüsseln geben, die sequentiell im Verschlüsselungsprozess verwendet werden;

jeder Schlüssel aus der Menge möglicher Schlüssel sollte einen zuverlässigen Schutz von Informationen bieten;

Der Algorithmus sollte sowohl Software- als auch Hardwareimplementierung ermöglichen, während eine Änderung der Schlüssellänge nicht zu einer qualitativen Verschlechterung des Verschlüsselungsalgorithmus führen sollte.

Software-Implementierungen von Chiffren

Die Möglichkeit der Softwareimplementierung ergibt sich aus der Tatsache, dass alle Methoden der kryptographischen Transformation formal sind und als endliche algorithmische Verfahren dargestellt werden können.

Zu den Tugenden Die Softwareimplementierung kann auf ihre Flexibilität und Portabilität zurückgeführt werden. Mit anderen Worten, ein Programm, das für ein Betriebssystem geschrieben wurde, kann für jede Art von Betriebssystem modifiziert werden. Darüber hinaus können Sie die Software mit weniger Zeit und Kosten aktualisieren. Außerdem sind viele moderne Errungenschaften auf dem Gebiet kryptografischer Protokolle nicht für eine Implementierung in Form von Hardware verfügbar.

Zu Nachteilen Software-Tools Der kryptografische Schutz sollte die Möglichkeit umfassen, in die Funktionsweise von Verschlüsselungsalgorithmen einzugreifen und Zugang zu Schlüsselinformationen zu erhalten, die im öffentlichen Speicher gespeichert sind. Diese Vorgänge werden normalerweise mit einem einfachen Satz von Softwaretools durchgeführt. So zum Beispiel in vielen Betriebssysteme Crash-Dump wird am durchgeführt Festplatte, während es im Speicher möglicherweise Schlüssel gibt, die nicht schwer zu finden sind.

Somit ist die schwache physische Sicherheit von Software einer der Hauptnachteile solcher Verfahren zur Implementierung von Verschlüsselungsalgorithmen.

Hard- und Softwareimplementierung

In letzter Zeit sind kombinierte Verschlüsselungstools aufgetaucht, die sogenannten. Software und Hardware. In diesem Fall wird im Computer eine Art "kryptografischer Koprozessor" verwendet - ein Rechengerät, das sich auf die Durchführung kryptografischer Operationen (Modulo-Addition, Verschiebung usw.) konzentriert. Indem Sie die Software für ein solches Gerät ändern, können Sie die eine oder andere Verschlüsselungsmethode auswählen.

Die der Hardware-Software zugeordneten Hauptfunktionen - Hardwarekomplex Der kryptografische Schutz von Informationen besteht normalerweise in der Generierung von Schlüsselinformationen und deren Speicherung in Geräten, die vor unbefugtem Zugriff durch einen Eindringling geschützt sind. Darüber hinaus ist es mit dieser Art von Techniken möglich, Benutzer unter Verwendung von Passwörtern (statisch oder dynamisch ändernd, die auf verschiedenen Trägern von Schlüsselinformationen gespeichert sein können) oder basierend auf biometrischen Merkmalen, die für jeden Benutzer einzigartig sind, zu authentifizieren. Ein Gerät zum Lesen solcher Informationen kann Teil der Software- und Hardwareimplementierung von Informationssicherheitstools sein.

Microsoft Office 2010 enthält Einstellungen, mit denen Sie steuern können, welche Daten wann verschlüsselt werden mit Microsoft Zugriff 2010, Microsoft Excel 2010, Microsoft OneNote 2010, Microsoft PowerPoint 2010, Microsoft Project 2010 und Microsoft Word 2010. In diesem Artikel werden Kryptografie und Verschlüsselung in Office 2010 erläutert, die Funktionsoptionen für die Datenverschlüsselung beschrieben und Kompatibilitätsinformationen zu früheren Versionen bereitgestellt Microsoft-Versionen Büro.

Beachten Sie bei der Planung Ihrer Verschlüsselungsoptionen die folgenden Richtlinien:

  • Wir empfehlen, dass Sie keine Änderungen an den Standardverschlüsselungseinstellungen vornehmen, es sei denn, das Sicherheitsmodell Ihrer Organisation erfordert Verschlüsselungseinstellungen, die von den Standardeinstellungen abweichen.
  • Wir empfehlen die Verwendung einer Kennwortlänge und -komplexität, um sicherzustellen, dass beim Verschlüsseln von Daten starke Kennwörter verwendet werden.
  • Wir empfehlen Sie nicht Verwenden Sie die RC4-Verschlüsselung.
  • Es gibt keine administrative Einstellung, mit der Sie Benutzer zwingen können, Dokumente zu verschlüsseln. Es gibt jedoch eine administrative Einstellung, mit der Sie die Möglichkeit zum Hinzufügen von Passwörtern für Dokumente entfernen und somit verhindern können, dass Dokumente verschlüsselt werden.
  • Das Speichern von Dokumenten an vertrauenswürdigen Speicherorten wirkt sich nicht auf die Verschlüsselungseinstellungen aus. Wenn das Dokument verschlüsselt und an einem sicheren Ort gespeichert ist, muss der Benutzer ein Kennwort angeben, um das Dokument zu öffnen.

In diesem Artikel:

Informationen zu Kryptografie und Verschlüsselung in Office 2010

Die für die Verwendung mit Office verfügbaren Verschlüsselungsalgorithmen hängen von den Algorithmen ab, auf die über eine API (Application Programming Interface) im Windows-Betriebssystem zugegriffen werden kann. Office 2010 bietet zusätzlich zur Unterstützung für die Kryptografie-API (CryptoAPI) auch Unterstützung für CNG (CryptoAPI: Next Generation), das erstmals in eingeführt wurde Microsoft-System Office 2007 Servicepack 2 (SP2).

CNG ermöglicht eine flexiblere Verschlüsselung, bei der Sie Algorithmen angeben können, die verschiedene Verschlüsselungen und Hashes auf dem Hostcomputer unterstützen, die während des Dokumentverschlüsselungsprozesses verwendet werden. CNG ermöglicht auch eine bessere Erweiterbarkeit der Verschlüsselung, wenn Verschlüsselungsmodule von Drittanbietern verwendet werden können.

Wenn das Management die CryptoAPI verwendet, sind die Verschlüsselungsalgorithmen von denen abhängig, die den CSP (Cryptography Service Provider) bereitstellen, der Teil des Windows-Betriebssystems ist. Der folgende Registrierungsschlüssel enthält eine Liste der auf dem Computer installierten CSPs:

HKEY_LOCAL_MACHINE/software/Microsoft/encryption/default/provider

Die folgenden CNG-Verschlüsselungsalgorithmen oder andere auf dem System installierte CNG-Erweiterungscipherie können mit Office 2010 oder dem 2007 Office SP2-System verwendet werden:

AES, DES, DESX, 3DES, 3DES_112 und RC2

Die folgenden CNG-Hashalgorithmen oder andere auf dem System installierte CNG-Verschlüsselungserweiterungen können mit Office 2010 oder 2007 Office System SP2 verwendet werden:

MD2, MD4, MD5, RIPEMD-128, RIPEMD-160, SHA-1, SHA256, SHA384 und SHA512

Während es in Office 2010 Optionen zum Ändern der Verschlüsselung gibt, sind die Standardwerte beim Verschlüsseln von Dateien im Open XML-Format (.docx, .xslx, .pptx usw.) AES (Advanced Encryption Standard), 128 Bit langer Schlüssel , SHA1 und CBC (Cipher Block Chaining) – bieten eine starke Verschlüsselung und sollten für die meisten Organisationen geeignet sein. Die AES-Verschlüsselung ist der stärkste verfügbare Standardalgorithmus und wurde von der National Security Agency (NSA) ausgewählt, um von der Regierung der Vereinigten Staaten als Standard verwendet zu werden. Die AES-Verschlüsselung wird unter Windows XP SP2, Windows Vista, Windows 7, Windows Server 2003 und Windows Server 2008 unterstützt.

Kryptografie- und Verschlüsselungsoptionen

In der folgenden Tabelle sind die Optionen aufgeführt, die zum Ändern von Verschlüsselungsalgorithmen verfügbar sind, wenn Sie die Version von Microsoft Office verwenden, die für die CryptoAPI verfügbar ist. Dies umfasst Office-Versionen bis einschließlich Office 2010.

Einstellung

Beschreibung
Verschlüsselungstyp für kennwortgeschützte Office Open XML-Dateien Mit dieser Option können Sie den Verschlüsselungstyp für Open XML-Dateien von verfügbaren Cipher Service Providers (CSPs) festlegen. Diese Einstellung ist erforderlich, wenn die benutzerdefinierte COM-Add-In-Verschlüsselung verwendet wird. Zum bekommen zusätzliche Information finden Sie im „2007 Office System Encryption Developer's Guide“, das als Teil des Sharepoint Server 2007 SDK verfügbar ist. Diese Einstellung ist erforderlich, wenn Sie 2007 Office System SP1 oder eine ältere Version des Compatibility Packs als das Microsoft Office Compatibility Pack für Word-, Excel- und PowerPoint-Dateiformate verwenden und den Verschlüsselungsalgorithmus ändern möchten andere als die Vorgabe.
Verschlüsselungstyp für kennwortgeschützte Office 97-2003-Dateien Mit dieser Option können Sie den Verschlüsselungstyp für Office 97-2003-Dateien (binär) von verfügbaren kryptografischen Diensten (CSP) festlegen. Der einzige unterstützte Algorithmus bei Verwendung dieser Option ist RC4, den wir, wie bereits erwähnt, nicht empfehlen.

In Office 2010, wenn Sie die Einstellung ändern möchten Verschlüsselungstyp für kennwortgeschützte Office Open XML-Dateien, müssen Sie die Option zuerst aktivieren Verschlüsselungskompatibilität bitte angeben und wählen Sie eine Option aus Legacy-Format verwenden. Parameter Geben Sie die Verschlüsselungskompatibilität an verfügbar für Access 2010, Excel 2010, PowerPoint 2010 und Word 2010.

In der folgenden Tabelle sind die Optionen aufgeführt, die zum Ändern von Verschlüsselungsalgorithmen bei Verwendung von Office 2010 verfügbar sind. Diese Optionen gelten für Access 2010, Excel 2010, OneNote 2010, PowerPoint 2010, Project 2010 und Word 2010.

Einstellung

Beschreibung
Einstellen des CNG-Verschlüsselungsalgorithmus Mit dieser Einstellung können Sie den verwendeten CNG-Verschlüsselungsalgorithmus anpassen. Der Standardwert ist AES.
Passen Sie den LNG-Verschlüsselungskupplungsmodus an Mit dieser Einstellung können Sie den verwendeten Verschlüsselungs- und Verkettungsmodus konfigurieren. Die Voreinstellung ist Cipher-Block-Chaining (CBC).
Legen Sie die Länge des LNG-Verschlüsselungsschlüssels fest Mit dieser Option können Sie die Anzahl der Bits konfigurieren, die beim Generieren des Verschlüsselungsschlüssels verwendet werden sollen. Der Standardwert ist 128 Bit.
Kompatibilitätsverschlüsselung festlegen Mit dieser Option können Sie das Kompatibilitätsformat angeben. Standardwert - Verwenden Sie das Format der nächsten Generation.
Einstellen von Parametern für den CNG-Kontext Mit dieser Option können Sie die Verschlüsselungsoptionen angeben, die für den LNG-Kontext verwendet werden sollen. Um diese Option zu verwenden, muss der CNG-Kontext zuerst mit CryptoAPI: Next Generation (CNG) erstellt werden.
Legen Sie den LNG-Hashing-Algorithmus fest Mit dieser Option können Sie den zu verwendenden Hash-Algorithmus angeben. Der Standardwert ist SHA1.
Legen Sie ein Passwort für LNG-Scrolls fest Mit dieser Option können Sie angeben, wie oft die Kennwortprüfung durchlaufen (paraphrasiert) werden soll. Der Standardwert ist 100000.
Geben Sie den LNG-Erzeugungsalgorithmus an zufällige Zahlen Mit dieser Option können Sie den zu verwendenden CNG-Zufallszahlengenerator konfigurieren. Die Standardeinstellung ist RNG (Zufallszahlengenerator).
LNG-Salzlänge angeben Mit dieser Option können Sie die Anzahl der zu verwendenden Bytes Salt angeben. Der Standardwert ist 16.

Zusätzlich zu den in der vorherigen Tabelle aufgeführten CPG-Optionen kann die in der folgenden Tabelle aufgeführte CPG-Option für Excel 2010, PowerPoint 2010 und Word 2010 konfiguriert werden.

Sie können die in der folgenden Tabelle aufgeführten Optionen verwenden, um die Möglichkeit zum Hinzufügen von Passwörtern zu Dokumenten zu entfernen und somit zu verhindern, dass Dokumente verschlüsselt werden.

Kompatibilität mit früheren Versionen von Office

Wenn Sie Office-Dokumente verschlüsseln müssen, empfehlen wir Ihnen, Dokumente im Open XML-Format (.docx, .xlsx, .pptx usw.) statt im Office 97-2003-Format (.doc, .xls, .ppt usw.) zu speichern an). Die Verschlüsselung, die für binäre Dokumente (.doc, .xls, .ppt) verwendet wird, verwendet RC4. Dies wird nicht empfohlen, wie in den Abschnitten 4.3.2 und 4.3.3 aus Sicherheitsgründen des Office Specification Structure Cryptography-Dokuments angegeben. Dokumente, die in älteren Office-Binärformaten gespeichert sind, können nur mit RC4 verschlüsselt werden, um die Kompatibilität mit früheren Versionen von Microsoft Office zu gewährleisten. AES, der empfohlene Algorithmus und der Standard zum Verschlüsseln von Dateien im Open XML-Format.

Office 2010 und 2007 Office System ermöglichen das Speichern von Dokumenten im Open-Format XML-Dateien. Wenn Sie über Microsoft Office XP oder Office 2003 verfügen, können Sie außerdem das Compatibility Pack verwenden, um Dokumente als Dateien im Open XML-Format zu speichern.

Dokumente, die als Dateien im Open XML-Format gespeichert und mit Office 2010 verschlüsselt wurden, können nur von Office 2010, Office 2007 SP2 und Office 2003 mit dem Office 2007 SP2-Kompatibilitätspaket gelesen werden vorherige Versionen Office können Sie einen Registrierungsschlüssel (falls noch nicht vorhanden) unter erstellen HKCU\Software\Microsoft\Office\14.0\ \Sicherheit\Krypto\ berechtigt CompatMode und deaktivieren Sie es, indem Sie es gleich setzen 0 . Werte, die eingegeben werden können Stellen Sie die Einstellung dieses Registrierungsschlüssels für einen bestimmten dar Microsoft-Anwendungen Büro. Sie können beispielsweise Access, Excel, PowerPoint oder Word eingeben. Es ist wichtig zu verstehen, wann CompatMode gleich 0 verwendet Office 2010 das mit Office 2007 kompatible Verschlüsselungsformat anstelle der erweiterten Sicherheit, die standardmäßig verwendet wird, wenn Office 2010 zum Verschlüsseln von Dateien im Open XML-Format verwendet wird. Wenn Sie diese Einstellung aus Kompatibilitätsgründen optimieren müssen, empfehlen wir Ihnen, auch ein Verschlüsselungsmodul eines Drittanbieters zu verwenden, das eine erhöhte Sicherheit ermöglicht, wie z. B. die AES-Verschlüsselung.

Wenn Ihre Organisation das Microsoft Office Compatibility Pack für Word-, Excel- und PowerPoint-Dateiformate verwendet, um Dateien im Open XML-Format zu verschlüsseln, sollten Sie die folgenden Informationen berücksichtigen:

  • Standardmäßig verwendet das Compatibility Pack for Encrypting Open XML Files die folgenden Optionen:
    • VerlängerungMicrosoftRSAundAESKryptoanbieter (Prototyp),AES 128,128 (auf dem Betriebssystem Windows XP Professional).
    • VerlängerungMicrosoftRSAundAESAnbieter von kryptografischen DienstenAES 128,128 (unter den Betriebssystemen Windows Server 2003 und Windows Vista).
  • Benutzer werden nicht benachrichtigt, dass das Compatibility Pack diese Verschlüsselungsoptionen verwendet.
  • Grafische Benutzeroberfläche in mehr frühe Versionen Office zeigt möglicherweise falsche Verschlüsselungseinstellungen für Dateien im Open XML-Format an, wenn das Compatibility Pack installiert ist.
  • Benutzer können die GUI in früheren Versionen von Office nicht verwenden, um die Verschlüsselungseinstellungen für Dateien im Open XML-Format zu ändern.