  |
下記記事の件なのだが、ブクマもされているようなので言及したい。
日経パソコンPCOnline Excelの謎「パスワードの解読は簡単?(第19回)」
エクセルには、ファイルに「パスワード」を設定し、保護する機能がある。(略)ところが、こうしたパスワードを“解読”し、無効にしてしまうツールがインターネット上で流通しているらしい。(略)これは問題ではないだろうか?
素人ではないのだから少しは調べて書いてはもらえないだろうか。私も以前心配だったので調べたのでおや?と気が付くのだが、セキュリティの話題だからと配慮したつもりでも半端で変な誤解がされてしまう記事だと思う。
確かに解読ツールはある。が、著者の“見つけた”ソフトは10年前からある総当りと辞書攻撃の別段目新しくないパスワードクラッカーだ。
二桁分のパスワードだけを解読できる「試用版」をダウンロードして試してみた。仮に「21」とパスワードを設定したファイルで実行したところ、「パスワードは『21』です」と見破られてしまった
サンプルで2桁のパスワードが破られた!!って冗談かと。桁が強度なんだからこんなの総当りでもすぐに解けるに決まってる。だからこのソフトにはブルートフォースアタックで7桁という制限があるのだ(それ以上は有意義な時間内に終わらないから)。
つまり英数記号大文字小文字をランダムに8文字以上(できれば15文字)のパスワードを掛けていればこのパスワードクラッカーは脅威とはならないということである。
わざと触れないようにしてるのかもしれないが本当に問題になるのは上のクラックソフトのページでもチラッと"Online Mode"として誘導されているここ(日本語版)だ
Decryptumはオンライン上で初の、短時間の Word、Excel パスワード解除サービスです。 パスワードの長さに関わらず、3 分以内でパスワードを解読できます。
パスワードを解読、と書いてあるが実際にはパスワードを無効にして書類の内容を取り出すサービスである。ファイルごとに3000円ほどかかり、原理的にパスワードは取り出せないものらしい。
Officeでの標準的な暗号化は"Office97/2000互換"暗号と言われるもので40bitと強度が低い。これを膨大な計算済みデータを組み合わせてブルートフォースでない解読方法を組み合わせて解読できるようにしたオンラインサービスがこのDecryptumである。技術的な詳細は(Decryptumについて:製品技術情報)に書いてある。
テストで完全にランダムな上限15文字のパスワードをかけた時刻表状(つまりデータの詰まった)ファイルを解読させたが3分もしないで解読してきた。(※当然だが私自身はこのサービスの内容について何も保証しない)
パスクラッカーのソフトの話題に続けて元記事ではOSのセキュリティソリューションがどうとか意味の分からないことを書いているのだが、問題は明らかに"decryptum"で容易に解読できるレガシーの"Office97/2000互換"暗号化である。OfficeXPからはより強力な暗号化を選択できるようになっており(Microsoft Office XP 暗号化に関する一般情報)、上記サービスにも説明があるように
しかし、慌てることはありません。Microsoft Office "XP" や "2003" のバージョンでは、文書保護のため、オプションとして暗号化のプロバイダが設定されています。これによって、ユーザーは暗号化のタイプや鍵のサイズを、希望するセキュリティの信頼度に合わせて選ぶことができます。例えば、128 ビットの暗号鍵を選べば、現在の計算リソースの能力を考えても、ファイルを解読するのは実際不可能になります。
なのだ。
Officeのデフォルトで"Office97/2000互換"が選択され、そして反Microsoft論者の都合の悪いことに「OpenOffice.orgは"Office97/2000互換"暗号化しかサポートしていない」という現実が運用上で問題なのである。
OfficeXP以降で流通して問題なく、しかるべき暗号化を選択していたらあからさまな脅威はないと思う。
それでも都合でOffice97やOOoとやり取りせざるを得ないなら十分なパスワード長の暗号化zipで固めてやり取りすればよいはずだ。
私はセキュリティの専門家でもなんでもなく、上記は事務仕事でファイルの管理上必要なので調べて知ったことである。
33
