Protección con contraseña de Microsoft Office

Característica de seguridad en Microsoft Office

La protección con contraseña de Microsoft Office es una característica de seguridad que permite proteger los documentos de Microsoft Office (por ejemplo, Word, Excel, PowerPoint) con una contraseña proporcionada por el usuario.

Tipos

Hay dos tipos de contraseñas que se pueden establecer para un documento: ^[1]

• Una contraseña para cifrar un documento restringe su apertura y visualización. Esto es posible en todas las aplicaciones de Microsoft Office. Desde Office 2007, son difíciles de descifrar si se elige una contraseña suficientemente compleja. ^{[ cita necesaria ]} Si la contraseña se puede determinar mediante ingeniería social , el cifrado subyacente no es importante.

• Contraseñas que no cifran pero restringen la modificación y pueden eludirse. ^[2]
  • En Word y PowerPoint la contraseña restringe la modificación de todo el documento. ^[3]
  • En Excel, las contraseñas restringen la modificación del libro de trabajo, de una hoja de trabajo dentro de él o de elementos individuales de la hoja de trabajo.

Historia del cifrado de Office

Cifrados débiles

En Excel y Word 95 y ediciones anteriores se utiliza un algoritmo de protección débil que convierte una contraseña en un verificador de 16 bits y una clave de matriz de ofuscación XOR ^[1] de 16 bytes . ^[4] Ahora hay software de piratería disponible para encontrar una clave de 16 bytes y descifrar el documento protegido con contraseña. ^[5]

Office 97, 2000, XP y 2003 utilizan RC4 con 40 bits. ^[4] La implementación contiene múltiples vulnerabilidades que la hacen insegura. ^[5]

En Office XP y 2003 se agregó la posibilidad de utilizar un algoritmo de protección personalizado. ^{[4] La elección de un} proveedor de servicios criptográficos no estándar permite aumentar la longitud de la clave. Las contraseñas débiles aún se pueden recuperar rápidamente incluso si hay un CSP personalizado activado.

AES desde Office 2007

En Office 2007, la protección mejoró significativamente ya que se utilizó un algoritmo de protección moderno llamado Estándar de cifrado avanzado . ^[4] Actualmente ^{[ ¿cuándo? ]} , no existe ningún software que pueda romper este cifrado. Con la ayuda de la función hash SHA-1 , la contraseña se amplía a una clave de 128 bits 50.000 veces antes de abrir el documento; como resultado, el tiempo necesario para descifrarlo aumenta enormemente, similar a PBKDF2 , scrypt u otros KDF . ^{[ cita necesaria ]}

Office 2010 empleó AES y una clave de 128 bits, pero el número de conversiones SHA-1 se duplicó a 100.000. ^[4]

Office 2013 utiliza AES de 128 bits, nuevamente con el algoritmo hash SHA-1 de forma predeterminada. ^[6] Introduce hashes SHA-512 en el algoritmo de cifrado, lo que hace que los ataques de fuerza bruta y de tabla arcoíris sean más lentos. ^{[ cita necesaria ]}

Office 2016 utiliza, de forma predeterminada, AES de 256 bits, el algoritmo hash SHA-2 , 16 bytes de sal y CBC ( encadenamiento de bloques de cifrado ). ^[7]

Los ataques dirigidos a la contraseña incluyen ataques de diccionario , ataques basados ​​en reglas, ataques de fuerza bruta , ataques de máscara y ataques basados ​​en estadísticas. Los ataques se pueden acelerar a través de múltiples CPU, también en la nube , y GPGPU (aplicable sólo a documentos de Office 2007-10). ^{[ cita necesaria ]}

Hojas de cálculo de Excel y protección de macros.

La protección de las hojas de trabajo y las macros es necesariamente más débil que la de todo el libro, ya que el propio software debe poder mostrarlas o utilizarlas. ^{[ cita necesaria ]}

Para los archivos XLSX que se pueden abrir pero no editar, existe otro ataque. Como el formato del archivo es un grupo de archivos XML dentro de un ZIP; descomprimir, editar y reemplazar el archivo workbook.xml (y/o los archivos XML de la hoja de trabajo individual) con copias idénticas en las que la clave desconocida y el salt se reemplazan con un par conocido o se eliminan por completo permiten editar las hojas. ^{[ cita necesaria ]}

Referencias

1. "[MS-OFFCRYPTO] Estructura de criptografía de documentos de Office" (PDF) . Corporación Microsoft . 2021-10-05. págs. 60–65. Archivado (PDF) desde el original el 11 de abril de 2023.
2. "Cómo abrir un archivo de Excel protegido con contraseña". wikihow.com . Consultado el 24 de enero de 2024 .
3. "Proteger con contraseña documentos, libros de trabajo y presentaciones". Office.microsoft.com . Consultado el 26 de diciembre de 2012 .
4. "Documentos en formato de archivo de Microsoft Office". msdn.microsoft.com . Consultado el 26 de diciembre de 2012 .
5. Wu, Hongjun (2005). "El mal uso de RC4 en Microsoft Word y Excel" (PDF) . Instituto de Investigación de Infocomm, Singapur .
6. "Configuración de criptografía y cifrado para Office 2013". docs.microsoft.com. 26 de diciembre de 2016 . Consultado el 4 de julio de 2018 .
7. DHB-MSFT. "Criptografía y cifrado en Office 2016". docs.microsoft.com . Consultado el 7 de diciembre de 2018 .