Το Microsoft Office 365 Message Encryption ισχυρίζεται ότι προσφέρει έναν τρόπο “να στέλνετε και να λαμβάνετε κρυπτογραφημένα μηνύματα email μεταξύ ατόμων εντός και εκτός του οργανισμού σας.”
Σύμφωνα όμως με την ομάδα WithSecure της F-Secure, δεν είναι κατάλληλο για αυτόν το σκοπό: η μέθοδος κρυπτογράφησης που χρησιμοποιείται, γνωστή ως Electronic Codebook (ECB), είναι ανασφαλής για δεδομένα με επαναλαμβανόμενα μοτίβα, όπως το απλό κείμενο ή ασυμπίεστες εικόνες ή βίντεο. Και η Microsoft δεν το διορθώνει.
Όταν χρησιμοποιείτε τη λειτουργία ECB, τα μηνύματα χωρίζονται σε μια σειρά από μπλοκ. Έτσι το απλό κείμενο που είναι σε διαφορετικά μπλοκ παράγει το ίδιο κρυπτογραφημένο κείμενο. Στην περίπτωση μιας εικόνας όπου τα pixels του ίδιου χρώματος αντιπροσωπεύονται από το ίδιο απλό κείμενο, το αντίστοιχο κρυπτογραφημένο κείμενο είναι επίσης το ίδιο για παρόμοια pixels.
Η διαρροή της ECB την καθιστά ακατάλληλη για ασφαλή επικοινωνία και οι ειδικοί στην κρυπτογραφία συμβουλεύουν να μην τη χρησιμοποιείτε για κρυπτογραφικά πρωτόκολλα. Όπως αναφέρει το NIST της Αμερικής, “η χρήση της ECB για την κρυπτογράφηση εμπιστευτικών πληροφοριών συνιστά σοβαρό κενό ασφαλείας”.
Η κρυπτογράφηση μηνυμάτων του Office 365 (OME από το Office Message Encryption) χρησιμοποιεί μια ισχυρή κρυπτογράφηση (AES), αλλά η WithSecure αναφέρει ότι αυτό είναι άσχετο επειδή η λειτουργία ECB είναι αδύναμη και ευάλωτη στην κρυπτανάλυση ανεξάρτητα από τον κρυπτογράφηση που χρησιμοποιείται. Με άλλα λόγια, όταν το AES αντιστοιχίζεται με την λειτουργία ECB, η κρυπτογράφηση που προκύπτει δεν είναι ασφαλής.
Η ομάδα ασφαλείας αναφέρει ότι τα κρυπτογραφημένα μηνύματα OME αποστέλλονται σαν συνημμένα email και συνεχίζουν να υπάρχουν σε συστήματα email. Ένας εισβολέας με πρόσβαση σε ένα επαρκή αριθμό από αυτά τα μηνύματα μπορεί να συμπεράνει το περιεχόμενο του μηνύματος αναλύοντας τα επαναλαμβανόμενα μοτίβα του κρυπτογραφημένου κειμένου.
“Οι επιτιθέμενοι που είναι σε θέση να πάρουν στα χέρια τους πολλά μηνύματα μπορούν να χρησιμοποιήσουν τις πληροφορίες της ECB που διέρρευσαν για να καταλάβουν το κρυπτογραφημένο περιεχόμενο”, δήλωσε ο Harry Sintonen, ερευνητής ασφαλείας στην WithSecure.
“Περισσότερα μηνύματα ηλεκτρονικού ταχυδρομείου καθιστούν αυτή τη διαδικασία ευκολότερη και ακριβέστερη, επομένως είναι κάτι που μπορούν να πραγματοποιήσουν οι εισβολείς αφού κλέψουν αρχεία email κατά τη διάρκεια μιας παραβίασης δεδομένων ή παραβιάζοντας τον λογαριασμό του ηλεκτρονικού ταχυδρομείου κάποιου, τον διακομιστή ηλεκτρονικού ταχυδρομείου ή αποκτήσουν πρόσβαση σε αντίγραφα ασφαλείας.”
