微软公司的办公软件套件Microsoft Office一直以来是商业和个人用户之间广泛使用的重要工具,然而近日有报道指出,在该软件中用来验证文件安全性的数字签名技术已经“几乎毫无用处”。
这个消息来自英国的计算机科技媒体The Register,它引用了国际标准化组织ISO发布的最新技术报告,指出Microsoft Office 2016和Office 2019中的数字签名功能不仅缺乏完善的安全措施,而且容易被欺骗。
数字签名是一种用于验证文档和文件身份和完整性的技术。通常来说,数字签名是由签名者的专用密钥生成的一个含有文件摘要(通常是哈希值)的密文。验证数字签名的方法是将密文解密后生成的摘要与原文件的摘要进行比对,如果一致则说明文件信任可靠。
不过,ISO的报告指出,Microsoft Office中的数字签名技术存在着几个重要的缺陷:首先,签名者并没有进行身份验证,因此签名本身的可信度非常低;其次,签名过程并不会影响文件本身,也就是说,签名可以被添加到任何文档中而不会对文档内容造成任何变化;最后,签名验证过程中也缺乏足够的安全措施,导致攻击者可以轻易地伪造签名。
这些问题让数字签名技术的作用几乎为零,更为严重的是,它还会误导用户认为文档具有更高的安全性,从而降低他们的警惕性。
对此,微软公司表示,已经在下一代Office软件中增强了签名技术的安全性和可靠性,但我们仍然需要认真对待数字签名技术的局限性和缺陷,以更好地保护我们的文件和数据安全。
了解更多有趣的事情:https://blog.ds3783.com/