Всем доброго GMT.
Меня сильно интересует вопрос по стойкости к взлому файлов MS Word и MS Excel, зашифрованных НЕтривиальным паролем ДОСТАТОЧНОЙ длины (не менее 8 байт).
Я говорю не об очевидной "дыре" в виде оставляемого в НЕшифруемом виде заголовка (Файл/Свойства, поле "Название"), который маздай берёт из первого предложения исходного текста - тут просто можно "обнулить" этот заголовок, войдя в нужный пункт свойств файла.
Где-то я читал, что используемый в этих программах алгоритм есть RC4.
В занимательной книжке М.Левина "Криптография: Руководство пользователя" (М., изд-во "Познавательная книга плюс", 2001, 320 страниц, ISBN 5-8321-0181-1) на странице 71 читаем:
М.Левин, стр. 71В настоящее время у пользователей ПК есть возможность применять шифровальные алгоритмы, встроенные в различные программные продукты...., например, в текстовый редактор Word... таблицы Excel. У всех этихпродуктов есть одно общее свойство: они изготовлены в Соединенных Штатах, и прежде чем начать торговать ими зарубежом, амер. производители должны получить разрешение у своего правительства...
Повсеместно распространено мнение, что ни один криптографический алгоритм, разрешенный к экспорту из США, не является достаточно стойким, чтобы его не могли вскрыть криптоаналитики...
Считается, кто компании, которые желают продавать свою продукцию... переделывают крипт. алгоритмы так, что:
1) время от времени отдельные биты ключа подмешиваются в шифротекст;
2) ключ имеет длину всего 30 бит вместо официально заявляемых 100 бит, поскольку большинство ключей оказываются эквивалентны;
3) в начало каждого шифруемого сообщения вставляется фиксированный заголовок, чтобы облегчить криптоаналитическую атаку со знанием открытого текста;
4) любое шифрованное сообщение содержит отрезок случайного открытого текста вместе с соответствующим ему шифротекстом;

Исходные тексты шифровальных программ передаются нахранение в соотв. ведомство, однако за пределами этого сверхсекретного агенства доступ к ним закрыт наглухо.
...
Поэтому желательно проявлять очень большую осторожность, если вы собираетесь защищать свои данные при помощи американских программ шифрования, одобренных правительством США для экспорта...

На странице 165 читаем про алгоритм RC-4:
М.Левин, стр. 165Потоковый шифр, байт-ориентированный, с ключом переменного размера. Приблизительнов 10 раз быстрее DES. Конфиденциальный алгоритм, которым владеет RSA Data Security.
Обращаю ваше внимание на слова: " конфиденциальный алгоритм"!

Это уже совсем плохо. Потому что сам АЛГОРИТМ шифрования НИКОГДА не должен быть секретным. Стойкость алгоритма шифрования НЕ должна зависеть от его секретности -- это правило вывели еще в 19 веке!

Попробовав взломать одной из crack-программ фирмы ElcomSoft зашифрованные файлы .xls (длина пароля, правда, составляла 5 символов), я обнаружил, что к ним подходят не только исходные пароли, но еще и совершенно другие сочетания. Причём, если пароль, скажем, начинался на букву "z", то подходящий "дубль" мог начинаться на символ "5", что значительно быстрее находится при прямом переборе из-за меньшего значения ASCII-кода символа "5". Это, имхо, говорит о коллизиях в алгоритме хеширования и о его несовершенстве.

ВОПРОС к знатокам: обоснованы ли утверждения М.Левина, которые я привёл ?
Можно ли вообще доверять шифрованию в продуктах M$ ?