Planeación de la configuración de criptografía y cifrado para Office 2010

 

Se aplica a: Office 2010

Última modificación del tema: 2016-11-29

Microsoft Office 2010 contiene opciones de configuración que permiten controlar la forma en que los datos se cifran cuando se usa Microsoft Access 2010, Microsoft Excel 2010, Microsoft OneNote 2010, Microsoft PowerPoint 2010, Microsoft Project 2010 y Microsoft Word 2010. En este artículo se describen la criptografía y el cifrado en Office 2010, se describen las opciones de configuración que puede usar para cifrar datos y se ofrece información acerca de la compatibilidad con versiones anteriores de Microsoft Office. Para obtener información acerca de Microsoft Outlook 2010, vea Planeación de la criptografía de mensajes de correo electrónico en Outlook 2010.

Cuando planee la configuración de cifrado, tenga en cuenta las siguientes instrucciones:

  • Se recomienda no modificar la configuración de cifrado predeterminada a menos que el modelo de seguridad de la organización requiera una configuración de cifrado diferente a la configuración predeterminada.

  • Se recomienda exigir el cumplimiento de los requisitos de longitud y complejidad de la contraseña para asegurarse de que se usen contraseñas seguras al cifrar datos. Para obtener más información, vea Actualizaciones de los archivos de la plantilla administrativa (ADM, ADMX y ADML) y de la Herramienta de personalización de Office del sistema Office 2007.

  • Se recomienda no usar el cifrado RC4. Para obtener más información, vea Compatibilidad con versiones anteriores de Office más adelante en este artículo.

  • No existe una configuración administrativa que permita obligar a los usuarios a cifrar los documentos. Sin embargo, existe una configuración administrativa que permite eliminar la capacidad de agregar contraseñas a los documentos y, por lo tanto, no permitir el cifrado de documentos. Para obtener más información, vea Configuración de criptografía y cifrado más adelante en este artículo.

  • Guardar documentos en ubicaciones de confianza no afecta la configuración de cifrado. Si un documento se cifra y se guarda en una ubicación de confianza, el usuario debe proporcionar una contraseña para abrir el documento.

En este artículo:

  • Acerca de las operaciones de criptografía y cifrado en Office 2010

  • Configuración de criptografía y cifrado

  • Compatibilidad con versiones anteriores de Office

Acerca de las operaciones de criptografía y cifrado en Office 2010

Los algoritmos de cifrado disponibles que se pueden usar con Office dependen de los algoritmos a los que se puede obtener acceso a través de las API (interfaz de programación de aplicaciones) del sistema operativo Windows. Además de mantener la compatibilidad con las API de criptografía (CryptoAPI), Office 2010 es compatible con CNG (CryptoAPI: Next Generation), que se encuentra disponible desde el lanzamiento de 2007 Microsoft Office system con Service Pack 2 (SP2).

CNG agiliza el cifrado, ya que permite especificar diversos algoritmos hash y algoritmos de cifrado compatibles con el equipo host para usarlos durante el proceso de cifrado de documentos. Además, CNG permite obtener un cifrado de mejor extensibilidad, en el que se pueden usar módulos de cifrado de terceros.

Cuando Office usa CryptoAPI, los algoritmos de cifrado dependen de los que se encuentran disponibles en un CSP (proveedor de servicios de cifrado), que forma parte del sistema operativo Windows. La siguiente clave del Registro contiene una lista de los CSP instalados en un equipo:

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Cryptography/Defaults/Provider

Con Office 2010 u 2007 Office System con Service Pack 2, se pueden usar los siguientes algoritmos de cifrado CNG, o cualquier otra extensión de cifrado CNG instalada en el sistema:

AES, DES, DESX, 3DES, 3DES_112 y RC2

Con Office 2010 u 2007 Office System con Service Pack 2, se pueden usar los siguientes algoritmos hash CNG, o cualquier otra extensión de cifrado CNG instalada en el sistema:

MD2, MD4, MD5, RIPEMD-128, RIPEMD-160, SHA-1, SHA256, SHA384 y SHA512

Si bien existen opciones de configuración en Office 2010 para cambiar la forma de realizar el cifrado, cuando se cifran archivos con formato Office Open XML (.docx, .xslx, .pptx, entre otros), los valores predeterminados (AES [Estándar de cifrado avanzado], longitud de clave de 128 bits, SHA1 y CBC [Encadenamiento de bloques de cifrado]) proporcionan un cifrado seguro y suelen ser adecuados para la mayoría de las organizaciones. El cifrado AES es el algoritmo estándar disponible más seguro del sector. La Agencia de Seguridad Nacional (NSA) ha seleccionado este algoritmo para usarlo como el estándar del gobierno de los Estados Unidos. El cifrado AES es compatible con Windows XP SP2, Windows Vista, Windows 7, Windows Server 2003 y Windows Server 2008.

Configuración de criptografía y cifrado

En la siguiente tabla se enumeran las opciones de configuración disponibles para cambiar los algoritmos de cifrado cuando se usan versiones de Microsoft Office que tienen acceso a CryptoAPI. Esto incluye las versiones de Office hasta Office 2010 inclusive.

Opción Descripción

Tipo de cifrado para los archivos con formato Office Open XML protegidos por contraseña

Esta opción de configuración permite especificar un tipo de cifrado para los archivos con formato Office Open XML de los proveedores de servicios de cifrado (CSP) disponibles. Esta opción es obligatoria cuando se usa un complemento de cifrado COM personalizado. Para obtener más información, vea la guía para programadores sobre cifrado en el sistema Office de 2007, que se encuentra disponible como parte del SDK de SharePoint Server 2010 (http://go.microsoft.com/fwlink/?linkid=107614&clcid=0xC0A). Esta opción de configuración también es necesaria si se usa 2007 Office System con Service Pack 1 o una versión del paquete de compatibilidad anterior al paquete de compatibilidad de Microsoft Office para los formatos de archivo de Word, Excel y PowerPoint (http://go.microsoft.com/fwlink/?linkid=78517&clcid=0xC0A) y se desea cambiar el algoritmo de cifrado por uno distinto al predeterminado.

Tipo de cifrado para los archivos de Office 97-2003 protegidos por contraseña

Esta opción de configuración permite especificar un tipo de cifrado para los archivos de Office 97-2003 (binarios) de los proveedores de servicios de cifrado (CSP) disponibles. El único algoritmo de cifrado compatible con esta configuración es RC4 pero, como se mencionó anteriormente, no se recomienda usarlo.

En Office 2010, si necesita cambiar la opción de configuración Tipo de cifrado para los archivos con formato Office Open XML protegidos por contraseña, primero debe habilitar la opción Especificar compatibilidad de cifrado y seleccionar la opción Usar formato heredado. La opción de configuración Especificar compatibilidad de cifrado se encuentra disponible en Access 2010, Excel 2010, PowerPoint 2010 y Word 2010.

En la siguiente tabla se enumeran las opciones de configuración disponibles para cambiar los algoritmos de cifrado cuando se usa Office 2010. Estas opciones de configuración se aplican a Access 2010, Excel 2010, OneNote 2010, PowerPoint 2010, Project 2010 y Word 2010.

Nota

Todas las opciones de configuración que se describen a continuación, excepto Establecer parámetros para el contexto de CNG y Especificar algoritmo de generador de números aleatorios de CNG, se pueden aplicar incluso cuando se usa un sistema operativo compatible con Office 2010, como Windows XP con Service Pack 3, que no incluye la compatibilidad con CNG. En este caso, Office 2010 usa CryptoAPI en lugar de CNG. Estas opciones de configuración se aplican sólo al usar Office 2010 para el cifrado de archivos con formato Office Open XML.

Opción Descripción

Establecer algoritmo de cifrado CNG

Esta opción de configuración permite configurar el algoritmo de cifrado CNG que se debe usar. El valor predeterminado es AES.

Configurar modo de encadenamiento de cifrado CNG

Esta opción de configuración permite configurar el modo de encadenamiento de cifrado que se debe usar. El valor predeterminado es Encadenamiento de bloques de cifrado (CBC).

Establecer longitud de la clave de cifrado CNG

Esta opción de configuración permite configurar el número de bits que se deben usar al crear la clave de cifrado. El valor predeterminado es 128 bits.

Especificar compatibilidad de cifrado

Esta opción de configuración permite especificar el formato de compatibilidad. El valor predeterminado es Usar formato de próxima generación.

Establecer parámetros para el contexto de CNG

Esta opción de configuración permite especificar los parámetros de cifrado que se deben usar para el contexto de CNG. Para usar esta opción, primero se debe crear un contexto de CNG mediante CryptoAPI: Next Generation (CNG). Para obtener más información, vea el tema sobre las funciones de configuración de cifrado CNG (http://go.microsoft.com/fwlink/?linkid=192996&clcid=0xC0A).

Especificar algoritmo hash CNG

Esta opción de configuración permite especificar el algoritmo hash que se debe usar. El valor predeterminado es SHA1.

Establecer número de recombinaciones de contraseña de CNG

Esta opción de configuración permite especificar el número de veces que se genera (recombina) el comprobador de contraseñas. El valor predeterminado es 100.000.

Especificar algoritmo de generador de números aleatorios de CNG

Esta opción de configuración permite configurar el generador de números aleatorios de CNG que se va a usar. El valor predeterminado es RNG (Generador de números aleatorios).

Especificar longitud de contraseña CNG con sal

Esta opción de configuración permite especificar el número de bytes de sal que se debe usar. El valor predeterminado es 16.

Además de las opciones de configuración de CNG enumeradas en la tabla anterior, se puede configurar la opción de configuración de CNG que se muestra en la siguiente tabla para Excel 2010, PowerPoint 2010 y Word 2010.

Opción Descripción

Usar una clave nueva al cambiar la contraseña

Esta opción de configuración permite especificar si se debe usar una nueva clave de cifrado cuando se cambia la contraseña. La opción predeterminada es no usar una nueva clave en los cambios de contraseña.

Puede usar la opción de configuración que se muestra en la siguiente tabla para eliminar la capacidad de agregar contraseñas a los documentos y, por lo tanto, no permitir el cifrado de documentos.

Opción Descripción

Deshabilitar contraseña para abrir la interfaz de usuario

Esta opción de configuración permite controlar si los usuarios de Office 2010 pueden agregar contraseñas a los documentos. De forma predeterminada, los usuarios pueden agregar contraseñas.

Nota

Para obtener información acerca de los procedimientos para establecer la configuración de seguridad en la Herramienta de personalización de Office (OCT) y en las plantillas administrativas de Office 2010, vea Configuración de seguridad para Office 2010.

Compatibilidad con versiones anteriores de Office

Si debe cifrar documentos de Office, se recomienda guardar los documentos como archivos con formato Office Open XML (.docx, .xlsx, .pptx, entre otros) en lugar de usar el formato de Office 97–2003 (.doc, .xls, .ppt, entre otros). El cifrado que se usa para los documentos binarios (.doc, .xls, .ppt) usa RC4. Esta opción no es recomendable, tal como se describe en las secciones sobre consideraciones de seguridad 4.3.2 y 4.3.3 de la especificación sobre estructuras de criptografía para documentos de Office (http://go.microsoft.com/fwlink/?linkid=192287\&clcid=0xC0). Los documentos que se guardan en formatos binarios de Office anteriores solo se pueden cifrar mediante RC4 para mantener la compatibilidad con las versiones anteriores de Microsoft Office. AES, el algoritmo de cifrado recomendado y predeterminado, se usa para cifrar archivos con formato Office Open XML.

Office 2010 y 2007 Office System permiten guardar los documentos como archivos con formato Office Open XML. Además, si cuenta con Microsoft Office XP u Office 2003, puede usar el paquete de compatibilidad para guardar los documentos como archivos con formato Office Open XML.

Los documentos que se guardan como archivos con formato Office Open XML y se cifran mediante Office 2010 solo se pueden leer en Office 2010, Office 2007 SP2 y Office 2003 con el paquete de compatibilidad de Office 2007 SP2. Para garantizar la compatibilidad con todas las versiones anteriores de Office, puede crear una clave del Registro (si no existe) en HKCU\Software\Microsoft\Office\14.0\<aplicación>\Security\Crypto\ denominada CompatMode y deshabilitarla estableciéndola en 0. Los valores que se pueden escribir para <aplicación> representan la aplicación de Office específica para la cual configura esta clave del Registro. Por ejemplo, puede escribir Access, Excel, PowerPoint o Word. Es importante tener en cuenta que al establecer CompatMode en 0, Office 2010 usa un formato de cifrado compatible con Office 2007 en lugar de la seguridad mejorada que se proporciona de forma predeterminada al usar Office 2010 para cifrar archivos con formato Office Open XML. Si tiene que configurar este valor por razones de compatibilidad, se recomienda usar también un módulo de cifrado de terceros que permita una seguridad mejorada, como el cifrado AES.

Si la organización usa el paquete de compatibilidad de Microsoft Office para los formatos de archivo de Word, Excel y PowerPoint para cifrar los archivos con formato Office Open XML, debe revisar la siguiente información:

  • De forma predeterminada, el paquete de compatibilidad usa las siguientes opciones de configuración para cifrar los archivos con formato Office Open XML:

    • Proveedor de servicios de cifrado RSA y AES mejorado de Microsoft (prototipo), AES 128, 128 (en el sistema operativo Windows XP Professional).

    • Proveedor de servicios de cifrado RSA y AES mejorado de Microsoft, AES-128, 128 (en los sistemas operativos Windows Server 2003 y Windows Vista).

  • No se notifica a los usuarios que el paquete de compatibilidad usa estas opciones de configuración de cifrado.

  • Es posible que la interfaz gráfica de usuario en las versiones anteriores de Office muestre opciones de configuración de cifrado incorrectas para los archivos con formato Office Open XML si el paquete de compatibilidad se encuentra instalado.

  • Los usuarios no pueden usar la interfaz gráfica de usuario en las versiones anteriores de Office para cambiar las opciones de configuración de cifrado de los archivos con formato Office Open XML.

Nota

Para obtener la información más reciente acerca de la configuración de directiva, vea el libro de Microsoft Excel 2010 Office2010GroupPolicyAndOCTSettings_Reference.xls, que está disponible en la sección Archivos en esta descarga en la página de descarga de los archivos de plantillas administrativas de Office 2010 (ADM, ADMX, ADML) y la Herramienta de personalización de Office (http://go.microsoft.com/fwlink/?linkid=189316&clcid=0xC0A).