Эксперты компании Elcomsoft изучили криптоалгоритмы и безопасность офисного пакета «МойОфис» и, по сути, не нашли в продукте с поддержкой российских криптоалгоритмов ни одного российского криптоалгоритма.
Напомню, что «МойОфис» – это полноценный набор офисных приложений для работы с электронными документами. По утверждению разработчиков, продукты из этого набора поддерживают российские криптоалгоритмы, а также «МойОфис» получил сертификаты соответствия ФСТЭК и ФСБ. Исследователи решили разобраться, насколько безопасны алгоритмы шифрования «МойОфис» на самом деле, и можно ли их взломать.
Исследователи пишут, что разработчики пакета «МойОфис» не стали изобретать колесо: продукт может сохранять файлы в форматах Microsoft Office 2007, ODT и XODT (последние два формата хоть и различаются между собой, но с точки зрения шифрования полностью идентичны).
«Насколько безопасна такая защита? Даже сегодня документы, зашифрованные в формате Microsoft Office 2007, являются умеренно безопасными. Использование вычислительных мощностей современного процессора Intel Core i7 обеспечивает скорость перебора порядка 1000 паролей в секунду, в то время как атаки с использованием графического сопроцессора выдают скорость порядка 200 000 паролей в секунду (на ускорителе NVIDIA Tesla V100). Разумеется, формат 13-летней давности почти в десять раз уступает в стойкости защите, использующейся современными версиями Microsoft Office начиная с 2013 года (100,000 итераций заметно более стойкой функции SHA-512). Уступает он и формату 10-летней давности из MS Office 2010; в этом случае разница двукратная. Тем не менее, даже устаревшая защита, разработанная Microsoft и использующая американский стандарт шифрования AES (хоть и не самым длинным ключом), обеспечивает некоторый (хоть и не самый высокий) уровень безопасности», — пишет Владимир Каталов, исполнительный директор компании Elcomsoft.
Что касается форматов OpenDocument ODT и XODT, в качестве шифра здесь принят AES с весьма умеренной длиной ключа 128 бит, работающий в режиме CBC. Преобразование пароля в двоичный ключ осуществляется посредством 1024 итераций хэш-функции SHA256.
«Выбор подобных настроек для продукта, сертифицированного вплоть до уровня государственной тайны, не может не удивлять. Скорость перебора паролей к зашифрованным документам зашкаливает: порядка 2,44 миллиона паролей в секунду на старой видеокарте NVIDIA GeForce GTX 1080, около 3,36 миллиона на современной видеокарте среднего уровня NVIDIA RTX 2070 или порядка 7,17 миллиона паролей в секунду на новейшей NVIDIA RTX 3090. Это – очень высокие скорости перебора (а следовательно – и чрезвычайно слабая защита) даже в сравнении с форматом Microsoft Office 13-летней давности, — объясняет эксперт. — Насколько плохо обстоят дела в реальности? Для сравнения, в офисном пакете LibreOffice, который сохраняет файлы в том же формате ODT, используется 100,000 итераций SHA256, а шифрование данных осуществляется по алгоритму AES с длиной ключа 256 бит. С такими параметрами защиты атаку на пароль можно запустить со скоростью около 15,000 паролей в секунду на NVIDIA GeForce GTX 1080 или около 19,000 паролей в секунду на NVIDIA RTX 2070. А если использовать самый свежий ускоритель NVIDIA RTX 3090, то разница и вовсе поразительна».
При этом исследователи отмечают, что в ноябрьском пресс-релизе разработчиков сказано: «”МойОфис” поддерживает отечественные сертифицированные средства криптографической защиты информации (СКЗИ) в почтовых приложениях и редакторах документов на любых платформах — настольных компьютерах, мобильных устройствах и в веб-браузерах».
«В 2020 году наиболее важным трендом в области программного обеспечения стала защита пользовательских данных — из-за пандемии многие сотрудники госструктур и крупных предприятий были вынуждены использовать небезопасные каналы обмена информацией. “МойОфис” внимательно следит за изменением конъюнктуры рынка и своевременно добавляет необходимые функции, которые способны обеспечить более высокий уровень информационной безопасности с применением российских криптографических технологий», — заявлял Евгений Фенюшин, директор по продуктам «МойОфис».
Проведенное Elcomsoft исследование указывает на неполное соответствие этих маркетинговых заявлений компании действительности. Несмотря на использование алгоритма шифрования Advanced Encryption Standard, разработанного двумя бельгийцами и принятого в качестве стандарта в США, стойкость зашифрованных документов ниже аналогов от Microsoft и других сборок на основе OpenOffice в разы, а для отдельных форматов — на несколько порядков.
«Выбранные разработчиками настройки защиты откровенно устарели, что позволяет перебирать пароли с огромной скоростью. Исследование защиты документов, сохраняемых офисными приложениями из пакета “МойОфис”, еще раз показало, что наличие сертификатов с громкими именами не имеет ни малейшего отношения к реальной безопасности данных», — заключают исследователи.
UPD
Мы получили комментарий от разработчиков, а именно от Александра Буравцова, директора по безопасности «МойОфис». В частности, он отмечает, что «некорректно приравнивать вопросы сертификации и подтверждения надежности продуктов к имплементации одной конкретной функции парольной защиты документов и, к тому же, отождествлять одну эту функцию с общим уровнем безопасности продуктов “МойОфис”». Ниже мы приводим комментарий Буравцова полностью.
Мы приветствуем экспертизу и развитие Elcomsoft в направлении защиты паролями, при этом хотим отметить, что использование механизмов шифрования документов на основе парольной информации не приводит к обеспечению надлежащего уровня конфиденциальности информации с ограниченным доступом (в обычных редакторах). Линейка защищенных решений любого производителя подразумевает использование комплексной (эшелонированной) защиты на уровне приложения, операционной системы, рабочей станции, сети и информационной инфраструктуры в целом.
«МойОфис» предлагает средства обеспечения информационной безопасности на уровне приложения. В решениях «МойОфис» реализованы технологии защиты каналов связи (TLS), функции шифрования и электронной подписи почтовых сообщений, а также возможность поддержки российских криптографических библиотек (подробнее о функциях безопасности). Продукты «МойОфис» регулярно проходят сертификационные испытания на соответствие требованиям действующих регламентов регулятора, и в полной мере им отвечают. В том числе, продукт «МойОфис Стандартный», пробную версию которого изучали специалисты Elcomsoft в своей публикации, успешно прошел сертификацию в ФСТЭК России и получил сертификат, который определяет отсутствие недекларированных возможностей и соответствие требованиям по уровню доверия (подробнее о сертификации).
При необходимости и по желанию заказчика, решения «МойОфис» могут быть доукомплектованы дополнительными средствами обеспечения информационной безопасности. К числу таковых относятся, как наложенные программные средства, так и аппаратные средства защиты, например — защищенные ключевые носители. Продукты «МойОфис» совместимы с решениями «КриптоПро», которые получили широкое распространение в Российской Федерации, в том числе, в органах государственной власти и крупных коммерческих структурах. Комплекс реализованных мер информационной безопасности позволяет нашим пользователям применять продукты «МойОфис» на объектах критической информационной инфраструктуры.
Учитывая вышесказанное, функция парольной защиты не может считаться единственным и, тем более, ключевым критерием обеспечения информационной безопасности. Из-за ряда своих технологических особенностей, она также не является и объектом сертификации. В целом, согласно действующим регламентам системы сертификации ФСТЭК России, программное обеспечение проходит оценку на предмет соответствия конкретному набору требований, и стандартная функция защиты файла паролем не заявляется как функция защиты.
Тем не менее, мы благодарны коллегам за внимание к особенностям реализации этой функции в редакторах «МойОфис». Она была включена в состав продуктов, в том числе с целью обеспечения совместимости с существующими файлами наших пользователей. Одним из ключевых преимуществ наших продуктов является «всеядность» — редакторы документов и электронных таблиц способны работать с устаревшими форматами файлов, которые были накоплены нашими пользователями за долгие годы и до сих пор используются в их технологических процессах.
Выбор параметров функции парольной защиты обусловлен требованиями стандартов OOXML и ODF в разрезе критериев обратной совместимости. Учитывая экспоненциальную зависимость скорости подбора ключей от длины ключа, количества символов в пароле и типа используемого набора символов, нам было бы интересно узнать, при каких условиях тестирования удалось наблюдать столь значительный перекос в опубликованных результатах. Мы дополнительно усилим функцию парольной защиты, но еще раз подчеркиваем, она не может комплексно влиять на вопросы безопасности наших продуктов.
Если говорить о шифровании документов, как о методе ограничения доступа к информации, то целесообразно применять не функции парольной защиты, а использовать элементы ИОК (инфраструктуры открытых ключей). В том числе, защищать данные с помощью квалифицированных сертификатов ключей проверки электронной подписи, где уровень криптографической стойкости, включая устойчивость к механизмам подбора пароля, находится принципиально на другом уровне. Подобный способ позволяет производить шифрование с использованием технологии асимметричной криптографии, к которой не применимы атаки методом прямого перебора паролей, на которых специализируется Elcomsoft.
Стойкость электронной подписи в соответствии с ГОСТ Р 34.10-2012 основывается на сложности вычисления дискретного логарифма в группе точек эллиптической кривой, а также на стойкости используемой хэш-функции по ГОСТ Р 34.11-2012.Стандарты криптографической защиты информации разработаны «Центром защиты информации и специальной связи» ФСБ России совместно с ТК 26.
В статье также содержатся недостоверные данные о применяемых компонентах СПО в решениях «МойОфис»: это неправда, что функция парольной защиты реализована на базе технологий OpenOffice. Ядро, интерфейс, значительная часть кода платформы «МойОфис», в том числе офисные редакторы написаны с нуля, полностью силами специалистов компании (всего более 1,5 млн строк собственного кода). Упоминаемая в статье функция парольной защиты является проприетарной и не имеет никакого отношения к решениям OpenOffice.
Мы приветствуем решение Elcomsoft добавить функцию восстановления паролей к зашифрованным документам и таблицам в форматах документов «МойОфис» в новых версиях приложений Advanced Office Password Recovery и Distributed Password Recovery. Таким образом, экосистема «МойОфис» пополнилась еще одним технологическим партнером, лидером в области разработки сервисных утилит в сфере информационной безопасности. Выражаем надежду на дальнейшее сотрудничество в вопросах независимого аудита программных решений «МойОфис», что позволит сделать наши продукты еще лучше.
