Kürzlich veröffentlichte D-Russia die Stellungnahme des Autors von Vladimir Katalov, CEO von Elcomsoft, zum Grad der Anfälligkeit für Brute-Force-Angriffe auf passwortgeschützte Office-Softwaredateien. Das Unternehmen ist auf die forensische Analyse von Computern, Mobilgeräten und Cloud-Daten spezialisiert und hat in seiner Veröffentlichung unter anderem eine Bewertung der Sicherheit von MyOffice-Produkten bei der Arbeit mit Daten vorgenommen. Als Entwickler russischer Software für die Zusammenarbeit mit Dokumenten und Kommunikation vertreten wir einen anderen Standpunkt und möchten auf Ungenauigkeiten in der Veröffentlichung aufmerksam machen.
Es sollte sofort gesagt werden, dass es falsch ist, die Fragen der Zertifizierung und Bestätigung der Zuverlässigkeit von Produkten mit der Implementierung einer bestimmten Funktion des Passwortschutzes für Dokumente gleichzusetzen und diese Funktion darüber hinaus mit dem allgemeinen Sicherheitsniveau von MyOffice-Produkten zu identifizieren.
Wir begrüßen das Fachwissen und die Entwicklung von Elcomsoft in Richtung Passwortschutz. Wir möchten jedoch darauf hinweisen, dass die Verwendung von Dokumentenverschlüsselungsmechanismen auf der Grundlage von Passwortinformationen nicht zu einem angemessenen Maß an Vertraulichkeit von Informationen mit eingeschränktem Zugriff führt (in normalen Editoren). Die Reihe sicherer Lösungen aller Hersteller impliziert die Verwendung eines komplexen (mehrschichtigen) Schutzes auf der Ebene der Anwendung, des Betriebssystems, der Workstation, des Netzwerks und der gesamten Informationsinfrastruktur.
MyOffice bietet Informationssicherheitstools auf Anwendungsebene. MyOffice-Lösungen implementieren TLS- (Communication Channel Protection Technologies), Verschlüsselungs- und elektronische Signaturfunktionen für E-Mail-Nachrichten sowie die Unterstützung russischer kryptografischer Bibliotheken ( mehr zu Sicherheitsfunktionen ). MyOffice-Produkte werden regelmäßig Zertifizierungsprüfungen unterzogen, um die Anforderungen der aktuellen Vorschriften der Aufsichtsbehörde zu erfüllen und diese vollständig zu erfüllen. Insbesondere das Produkt "MyOffice Standard", dessen Testversion von Elcomsoft-Spezialisten in ihrer Veröffentlichung untersucht wurde, wurde von der FSTEC von Russland erfolgreich zertifiziert und erhielt ein Zertifikat, das das Fehlen nicht deklarierter Fähigkeiten und die Einhaltung der Anforderungen für das Vertrauensniveau feststellt ( mehr über die Zertifizierung ).
Bei Bedarf und auf Kundenwunsch können MyOffice-Lösungen durch zusätzliche Tools zur Informationssicherheit ergänzt werden. Dazu gehören sowohl überlagerte Software als auch Hardware- und Softwareschutz, beispielsweise geschützte Schlüsselmedien. MyOffice-Produkte sind mit CryptoPro-Lösungen kompatibel, die in der Russischen Föderation weit verbreitet sind, einschließlich in Regierungsbehörden und großen Handelsstrukturen. Der Komplex der implementierten Informationssicherheitsmaßnahmen ermöglicht es unseren Benutzern, MyOffice-Produkte in Einrichtungen der kritischen Informationsinfrastruktur zu verwenden.
In Anbetracht des Vorstehenden kann die Passwortschutzfunktion nicht als einziges und darüber hinaus als Schlüsselkriterium für die Gewährleistung der Informationssicherheit angesehen werden. Aufgrund einer Reihe seiner technologischen Merkmale ist es auch nicht zertifizierungspflichtig. Im Allgemeinen wird die Software gemäß den aktuellen Bestimmungen des FSTEC of Russia- Zertifizierungssystems auf Übereinstimmung mit bestimmten Anforderungen geprüft , und die Standardfunktion zum Schutz von Dateikennwörtern wird nicht als Schutzfunktion beansprucht.
Trotzdem danken wir unseren Kollegen für ihre Aufmerksamkeit für die Besonderheiten der Implementierung dieser Funktion in den Redakteuren von MyOffice. Es wurde unter anderem in die Produkte aufgenommen, um die Kompatibilität mit vorhandenen Dateien unserer Benutzer zu gewährleisten. Einer der Hauptvorteile unserer Produkte ist die Unterstützung einer Vielzahl unterschiedlicher Formate - Dokument- und Tabellenkalkulationseditoren können mit allen bekannten Dateiformaten arbeiten, auch mit veralteten, die von unseren Benutzern im Laufe der Jahre gesammelt wurden und immer noch in ihren technologischen Prozessen verwendet werden.
Die Auswahl der Parameter für die Kennwortschutzfunktion richtet sich nach den Anforderungen der OOXML- und ODF-Standards hinsichtlich der Abwärtskompatibilitätskriterien. Angesichts der exponentiellen Abhängigkeit der Schlüsselschätzgeschwindigkeit von der Schlüssellänge, der Anzahl der Zeichen im Kennwort und der Art des verwendeten Zeichensatzes wären wir interessiert zu wissen, unter welchen Testbedingungen wir eine so signifikante Verzerrung in den veröffentlichten Ergebnissen beobachten konnten. Wir werden die Passwortschutzfunktion weiter stärken, betonen jedoch erneut, dass sie die Sicherheitsprobleme unserer Produkte nicht umfassend beeinflussen kann.
Wenn wir über die Verschlüsselung von Dokumenten als Methode zur Einschränkung des Zugriffs auf Informationen sprechen, ist es ratsam, nicht die Kennwortschutzfunktionen, sondern die PKI-Elemente (Public Key Infrastructure) zu verwenden. Dies umfasst den Schutz von Daten mithilfe qualifizierter Zertifikate für Schlüssel zur Überprüfung elektronischer Signaturen, bei denen der Grad der kryptografischen Stärke, einschließlich des Widerstands gegen Mechanismen zum Erraten von Passwörtern, grundsätzlich auf einem anderen Niveau liegt. Diese Methode ermöglicht die Verschlüsselung mithilfe der asymmetrischen Kryptografietechnologie, die nicht auf Brute-Force-Angriffe anwendbar ist, auf die Elcomsoft spezialisiert ist.
Die Sicherheit einer elektronischen Signatur gemäß GOST R 34.10-2012 basiert auf der Komplexität der Berechnung des diskreten Logarithmus in einer Gruppe von Punkten einer elliptischen Kurve sowie der Sicherheit der verwendeten Hash-Funktion gemäß GOST R 34.11-2012. Kryptografische Informationssicherheitsstandards wurden vom Zentrum für Informationssicherheit und Sonderkommunikation des FSB von Russland in Zusammenarbeit mit TC 26 entwickelt.
Der Artikel enthält auch ungenaue Daten zu den in MyOffice-Lösungen verwendeten Open-Source-Softwarekomponenten: Es stimmt nicht, dass die Kennwortschutzfunktion auf der Basis von OpenOffice-Technologien implementiert ist. Der Kern und die Benutzeroberfläche, ein wesentlicher Teil des Codes der MyOffice-Plattform, einschließlich der Office-Editoren, wurden vollständig von den Spezialisten des Unternehmens von Grund auf neu geschrieben (insgesamt mehr als 1,5 Millionen Zeilen eigenen Codes). Die in diesem Artikel erwähnte Kennwortschutzfunktion ist proprietär und hat nichts mit OpenOffice-Lösungen zu tun.
Wir begrüßen die Entscheidung von Elcomsoft, verschlüsselten Dokumenten und Tabellen in den neuen Versionen von Advanced Office Password Recovery und Distributed Password Recovery die Kennwortwiederherstellung in MyOffice-Dokumentformaten hinzuzufügen. So wurde das MyOffice-Ökosystem mit einem anderen Technologiepartner ergänzt, der führend in der Entwicklung von Dienstprogrammen im Bereich der Informationssicherheit ist. Wir hoffen auf eine weitere Zusammenarbeit bei der unabhängigen Prüfung von MyOffice-Softwarelösungen, die unsere Produkte noch besser machen wird.