Изучаем безопасность офисного ПО — какие механизмы влияют на защиту данных

ipmqtqayobj2ejlogzwb8cr-g9e.jpeg

Недавно, издание D-Russia опубликовало авторское мнение Владимира Каталова, исполнительного директора компании Elcomsoft об уровне подверженности к взлому методом перебора защищенных паролем файлов офисного ПО. Компания специализируется на криминалистической экспертизе компьютеров, мобильных устройств и облачных данных, и в своей публикации среди прочего привела оценку безопасности продуктов МойОфис при работе с данными. Мы, как разработчик российского программного обеспечения для совместной работы с документами и коммуникациями, придерживаемся другой точки зрения и хотим обратить внимание на допущенные в публикации неточности.

Сразу стоит сказать, что некорректно приравнивать вопросы сертификации и подтверждения надежности продуктов к имплементации одной конкретной функции парольной защиты документов и, к тому же, отождествлять одну эту функцию с общим уровнем безопасности продуктов МойОфис.
Мы приветствуем экспертизу и развитие Elcomsoft в направлении защиты паролями, при этом хотим отметить, что использование механизмов шифрования документов на основе парольной информации не приводит к обеспечению надлежащего уровня конфиденциальности информации с ограниченным доступом (в обычных редакторах). Линейка защищенных решений любого производителя подразумевает использование комплексной (эшелонированной) защиты на уровне приложения, операционной системы, рабочей станции, сети и информационной инфраструктуры в целом.

МойОфис предлагает средства обеспечения информационной безопасности на уровне приложения. В решениях МойОфис реализованы технологии защиты каналов связи (TLS), функции шифрования и электронной подписи почтовых сообщений, а также возможность поддержки российских криптографических библиотек (подробнее о функциях безопасности). Продукты МойОфис регулярно проходят сертификационные испытания на соответствие требованиям действующих регламентов регулятора, и в полной мере им отвечают. В том числе, продукт «МойОфис Стандартный», пробную версию которого изучали специалисты Elcomsoft в своей публикации, успешно прошел сертификацию в ФСТЭК России и получил сертификат, который определяет отсутствие недекларированных возможностей и соответствие требованиям по уровню доверия (подробнее о сертификации).

При необходимости и по желанию заказчика, решения МойОфис могут быть доукомплектованы дополнительными средствами обеспечения информационной безопасности. К числу таковых относятся, как наложенные программные средства, так и программно-аппаратные средства защиты, например — защищённые ключевые носители. Продукты МойОфис совместимы с решениями «КриптоПро», которые получили широкое распространение в Российской Федерации, в том числе, в органах государственной власти и крупных коммерческих структурах. Комплекс реализованных мер информационной безопасности позволяет нашим пользователям применять продукты МойОфис на объектах критической информационной инфраструктуры.

Учитывая вышесказанное, функция парольной защиты не может считаться единственным и, тем более, ключевым критерием обеспечения информационной безопасности. Из-за ряда своих технологических особенностей, она также не является и объектом сертификации. В целом, согласно действующим регламентам системы сертификации ФСТЭК России, программное обеспечение проходит оценку на предмет соответствия конкретному набору требований, и стандартная функция защиты файла паролем не заявляется как функция защиты.

Тем не менее, мы благодарны коллегам за внимание к особенностям реализации этой функции в редакторах МойОфис. Она была включена в состав продуктов в том числе с целью обеспечения совместимости с существующими файлами наших пользователей. Одним из ключевых преимуществ наших продуктов является поддержка большого количества различных форматов — редакторы документов и электронных таблиц способны работать с со всеми известными форматами файлов, включая устаревшие, которые были накоплены нашими пользователями за долгие годы и до сих пор используются в их технологических процессах.

Выбор параметров функции парольной защиты обусловлен требованиями стандартов OOXML и ODF в разрезе критериев обратной совместимости. Учитывая экспоненциальную зависимость скорости подбора ключей от длины ключа, количества символов в пароле и типа используемого набора символов, нам было бы интересно узнать, при каких условиях тестирования удалось наблюдать столь значительный перекос в опубликованных результатах. Мы дополнительно усилим функцию парольной защиты, но еще раз подчеркиваем, она не может комплексно влиять на вопросы безопасности наших продуктов.

Если говорить о шифровании документов, как о методе ограничения доступа к информации, то целесообразно применять не функции парольной защиты, а использовать элементы ИОК (инфраструктуры открытых ключей). В том числе, защищать данные с помощью квалифицированных сертификатов ключей проверки электронной подписи, где уровень криптографической стойкости, включая устойчивость к механизмам подбора пароля, находится принципиально на другом уровне. Подобный способ позволяет производить шифрование с использованием технологии асимметричной криптографии, к которой не применимы атаки методом прямого перебора паролей, на которых специализируется Elcomsoft.

Стойкость электронной подписи в соответствии с ГОСТ Р 34.10–2012 основывается на сложности вычисления дискретного логарифма в группе точек эллиптической кривой, а также на стойкости используемой хэш-функции по ГОСТ Р 34.11–2012. Стандарты криптографической защиты информации разработаны «Центром защиты информации и специальной связи» ФСБ России совместно с ТК 26.

В статье также содержатся недостоверные данные о применяемых компонентах СПО в решениях МойОфис: это неправда, что функция парольной защиты реализована на базе технологий OpenOffice. Ядро, интерфейс, значительная часть кода платформы МойОфис, в том числе офисные редакторы написаны с нуля, полностью силами специалистов компании (всего более 1,5 млн строк собственного кода). Упоминаемая в статье функция парольной защиты является проприетарной и не имеет никакого отношения к решениям OpenOffice.

Мы приветствуем решение Elcomsoft добавить функцию восстановления паролей к зашифрованным документам и таблицам в форматах документов МойОфис в новых версиях приложений Advanced Office Password Recovery и Distributed Password Recovery. Таким образом, экосистема МойОфис пополнилась еще одним технологическим партнером, лидером в области разработки сервисных утилит в сфере информационной безопасности. Выражаем надежду на дальнейшее сотрудничество в вопросах независимого аудита программных решений МойОфис, что позволит сделать наши продукты еще лучше.

© Habrahabr.ru