Recentemente, o D-Russia publicou a opinião do autor de Vladimir Katalov, CEO da Elcomsoft, sobre o nível de suscetibilidade a ataques de força bruta em arquivos de software de escritório protegidos por senha. A empresa é especializada em análise forense de computadores, dispositivos móveis e dados em nuvem, e em sua publicação, entre outras coisas, forneceu uma avaliação da segurança dos produtos MyOffice ao trabalhar com dados. Nós, como desenvolvedores de software russo para trabalho colaborativo com documentos e comunicações, aderimos a um ponto de vista diferente e gostaríamos de chamar a atenção para as imprecisões na publicação.
Deve-se dizer desde já que é incorreto equiparar as questões de certificação e confirmação da confiabilidade dos produtos com a implementação de uma função específica de proteção por senha para documentos e, além disso, identificar essa função com o nível geral de segurança dos produtos MyOffice.
Agradecemos a experiência e o desenvolvimento da Elcomsoft na direção da proteção por senha, embora gostaríamos de observar que o uso de mecanismos de criptografia de documentos com base em informações de senha não leva a um nível adequado de confidencialidade de informações com acesso limitado (em editores comuns). A linha de soluções seguras de qualquer fabricante implica o uso de proteção complexa (em camadas) no nível da aplicação, sistema operacional, estação de trabalho, rede e infraestrutura de informação como um todo.
O MyOffice oferece ferramentas de segurança da informação em nível de aplicativo. As soluções MyOffice implementam tecnologias de proteção de canal de comunicação (TLS), criptografia e funções de assinatura eletrônica para mensagens de correio, bem como a capacidade de oferecer suporte a bibliotecas criptográficas russas ( mais sobre funções de segurança ). Os produtos MyOffice são regularmente submetidos a testes de certificação para verificar a conformidade com os requisitos dos regulamentos atuais do regulador e os cumprem integralmente. Em particular, o produto "MyOffice Standard", cuja versão de teste foi estudada por especialistas da Elcomsoft em sua publicação, foi certificado com sucesso pelo FSTEC da Rússia e recebeu um certificado que determina a ausência de capacidades não declaradas e conformidade com os requisitos para o nível de confiança ( mais sobre certificação ).
Se necessário e a pedido do cliente, as soluções MyOffice podem ser complementadas com ferramentas adicionais de segurança da informação. Isso inclui software sobreposto e proteção de software e hardware, por exemplo, mídia de chave protegida. Os produtos MyOffice são compatíveis com as soluções CryptoPro, amplamente difundidas na Federação Russa, inclusive em órgãos governamentais e grandes estruturas comerciais. O complexo de medidas de segurança da informação implementadas permite que nossos usuários usem os produtos MyOffice em instalações de infraestrutura de informações críticas.
Diante do exposto, a função de proteção por senha não pode ser considerada o único e, além disso, o principal critério para garantir a segurança da informação. Devido a uma série de suas características tecnológicas, também não está sujeito à certificação. Em geral, de acordo com os regulamentos atuais do sistema de certificação FSTEC da Rússia , o software é avaliado quanto à conformidade com um conjunto específico de requisitos e a função de proteção de senha de arquivo padrão não é reivindicada como uma função de proteção.
No entanto, agradecemos aos nossos colegas pela atenção às peculiaridades da implementação desta função nos editores do MyOffice. Ele foi incluído nos produtos, entre outras coisas, para garantir a compatibilidade com os arquivos existentes de nossos usuários. Uma das principais vantagens de nossos produtos é o suporte de um grande número de formatos diferentes - editores de documentos e planilhas são capazes de trabalhar com todos os formatos de arquivo conhecidos, incluindo os obsoletos que foram acumulados por nossos usuários ao longo dos anos e ainda são usados em seus processos tecnológicos.
A escolha de parâmetros para a função de proteção por senha é determinada pelos requisitos dos padrões OOXML e ODF no contexto dos critérios de compatibilidade com versões anteriores. Considerando a dependência exponencial da velocidade de adivinhação da chave em relação ao comprimento da chave, o número de caracteres na senha e o tipo de conjunto de caracteres usado, estaríamos interessados em saber em que condições de teste pudemos observar um viés tão significativo nos resultados publicados. Vamos fortalecer ainda mais a função de proteção por senha, mas enfatizamos mais uma vez que ela não pode afetar de forma abrangente os problemas de segurança de nossos produtos.
Se falamos da criptografia de documentos como método de restrição do acesso à informação, é aconselhável usar não as funções de proteção por senha, mas sim os elementos PKI (infra-estrutura de chave pública). Isso inclui a proteção de dados usando certificados qualificados para chaves de verificação de assinatura eletrônica, onde o nível de força criptográfica, incluindo resistência a mecanismos de adivinhação de senha, está fundamentalmente em um nível diferente. Este método permite a criptografia usando tecnologia de criptografia assimétrica, que não é aplicável a ataques de força bruta, nos quais a Elcomsoft é especializada.
A segurança de uma assinatura eletrônica de acordo com GOST R 34.10-2012 é baseada na complexidade de calcular o logaritmo discreto em um grupo de pontos de uma curva elíptica, bem como a segurança da função hash usada de acordo com GOST R 34.11-2012. Os padrões para proteção de informações criptográficas foram desenvolvidos pelo Centro de Segurança da Informação e Comunicações Especiais do FSB da Rússia, juntamente com TC 26.
O artigo também contém dados imprecisos sobre os componentes de software de código aberto usados nas soluções MyOffice: não é verdade que a função de proteção por senha é implementada com base nas tecnologias OpenOffice. O núcleo, a interface, uma parte significativa do código da plataforma MyOffice, incluindo os editores de escritório, foram escritos do zero, inteiramente por especialistas da empresa (mais de 1,5 milhão de linhas de código próprio no total). O recurso de proteção por senha mencionado neste artigo é proprietário e não tem nada a ver com as soluções OpenOffice.
Saudamos a decisão da Elcomsoft de adicionar a recuperação de senha a documentos criptografados e planilhas nos formatos de documento MyOffice nas novas versões do Advanced Office Password Recovery e Distributed Password Recovery. Assim, o ecossistema MyOffice foi complementado por outro parceiro de tecnologia, líder no desenvolvimento de utilitários de serviços na área de segurança da informação. Esperamos uma maior cooperação em matéria de auditoria independente das soluções de software MyOffice, o que tornará nossos produtos ainda melhores.