МойОфис – полноценный набор офисных приложений для работы с электронными документами. По утверждению разработчиков, продукты из набора поддерживают российские криптоалгоритмы. Продукт получил сертификаты соответствия ФСТЭК и ФСБ. Насколько действительно безопасны алгоритмы шифрования МойОфис, и можно ли их взломать? Попробуем разобраться.

Форматы файлов и алгоритмы шифрования

В современном мире ни одно офисное приложение не работает в вакууме. Необходимость обмениваться документами привела к необходимости стандартизации форматов файлов. Разработчики пакета МойОфис не стали изобретать колесо: продукт может сохранять файлы в форматах Microsoft Office 2007, ODT и XODT (последние два формата хоть и различаются между собой, но с точки зрения шифрования полностью идентичны).

Шифрование по стандарту Microsoft Office 2007

Первый из используемых пакетом МойОфис форматов файлов — формат Microsoft Office 2007. Этот стандарт нами изучен давно; никаких сюрпризов с точки зрения шифрования здесь нет и быть не может (в противном случае сохранённые документы было бы невозможно открыть в других приложениях).

С 2007 года Microsoft Office переходит на новый формат документов (документы с расширением .DOC превращаются в .DOCX, таблицы .XLS – в  .XLSX и так далее). Новые форматы стали не просто «расширенными» версиями исходных форматов Microsoft Office. Дополнительный символ «X» в расширении указывает на новый открытый стандарт документов Office Open XML (не путать с форматом файлов XML OpenOffice.org). Изменился и подход Microsoft к защите: в формате образца 2007 года используется 128-битное шифрование AES с 50,000 итерациями хэш-функции SHA-1 для преобразования пароля в двоичный ключ.

Насколько безопасна такая защита? Даже сегодня документы, зашифрованные в формате Microsoft Office 2007, являются умеренно безопасными. Использование вычислительных мощностей современного процессора Intel Core i7 обеспечивает скорость перебора порядка 1000 паролей в секунду, в то время как атаки с использованием графического сопроцессора выдают скорость порядка 200,000 паролей в секунду (на ускорителе NVIDIA Tesla V100). Разумеется, формат 13-летней давности почти в десять раз уступает в стойкости защите, использующейся современными версиями Microsoft Office начиная с 2013 года (100,000 итераций заметно более стойкой функции SHA-512). Уступает он и формату 10-летней давности из MS Office 2010; в этом случае разница двукратная. Тем не менее, даже устаревшая защита, разработанная Microsoft и использующая американский стандарт шифрования AES (хоть и не самым длинным ключом), обеспечивает некоторый (хоть и не самый высокий) уровень безопасности.

Шифрование файлов ODT/XODT

Помимо формата Microsoft Office 2007, пакет МойОфис поддерживает зашифрованные форматы OpenDocument ODT и XODT. В качестве шифра принят всё тот же AES с весьма умеренной длиной ключа 128 бит, работающий в режиме CBC. Преобразование пароля в двоичный ключ осуществляется посредством 1024 итераций хэш-функции SHA256.

Выбор подобных настроек для продукта, сертифицированного вплоть до уровня государственной тайны, не может не удивлять. Скорость перебора паролей к зашифрованным документам зашкаливает: порядка 2,44 миллиона паролей в секунду на старой видеокарте NVIDIA GeForce GTX 1080, около 3,36 миллиона на современной видеокарте среднего уровня NVIDIA RTX 2070 или порядка 7,17 миллиона паролей в секунду на новейшей NVIDIA RTX 3090. Это – очень высокие скорости перебора (а следовательно – и чрезвычайно слабая защита) даже в сравнении с форматом Microsoft Office 13-летней давности.

Насколько плохо обстоят дела в реальности? Для сравнения, в офисном пакете LibreOffice, который сохраняет файлы в том же формате ODT, используется 100,000 итераций SHA256, а шифрование данных осуществляется по алгоритму AES с длиной ключа 256 бит. С такими параметрами защиты атаку на пароль можно запустить со скоростью около 15,000 паролей в секунду на NVIDIA GeForce GTX 1080 или около 19,000 паролей в секунду на NVIDIA RTX 2070. А если использовать самый свежий ускоритель NVIDIA RTX 3090, то разница и вовсе поразительна:

Почему в пакете МойОфис используется настолько слабое шифрование? Дело здесь исключительно в выбранных разработчиками настройках: при сборке продукта из исходных кодов OpenOffice можно указать и более безопасные настройки.

Заключение

«В 2020 году наиболее важным трендом в области программного обеспечения стала защита пользовательских данных — из-за пандемии многие сотрудники госструктур и крупных предприятий были вынуждены использовать небезопасные каналы обмена информацией. МойОфис внимательно следит за изменением конъюнктуры рынка и своевременно добавляет необходимые функции, которые способны обеспечить более высокий уровень информационной безопасности с применением российских криптографических технологий», — заявил Евгений Фенюшин, директор по продуктам МойОфис.

Проведённое исследование указывает на неполное соответствие маркетинговых заявлений компании реальному положению дел. Несмотря на использование алгоритма шифрования Advanced Encryption Standard, разработанного двумя бельгийцами и принятого в качестве стандарта в США, стойкость зашифрованных документов ниже аналогов от Microsoft и других сборок на основе OpenOffice в разы, а для отдельных форматов — на несколько порядков. Выбранные разработчиками настройки защиты откровенно устарели, что позволяет перебирать пароли с огромной скоростью. Исследование защиты документов, сохраняемых офисными приложениями из пакета МойОфис, ещё раз показало, что наличие сертификатов с громкими именами не имеет ни малейшего отношения к реальной безопасности данных.