Первая версия Microsoft Office вышла 1988 году. За прошедшие годы Microsoft Office превратился из простого текстового редактора в мощный пакет приложений и облачных сервисов с более чем 1,2 миллиардами пользователей, а форматы файлов Microsoft Office стали стандартом де-факто в документообороте. С выходом Word 2.0 в 1991 году в офисных продуктах Microsoft появилось шифрование. Некоторые виды паролей и по сей день можно просто удалить, но расшифровать зашифрованные файлы становится всё сложнее с каждым новым поколением Office. Сегодня мы расскажем о том, как эволюционировала защита данных в продуктах Microsoft Office.

Word 2.0 – 95, Excel 4.0 – 95

В этих версиях Microsoft Office использовался простейший алгоритм XOR. Даже в момент выхода этой версии Microsoft Office этот тип шифрования считался имитацией защиты; расшифровать защищённые документы и тогда, и сейчас можно мгновенно; в длительных атаках нет никакой необходимости. Этот тип защиты продержался вплоть до версии Office 95 включительно.

Итог: мгновенная расшифровка.

Office 97 и 2000

На момент выхода Office 97 в компании Microsoft уже знали, каким должно быть шифрование. Тем не менее, Office 97 вышел с намеренно ослабленной защитой. Причиной стали экспортные ограничения США. В версии продукта для американского рынка пользователи могли самостоятельно настроить стойкое шифрование, однако этого почти никогда не происходило в силу ограничений совместимости.

С технической точки зрения в Office 97 использовался поточный шифр RC4 и функция хеширования MD5. Для защиты использовался 40-битный ключ и единственная итерация хеш-функции. На момент выхода такая защита считалась слабой; сегодня защищённые таким образом документы можно быстро расшифровать без использования аппаратных ускорителей и распределённых атака.

Более того, для снятия защиты и расшифровки документов не нужен и перебор. Мы разработали алгоритм, использующий патентованные таблицы Elcomsoft Thunder Tables ™, позволяющий расшифровать любые документы Word 97 и порядка 97% таблиц Excel 97 за считанные секунды.

Для расшифровки документов не требуется восстановление оригинального пароля: достаточно ключа, восстановленного при помощи указанных таблиц. Если же оригинальный пароль необходимо восстановить, то это можно сделать методом полного перебора. Использование современных графических ускорителей позволяет добиться скоростей перебора в десятки миллионов паролей в секунду, что позволяет полностью перебрать все 40-битные ключи за несколько часов и расшифровать документ (но не восстановить оригинальный пароль к документу). Использование же таблиц Elcomsoft Thunder Tables ™ позволит расшифровать любые документы Word 97 и порядка 97% таблиц Excel 97 за несколько секунд; оригинальный пароль к документу также не восстанавливается и не используется для расшифровки.

Шифрование в Microsoft Office 2000 идентично тому, которое использовалось в версии трёхлетней давности.

Итог: мгновенная расшифровка таблицами Thunder Tables либо исключительно быстрый перебор для восстановления оригинального пароля.

Office XP и 2003 с шифрованием по умолчанию

К 2000 году ограничения экспортного контроля были практически полностью сняты, однако Microsoft продолжала использовать слабое шифрование ещё несколько лет в двух поколениях офисных продуктов: Office XP и 2003. В этих версиях Microsoft Office по умолчанию используются алгоритмы шифрования и хеширования из Office 97. В результате большинство документов Office XP и 2003 можно расшифровать практически мгновенно с помощью Elcomsoft Advanced Office Recovery и таблиц Thunder Tables.

С выходом Office XP Microsoft позволяет использовать внешние криптографические провайдеры. Если используется внешний криптографический провайдер (что встречается достаточно редко), то вместо восстановления 40-битного ключа шифрования необходим перебор пароля. В то же время важно отметить, что выбор внешнего криптографического провайдера влияет на длину ключа шифрования, но никак не влияет на алгоритм хеширования пароля — что означает, что скорость перебора паролей остаётся прежней. Независимо от выбранного провайдера криптографии скорость парольной атаки будет фиксированной и не будет зависеть от выбранной длины ключа шифрования. Время, необходимое для взлома пароля, зависит исключительно от длины и сложности самого пароля, но не от выбора провайдера криптографии. В результате простые пароли можно восстановить почти мгновенно, в то время как атака на 7-значный буквенно-цифровой пароль может занять около полутора дней.

Использование внешних криптографических провайдеров не исправило ситуацию с шифрованием: защита в Office XP и Office 2003 как была, так и осталась очень слабой. Средний процессор Intel Core i7 потребительского уровня обеспечивает скорость перебора порядка 3 миллионов паролей в секунду. Графический ускоритель ускорит перебор в 250-500 раз в зависимости от оборудования; в современных условиях такая скорость перебора указывает на исключительно слабую защиту.

Итог: документы, сохранённые в режиме шифрования по умолчанию, расшифровываются мгновенно с использованием таблиц Thunder Tables. Атака на оригинальный пароль исключительно быстрая и не зависит от выбора провайдера криптографии.

Office 2007: появление стойкого шифрования

Спустя семь лет после снятия ограничений на экспорт стойкой криптографии в Microsoft отказались от использования 40-битного шифрования. Однако новая схема шифрования стала не единственным нововведением в Office 2007.

Начиная с поколения 2007 года, в обновлённых версиях Word и Excel (а также многих других приложений Microsoft Office) радикально изменился формат файлов. Для Microsoft Word расширение файла было изменено с DOC на DOCX, а таблицы Excel теперь сохраняются как файлы XLSX вместо XLS. Новые форматы стали не просто расширенными версиями исходных форматов файлов на основе OLE, родом из 1990-х годов. Дополнительный символ «X» обозначает стандарт Office Open XML (не путать с форматом файлов XML OpenOffice.org). С точки зрения восстановления паролей имеет значение то, что в новых форматах файлов применена совершенно новая система шифрования.

Вместо 40-битного RC4 и единственной итерации хеширования MD5 Microsoft использовала промышленный стандарт AES-128 и хеширование посредством 50,000 итераций SHA-1. Использование длинного ключа шифрования делает невозможными атаки на ключ. Теперь для расшифровки документа необходимо восстановить исходный пароль, что, в свою очередь, означает необходимость атаки методом полного перебора (или атаки на основе словаря, мутаций и т.п.)

Даже сегодня документы, зашифрованные с помощью Office 2007 (и не сохранённые в режиме совместимости), являются умеренно безопасными. Типичный процессор Intel Core i7 обеспечивает скорость восстановления около 1000 паролей в секунду, в то время как атаки с использованием графического процессора обеспечивают скорость перебора порядка 200,000 паролей в секунду (NVIDIA Tesla V100). Для восстановления паролей рекомендуем использовать интеллектуальные словарные атаки.

Итог: новый формат файла и новый метод шифрования. Мгновенная расшифровка документа невозможна. Скорость атаки средняя. Относительно сложные пароли требуют умных словарных атак.

Office 2010: вдвое безопаснее

В Office 2010 используется та же модель шифрования, что и в предыдущем поколении. Новый Office по-прежнему использует AES-128 для шифрования и SHA-1 для хеширования. Однако количество итераций хеширования было увеличено вдвое: с 50,000 в Office 2007 до 100,000 в Office 2010. Это было сделано для того, чтобы учесть эволюцию аппаратного обеспечения и обеспечить аналогичный уровень безопасности.

На сегодняшнем оборудовании скорость перебора паролей к файлам, сохранённым в Office 2010, составляет порядка 500 комбинаций в секунду на процессоре Intel Core i7. Использование графического ускорителя позволяет увеличить скорость атаки до 100,000 паролей в секунду (NVIDIA Tesla V100). На данном этапе атаки методом полного перебора становятся невозможными для всех паролей, кроме самых коротких; рекомендуется атака по словарю.

Итог: алгоритмы из Office 2007, но число итераций хеш-функции удвоено; скорость перебора падает вдвое в сравнении с Office 2007.

Office 2013, 2016, 2019

В последующих поколениях Office Microsoft продолжает увеличивать стойкость шифрования; созданные в новых версиях Office документы совместимы с более ранними версиями в обе стороны.

В Office 2013 были представлены новый метод шифрования (AES-256) и новый алгоритм хеширования (SHA-512). Office 2013, 2016 и 2016 используют шифрование AES-128 или AES-256 и 100,000 итераций SHA-512 для хеширования пароля. Это привело к резкому снижению скорости перебора, которая теперь составляет порядка 50 паролей в секунду на современном процессоре Intel Core i7. Использование графического ускорителя NVIDIA RTX 3090 увеличивает скорость восстановления примерно до 25,700 паролей в секунду.

Такая скорость означает, что пароль, состоящий из 7 букв одного регистра, можно восстановить методом полного перебора за 5 дней; пароль из 10 цифр — за 6 дней. Для более сложных паролей «умные» атаки и использование графических ускорителей являются обязательными условиями. Для взлома длинных и сложных паролей рекомендуются распределённые атаки (Elcomsoft Distributed Password Recovery).

Итог: скорость перебора упала ещё сильнее. Низкая скорость атак. Полный перебор с использованием графического ускорителя позволяет восстанавливать пароли длиной от 5 до 10 символов в зависимости от используемого набора символов. Более сложные пароли требуют продвинутых словарных атак, в то время как длинные и сложные пароли можно восстановить с использованием распределённых вычислений.

Моментальное снятие защиты

Для восстановления доступа к зашифрованным документам в старом формате DOC/XLS и новом формате DOCX/XLSX используется Advanced Office Password Breaker, предназначенный для быстрого снятия защиты паролем с документов в старых форматах DOC и XLS независимо от версии Microsoft Office, которая использовалась для сохранения файлов. Эти форматы файлов использовались по умолчанию в Microsoft Word 97/2000 и Excel 97/2000. Они остались форматом по умолчанию в Microsoft Office XP и 2003 (быстрое восстановление возможно только с настройками шифрования по умолчанию).

Вместо восстановления исходного пароля при помощи таблиц Thunder Tables атакуется 40-битный ключ шифрования, что позволяет гарантированно расшифровывать документы Microsoft Word 97/2000 и порядка 97% таблиц Excel.

Заключение

Стандарт шифрования, используемый в Microsoft Office 2007 и более поздних версиях, сделал мгновенное восстановление паролей и мгновенную расшифровку данных невозможным (если документ не был сохранен в старом формате в режиме совместимости). Для всех версий Microsoft Office, сохраняющих файлы с расширениями DOCX и XLSX, необходимо восстанавливать пароль вместо ключа шифрования.

Современные версии Microsoft Office хорошо защищены от лобовой атаки, что делает невозможными атаки методом полного перебора. Рекомендуем использовать интеллектуальные словарные атаки, ускорение с помощью графического процессора и распределённых вычислений.

Elcomsoft Distributed Password Recovery поддерживает аппаратное ускорение на большинстве современных видеокарт, позволяя использовать компьютеры, оборудованные до 8 графическими процессорами каждый. Доступен режим распределённых атак с использованием нескольких компьютеров или виртуальных машин.