Эволюция шифрования Microsoft Office: от Word 2.0 до Office 2019

8 октября, 2021, Oleg Afonin
Рубрика: «Безопасность», «Криптография и шифрование», «Человеческий фактор»
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Первая версия Microsoft Office вышла 1988 году. За прошедшие годы Microsoft Office превратился из простого текстового редактора в мощный пакет приложений и облачных сервисов с более чем 1,2 миллиардами пользователей, а форматы файлов Microsoft Office стали стандартом де-факто в документообороте. С выходом Word 2.0 в 1991 году в офисных продуктах Microsoft появилось шифрование. Некоторые виды паролей и по сей день можно просто удалить, но расшифровать зашифрованные файлы становится всё сложнее с каждым новым поколением Office. Сегодня мы расскажем о том, как эволюционировала защита данных в продуктах Microsoft Office.

Тип пароля Приложение Шифрование? Скорость атаки
Пароль на открытие Все кроме Outlook Да В зависимости от версии
Защита от записи Word, Excel, PowerPoint Нет Мгновенно
Защита документа Word Нет Мгновенно
Пароль Book Excel Нет Мгновенно
Пароль Shared Book Excel Нет Мгновенно
Пароль на таблицу Excel Нет Мгновенно
Пароль VBA Нет В зависимости от версии

Word 2.0 – 95, Excel 4.0 – 95

В этих версиях Microsoft Office использовался простейший алгоритм XOR. Даже в момент выхода этой версии Microsoft Office этот тип шифрования считался имитацией защиты; расшифровать защищённые документы и тогда, и сейчас можно мгновенно; в длительных атаках нет никакой необходимости. Этот тип защиты продержался вплоть до версии Office 95 включительно.

Итог: мгновенная расшифровка.

Office 97 и 2000

На момент выхода Office 97 в компании Microsoft уже знали, каким должно быть шифрование. Тем не менее, Office 97 вышел с намеренно ослабленной защитой. Причиной стали экспортные ограничения США. В версии продукта для американского рынка пользователи могли самостоятельно настроить стойкое шифрование, однако этого почти никогда не происходило в силу ограничений совместимости.

С технической точки зрения в Office 97 использовался поточный шифр RC4 и функция хеширования MD5. Для защиты использовался 40-битный ключ и единственная итерация хеш-функции. На момент выхода такая защита считалась слабой; сегодня защищённые таким образом документы можно быстро расшифровать без использования аппаратных ускорителей и распределённых атака.

Более того, для снятия защиты и расшифровки документов не нужен и перебор. Мы разработали алгоритм, использующий патентованные таблицы Elcomsoft Thunder Tables ™, позволяющий расшифровать любые документы Word 97 и порядка 97% таблиц Excel 97 за считанные секунды.

Для расшифровки документов не требуется восстановление оригинального пароля: достаточно ключа, восстановленного при помощи указанных таблиц. Если же оригинальный пароль необходимо восстановить, то это можно сделать методом полного перебора. Использование современных графических ускорителей позволяет добиться скоростей перебора в десятки миллионов паролей в секунду, что позволяет полностью перебрать все 40-битные ключи за несколько часов и расшифровать документ (но не восстановить оригинальный пароль к документу). Использование же таблиц Elcomsoft Thunder Tables ™ позволит расшифровать любые документы Word 97 и порядка 97% таблиц Excel 97 за несколько секунд; оригинальный пароль к документу также не восстанавливается и не используется для расшифровки.

Шифрование в Microsoft Office 2000 идентично тому, которое использовалось в версии трёхлетней давности.

Итог: мгновенная расшифровка таблицами Thunder Tables либо исключительно быстрый перебор для восстановления оригинального пароля.

Office XP и 2003 с шифрованием по умолчанию

К 2000 году ограничения экспортного контроля были практически полностью сняты, однако Microsoft продолжала использовать слабое шифрование ещё несколько лет в двух поколениях офисных продуктов: Office XP и 2003. В этих версиях Microsoft Office по умолчанию используются алгоритмы шифрования и хеширования из Office 97. В результате большинство документов Office XP и 2003 можно расшифровать практически мгновенно с помощью Elcomsoft Advanced Office Recovery и таблиц Thunder Tables.

С выходом Office XP Microsoft позволяет использовать внешние криптографические провайдеры. Если используется внешний криптографический провайдер (что встречается достаточно редко), то вместо восстановления 40-битного ключа шифрования необходим перебор пароля. В то же время важно отметить, что выбор внешнего криптографического провайдера влияет на длину ключа шифрования, но никак не влияет на алгоритм хеширования пароля — что означает, что скорость перебора паролей остаётся прежней. Независимо от выбранного провайдера криптографии скорость парольной атаки будет фиксированной и не будет зависеть от выбранной длины ключа шифрования. Время, необходимое для взлома пароля, зависит исключительно от длины и сложности самого пароля, но не от выбора провайдера криптографии. В результате простые пароли можно восстановить почти мгновенно, в то время как атака на 7-значный буквенно-цифровой пароль может занять около полутора дней.

Использование внешних криптографических провайдеров не исправило ситуацию с шифрованием: защита в Office XP и Office 2003 как была, так и осталась очень слабой. Средний процессор Intel Core i7 потребительского уровня обеспечивает скорость перебора порядка 3 миллионов паролей в секунду. Графический ускоритель ускорит перебор в 250-500 раз в зависимости от оборудования; в современных условиях такая скорость перебора указывает на исключительно слабую защиту.

Итог: документы, сохранённые в режиме шифрования по умолчанию, расшифровываются мгновенно с использованием таблиц Thunder Tables. Атака на оригинальный пароль исключительно быстрая и не зависит от выбора провайдера криптографии.

Office 2007: появление стойкого шифрования

Спустя семь лет после снятия ограничений на экспорт стойкой криптографии в Microsoft отказались от использования 40-битного шифрования. Однако новая схема шифрования стала не единственным нововведением в Office 2007.

Начиная с поколения 2007 года, в обновлённых версиях Word и Excel (а также многих других приложений Microsoft Office) радикально изменился формат файлов. Для Microsoft Word расширение файла было изменено с DOC на DOCX, а таблицы Excel теперь сохраняются как файлы XLSX вместо XLS. Новые форматы стали не просто расширенными версиями исходных форматов файлов на основе OLE, родом из 1990-х годов. Дополнительный символ «X» обозначает стандарт Office Open XML (не путать с форматом файлов XML OpenOffice.org). С точки зрения восстановления паролей имеет значение то, что в новых форматах файлов применена совершенно новая система шифрования.

Вместо 40-битного RC4 и единственной итерации хеширования MD5 Microsoft использовала промышленный стандарт AES-128 и хеширование посредством 50,000 итераций SHA-1. Использование длинного ключа шифрования делает невозможными атаки на ключ. Теперь для расшифровки документа необходимо восстановить исходный пароль, что, в свою очередь, означает необходимость атаки методом полного перебора (или атаки на основе словаря, мутаций и т.п.)

Даже сегодня документы, зашифрованные с помощью Office 2007 (и не сохранённые в режиме совместимости), являются умеренно безопасными. Типичный процессор Intel Core i7 обеспечивает скорость восстановления около 1000 паролей в секунду, в то время как атаки с использованием графического процессора обеспечивают скорость перебора порядка 200,000 паролей в секунду (NVIDIA Tesla V100). Для восстановления паролей рекомендуем использовать интеллектуальные словарные атаки.

Итог: новый формат файла и новый метод шифрования. Мгновенная расшифровка документа невозможна. Скорость атаки средняя. Относительно сложные пароли требуют умных словарных атак.

Office 2010: вдвое безопаснее

В Office 2010 используется та же модель шифрования, что и в предыдущем поколении. Новый Office по-прежнему использует AES-128 для шифрования и SHA-1 для хеширования. Однако количество итераций хеширования было увеличено вдвое: с 50,000 в Office 2007 до 100,000 в Office 2010. Это было сделано для того, чтобы учесть эволюцию аппаратного обеспечения и обеспечить аналогичный уровень безопасности.

На сегодняшнем оборудовании скорость перебора паролей к файлам, сохранённым в Office 2010, составляет порядка 500 комбинаций в секунду на процессоре Intel Core i7. Использование графического ускорителя позволяет увеличить скорость атаки до 100,000 паролей в секунду (NVIDIA Tesla V100). На данном этапе атаки методом полного перебора становятся невозможными для всех паролей, кроме самых коротких; рекомендуется атака по словарю.

Итог: алгоритмы из Office 2007, но число итераций хеш-функции удвоено; скорость перебора падает вдвое в сравнении с Office 2007.

Office 2013, 2016, 2019

В последующих поколениях Office Microsoft продолжает увеличивать стойкость шифрования; созданные в новых версиях Office документы совместимы с более ранними версиями в обе стороны.

В Office 2013 были представлены новый метод шифрования (AES-256) и новый алгоритм хеширования (SHA-512). Office 2013, 2016 и 2016 используют шифрование AES-128 или AES-256 и 100,000 итераций SHA-512 для хеширования пароля. Это привело к резкому снижению скорости перебора, которая теперь составляет порядка 50 паролей в секунду на современном процессоре Intel Core i7. Использование графического ускорителя NVIDIA RTX 3090 увеличивает скорость восстановления примерно до 25,700 паролей в секунду.

Такая скорость означает, что пароль, состоящий из 7 букв одного регистра, можно восстановить методом полного перебора за 5 дней; пароль из 10 цифр — за 6 дней. Для более сложных паролей «умные» атаки и использование графических ускорителей являются обязательными условиями. Для взлома длинных и сложных паролей рекомендуются распределённые атаки (Elcomsoft Distributed Password Recovery).

Итог: скорость перебора упала ещё сильнее. Низкая скорость атак. Полный перебор с использованием графического ускорителя позволяет восстанавливать пароли длиной от 5 до 10 символов в зависимости от используемого набора символов. Более сложные пароли требуют продвинутых словарных атак, в то время как длинные и сложные пароли можно восстановить с использованием распределённых вычислений.

Моментальное снятие защиты

Для восстановления доступа к зашифрованным документам в старом формате DOC/XLS и новом формате DOCX/XLSX используется Advanced Office Password Breaker, предназначенный для быстрого снятия защиты паролем с документов в старых форматах DOC и XLS независимо от версии Microsoft Office, которая использовалась для сохранения файлов. Эти форматы файлов использовались по умолчанию в Microsoft Word 97/2000 и Excel 97/2000. Они остались форматом по умолчанию в Microsoft Office XP и 2003 (быстрое восстановление возможно только с настройками шифрования по умолчанию).

Вместо восстановления исходного пароля при помощи таблиц Thunder Tables атакуется 40-битный ключ шифрования, что позволяет гарантированно расшифровывать документы Microsoft Word 97/2000 и порядка 97% таблиц Excel.

Заключение

Стандарт шифрования, используемый в Microsoft Office 2007 и более поздних версиях, сделал мгновенное восстановление паролей и мгновенную расшифровку данных невозможным (если документ не был сохранен в старом формате в режиме совместимости). Для всех версий Microsoft Office, сохраняющих файлы с расширениями DOCX и XLSX, необходимо восстанавливать пароль вместо ключа шифрования.

Современные версии Microsoft Office хорошо защищены от лобовой атаки, что делает невозможными атаки методом полного перебора. Рекомендуем использовать интеллектуальные словарные атаки, ускорение с помощью графического процессора и распределённых вычислений.

Elcomsoft Distributed Password Recovery поддерживает аппаратное ускорение на большинстве современных видеокарт, позволяя использовать компьютеры, оборудованные до 8 графическими процессорами каждый. Доступен режим распределённых атак с использованием нескольких компьютеров или виртуальных машин.


  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

REFERENCES:

Advanced Office Password Breaker

Advanced Office Password Breaker поможет Вам гарантированно расшифровать любой документ Word 97/2000 и Excel 97/2000, защищенный паролем. Программа осуществляет прямой перебор 40-битных ключей шифрования документа. Уникальная оптимизация программного кода под процессоры Intel и AMD позволяет за несколько дней найти ключ шифрования и расшифровать документ.

Официальная страница Advanced Office Password Breaker »


Advanced Office Password Recovery

AOPR позволяет удалять, заменять или востановаливать пароли, защищающие документы, созданные в любой программе из пакета Microsoft Office версии с 2.0 по 2019 включительно, а также WordPerfect Office, Lotus SmartSuite, OpenOffice и многим другим. Интерфейс программы позволяет указать большое количество масок и атак, а код, оптимизированный под новые процессоры, обеспечивает высокую производительность и скорейшее восстановление самых сложных паролей. AOPR использует ускорение перебора паролей при помощи видеокарт.

Официальная страница Advanced Office Password Recovery »


Elcomsoft Distributed Password Recovery

Производительное решение для восстановление паролей к десяткам форматов файлов, документов, ключей и сертификатов. Аппаратное ускорение с использованием потребительских видеокарт и лёгкое масштабирование до 10,000 рабочих станций делают решение Элкомсофт оптимальным для исследовательских лабораторий и государственных агентств.

Официальная страница Elcomsoft Distributed Password Recovery »

НАШИ НОВОСТИ