Если в ваши руки попал зашифрованный документ в формате Microsoft Word с расширением .doc или таблица Microsoft Excel с расширением .xls, доступ к его содержимому с большой вероятностью можно получить за несколько минут — совершенно независимо от того, какой длины и сложности установленный на файл пароль. О том, чем отличается шифрование файлов DOC и DOCX (а также XLS и XLSX) и о том, как именно можно снять защиту — читайте в этой статье.

Краткое содержание

Вместо восстановления исходного пароля атакуется 40-битный ключ шифрования, что позволяет гарантированно расшифровывать документы Microsoft Word 97/2000 и порядка 97% таблиц Excel. Использование таблиц Thunder Tables позволяет сократить время атаки с нескольких часов до нескольких минут, а иногда и секунд. Подробнее о таблицах Thunder Tables и используемой технологии можно прочесть в нашей статье Гарантированная расшифровка DOC/XLS в Advanced Office Password Recovery.

О каких форматах идёт речь

Информация в этом разделе относится к документам Microsoft Office, сохранённым в режиме совместимости. К таким документам относятся файлы с расширениями .doc (Microsoft Word) и .xls (Microsoft Excel). Для файлов, в которых используется 40-битное шифрование, технология Thunder Tables позволяет произвести гарантированное восстановление доступа за считанные секунды. Для восстановления доступа к зашифрованным данным используйте Advanced Office Password Recovery.

Обратите внимание: если файл имеет расширение .docx или .xlsx (с окончанием на букву «x»), то он был сохранён в современном формате и использует другой тип защиты, для снятия которого необходимо восстановить оригинальный пароль посредством атаки в Elcomsoft Distributed Password Recovery.

Форматы .doc и .xls используют слабое шифрование

Файлы, сохранённые в режиме совместимости с Microsoft Word и Microsoft Excel версий 97 и 2000, имеют расширения .doc (для документов Word) и .xls (для таблиц Excel) соответственно. Несмотря на десятилетия, прошедшие со момента перехода Microsoft на современные форматы, использующие расширения .docx/.xlsx, многие организации до сих пор ведут документооборот именно в этом формате.

В рассматриваемых форматах файлов Microsoft до сих пор использует слабое шифрование с ключом длиной в 40 бит, причём даже четверть века назад такой шифр не считался безопасным. Причина этого имеет исторические корни.

На момент выхода Office 97 существовали достаточно надёжные алгоритмы шифрования и хеширования. Известно, что в Microsoft могли пользоваться этими инструментами: в офисном пакете, предназначенном для американского рынка, существовала возможность настроить стойкое шифрование. Для остальных стран поставлялась версия Office 97 с ослабленной защитой. Причиной на тот момент стали экспортные ограничения США, которыми объясняется такой выбор защиты. На момент выхода Microsoft Office 2000 экспортные ограничения на стойкую криптографию были практически полностью отменены, но в Microsoft не стали менять отлаженную схему: в Office 2000 по-прежнему используется 40-битное шифрование.

С технической точки зрения в Office 97 использовался поточный шифр RC4 и функция хеширования MD5. Данные были защищены 40-битным ключом и единственной итерацией хеш-функции. Для сравнения, сегодня в шифрованиии используются ключи длиной 256 бит и сотни тысяч, а иногда – миллионы итераций хеширования. На момент выхода Microsoft Office 2000 такая защита считалась слабой; сегодня же защищённые таким образом документы можно расшифровать, даже не прибегая к аппаратному ускорению.

40-битное шифрование используется в следующих приложениях и форматах файлов:

• Microsoft Office 97и 2000 – только 40-битное шифрование.
• Microsoft Office XP и 2003 – по умолчанию используется 40-битное шифрование, но появилась поддержка дополнительных криптопровайдеров CSP.
• Более новые версии Microsoft Office – при сохранении файлов в «совместимом» формате «Office 97 — 2003» (файлы с расширениями .doc, .xls) используется 40-битное шифрование.

Для расшифровки файлов, сохранённых в таких форматах, оригинальный пароль не требуется. В сравнении с современными 256-битными ключами, пространство 40-битных ключей кажется очень ограниченным, и это действительно так: перебрать все возможные 40-битные ключи на современном компьютере можно быстрее, чем пытаться подобрать пароль пользователя, который может быть длинным и сложным. Существует и более быстрый способ, позволяющий расшифровать документ с 40-битным шифрованием за несколько секунд.

Обратите внимание: хеши в офисных документах хранятся с солью, так что для разных документов с одним и тем же паролем необходимо проводить раздельные атаки на ключи шифрования.

В комплект поставки Advanced Office Password Recovery в редакции Forensic (входит в состав набора) включены таблицы Thunder Tables, с помощью которых можно расшифровать любые документы в формате Word 97 и порядка 97% таблиц в формате Excel 97 за считанные секунды. Подробнее о технологии можно прочитать в нашей статье Thunder Tables™ Explained. Таблицы доступны пользователям редакции Forensic; пользователи «домашней» редакции Home смогут запустить перебор всего пространства 40-битных ключей.

Необходимо отметить ещё один момент, связанный с таблицами Thunder Tables. Ранее таблицы нужно было устанавливать вручную. В актуальных версиях Advanced Office Password Recovery таблицы можно установить непосредственно из программы; нужные данные будут скачаны автоматически. Более того, актуальная версия Advanced Office Password Recovery автоматически определит формат файла и тип шифрования и предложит использовать таблицы для моментальной расшифровки.

По умолчанию таблицы загружаются в каталог %APPDATA%\Elcomsoft Password Recovery\Thunder Tables, который, как правило, находится на системном диске. Если вы не хотите хранить довольно объёмные (несколько гигабайт) таблицы на загрузочном диске, вы можете указать альтернативный путь, отредактировав реестре следующий ключ:

Computer\HKEY_CURRENT_USER\SOFTWARE\Elcomsoft\Advanced Office Password Recovery\TTPath

Обратите внимание: таблицы желательно сохранять на твердотельном накопителе. Оптимально — на SSD, но возможен вариант хранения на флеш-накопителе. Несмотря на невысокую среднюю скорость флеш-накопителей, они работают быстрее традиционных дисков в области случайного доступа к данным, который требуется для работы с таблицами Thunder tables.

Независимо от того, каким из двух способов восстановления доступа к документу вы воспользуетесь, для его расшифровки не понадобится пароль. Вместо пароля восстанавливается двоичный 40-битный ключ, восстановленный прямым перебором (несколько часов) или при помощи таблиц Thunder Tables (несколько секунд). Если же оригинальный пароль необходимо восстановить, то это можно сделать методом полного перебора. Использование современных графических ускорителей и умышленно слабое хеширование, использованное Microsoft для преобразования текстового пароля в ключ шифрования, позволяет добиться скоростей перебора в десятки миллионов паролей в секунду, восстанавливая достаточно длинные и сложные пароли.

Подведём итог. В новой версии Advanced Office Password Recovery стали доступны функции перебора 40-битных ключей шифрования к документам, сохранённым в «совместимом» с Office 97/2000 формате. Новый функционал позволяет расшифровать совместимые документы за считанные часы, а с использованием таблиц Thunder Tables, доступных пользователям редакции Forensic, — за секунды.

Расшифровка документов DOC/XLS: последовательность шагов

Чтобы снять защиту с документа, защищённого 40-битным шифрованием, проделайте следующие шаги.

1. Запустите Advanced Office Password Recovery.
2. Откройте документ .doc или таблицу .xls. Программа автоматически определит тип шифрования. Если документ или таблица защищены 40-битным шифрованием, вы увидите следующее сообщение:
   
3. Если таблицы Thunder tables на вашем компьютере уже установлены, поиск ключа начнётся автоматически. В противном случае программа предложит скачать таблицы.
4. Обратите внимание: размер таблиц – порядка несколько гигабайт; в зависимости от скорости вашего соединения с интернет их скачивание может занять некоторое время. Кроме того, необходимо убедиться, что на диске С: достаточно свободного места для скачивания таблиц; если это не так, закройте программу и отредактируйте в реестре Windows Registry ключ, указав желаемый путь к папке, после чего снова запустите программу.

   Computer\HKEY_CURRENT_USER\SOFTWARE\Elcomsoft\Advanced Office Password Recovery\TTPath

5. После того, как таблицы Thunder tables будут скачаны, поиск ключа начнётся автоматически.
6. С таблицами Thunder tables вероятность нахождения ключа к документам Word .doc составляет 100%, а к таблицам Excel .xls – 97%. В случае, если ключ к таблице .xls не находится при помощи Thunder tables, повторите атаку, использовав метод полного перебора.
7. Атаку методом полного перебора можно запустить как самостоятельно, так и автоматически, если вы откажетесь от скачивания таблиц Thunder tables. Поиск ключа может занять от нескольких минут до нескольких часов в зависимости от скорости центрального процессора вашего компьютера.
   
8. После того, как ключ будет найден, документ будет расшифрован автоматически. Оригинальный текстовый пароль не восстанавливается и не требуется для расшифровки. Если необходимо восстановить оригинальный пароль, проведите атаку в Elcomsoft Distributed Password Recovery.

Подводя итоги

Стандарт шифрования, используемый в Microsoft Office 2007 и более поздних версиях, сделал мгновенное восстановление паролей и мгновенную расшифровку данных невозможным (если документ не был сохранен в старом формате в режиме совместимости). Для всех версий Microsoft Office, сохраняющих файлы с расширениями DOCX и XLSX, необходимо восстанавливать пароль вместо ключа шифрования. В то же время для классических форматов DOC и XLS, в которых современные версии Microsoft Office могут сохранять файлы для совместимости с предыдущими версиями, по-прежнему используется устаревшее шифрования с ключами длиной 40 бит. На современных компьютеров такие ключи можно подобрать лобовой атакой за несколько часов, а с использованием нашей разработки Thunder Tables — и за несколько минут или даже секунд.

Современные версии Microsoft Office и новые форматы DOCX/XLSX хорошо защищены от лобовой атаки, что делает невозможными атаки методом полного перебора. Рекомендуем использовать интеллектуальные словарные атаки, ускорение с помощью графического процессора и распределённых вычислений. Elcomsoft Distributed Password Recovery поддерживает аппаратное ускорение на большинстве современных видеокарт, позволяя использовать компьютеры, оборудованные до 8 графическими процессорами каждый. Доступен режим распределённых атак с использованием нескольких компьютеров или виртуальных машин.