最近、 D-Russiaは、パスワードで保護されたオフィスソフトウェアファイルに対するブルートフォース攻撃に対する感受性のレベルについて、ElcomsoftのCEOであるVladimirKatalovの著者の意見を発表しました。同社は、コンピューター、モバイルデバイス、クラウドデータの法医学分析を専門としており、その出版物では、とりわけ、データを操作する際のMyOffice製品のセキュリティの評価を提供しています。私たちは、文書や通信との共同作業のためのロシアのソフトウェアの開発者として、異なる視点に固執し、出版物の不正確さに注意を向けたいと思います。
製品の信頼性の認証と確認の問題を、ドキュメントのパスワード保護の1つの特定の機能の実装と同一視し、さらに、この機能をMyOffice製品の一般的なセキュリティレベルと識別することは誤りであるとすぐに言う必要があります。
パスワード保護の方向でのElcomsoftの専門知識と開発を歓迎しますが、パスワード情報に基づくドキュメント暗号化メカニズムの使用は、アクセスが制限された情報の適切なレベルの機密性につながらないことに注意してください(通常のエディター)。あらゆるメーカーの安全なソリューションのラインは、アプリケーション、オペレーティングシステム、ワークステーション、ネットワーク、および情報インフラストラクチャ全体のレベルで複雑な(階層化された)保護を使用することを意味します 。
MyOfficeは、アプリケーションレベルの情報セキュリティツールを提供します。 MyOfficeソリューションは、通信チャネル保護テクノロジ(TLS)、メールメッセージの暗号化および電子署名機能、およびロシアの暗号化ライブラリをサポートする機能( セキュリティ機能の詳細)を実装します。 MyOffice製品は、規制当局の現在の規制の要件に準拠するための認定テストに定期的に合格し、それらに完全に準拠しています。特に、Elcomsoftの専門家が出版物で試用版を検討した製品「MyOfficeStandard」は、ロシアのFSTECによる認定に成功し、宣言されていない機能がないこと、および信頼レベルの要件に準拠していることを確認する証明書を受け取りました。 認定についての詳細)。
必要に応じて、お客様の要求に応じて、MyOfficeソリューションに追加の情報セキュリティツールを追加できます。これらには、オーバーレイされたソフトウェアとソフトウェアおよびハードウェア保護の両方が含まれます(保護されたキーメディアなど)。 MyOffice製品は、政府機関や大規模な商業施設など、ロシア連邦で広く普及しているCryptoProソリューションと互換性があります。実装された情報セキュリティ対策の複雑さにより、ユーザーは重要な情報インフラストラクチャ施設でMyOffice製品を使用できます。
上記を考慮すると、パスワード保護機能は、情報のセキュリティを確保するための唯一の、さらには重要な基準とは見なされません。その技術的特徴の数のために、それはまた認証の対象ではありません。一般に、ロシアのFSTEC認定システムの現在の規制によれば 、ソフトウェアは特定の一連の要件に準拠しているかどうかが評価され、標準のファイルパスワード保護機能は保護機能として主張されていません。
それでも、MyOfficeのエディターでのこの機能の実装の特殊性に注意を払ってくれた同僚に感謝します。これは、ユーザーの既存のファイルとの互換性を確保するために、特に製品に含まれていました。当社の製品の主な利点の1つは、多数の異なる形式のサポートです。ドキュメントおよびスプレッドシートのエディターは、ユーザーによって長年にわたって蓄積され、現在も技術プロセスで使用されている古いファイル形式を含む、すべての既知のファイル形式を処理できます。
パスワード保護機能のパラメーターの選択は、下位互換性基準のコンテキストでのOOXMLおよびODF標準の要件によって決定されます。キーの推測速度がキーの長さ、パスワードの文字数、使用される文字セットのタイプに指数関数的に依存することを考慮すると、公開された結果でこのような大きなバイアスを観察できたテスト条件を知りたいと思います。パスワード保護機能をさらに強化しますが、製品のセキュリティ問題に包括的に影響を与えることはできないことを改めて強調します。
情報へのアクセスを制限する方法としてドキュメントの暗号化について説明する場合は、パスワード保護機能ではなく、PKI(公開キーインフラストラクチャ)要素を使用することをお勧めします。これには、電子署名検証キーの修飾された証明書を使用してデータを保護することが含まれます。この場合、パスワード推測メカニズムへの耐性を含む暗号強度のレベルは、基本的に異なるレベルにあります。この方法では、Elcomsoftが専門とするブルートフォース攻撃には適用できない非対称暗号化テクノロジーを使用した暗号化が可能です。
GOST R 34.10-2012に準拠した電子署名の強度は、楕円曲線の点のグループで離散対数を計算する複雑さと、GOST R34.11-2012に準拠して使用されるハッシュ関数の強度に基づいています。暗号化情報保護の標準は、ロシアのFSBの情報セキュリティおよび特別通信センターとTC26によって開発されました。
この記事には、MyOfficeソリューションで使用されるオープンソースソフトウェアコンポーネントに関する不正確なデータも含まれています。パスワード保護機能がOpenOfficeテクノロジに基づいて実装されているとは限りません。 MyOfficeプラットフォームのコードの重要な部分であるコア、インターフェイス(オフィスエディターを含む)は、完全に会社のスペシャリストによってゼロから作成されました(合計150万行以上の独自のコード)。この記事に記載されているパスワード保護機能は独自のものであり、OpenOfficeソリューションとは関係ありません。
新しいバージョンのAdvancedOffice PasswordRecoveryおよびDistributedPassword Recoveryで、MyOfficeドキュメント形式の暗号化されたドキュメントおよびスプレッドシートにパスワードリカバリを追加するというElcomsoftの決定を歓迎します。このように、MyOfficeエコシステムには、情報セキュリティの分野におけるサービスユーティリティの開発のリーダーである別のテクノロジーパートナーが補充されています。MyOfficeソフトウェアソリューションの独立監査へのさらなる協力を期待しており、これにより当社の製品がさらに改善されます。