نشرت D-Russia مؤخرًا رأي المؤلف لفلاديمير كاتالوف ، الرئيس التنفيذي لشركة Elcomsoft ، بشأن مستوى التعرض لهجمات القوة الغاشمة على ملفات برامج المكتب المحمية بكلمة مرور. تتخصص الشركة في التحليل الجنائي لأجهزة الكمبيوتر والأجهزة المحمولة والبيانات السحابية ، وفي نشرها ، من بين أمور أخرى ، قدمت تقييمًا لأمن منتجات MyOffice عند العمل مع البيانات. نحن ، بصفتنا مطور برامج روسية للعمل التعاوني مع المستندات والاتصالات ، نلتزم بوجهة نظر مختلفة ونريد لفت الانتباه إلى عدم الدقة في المنشور.
يجب أن يقال على الفور أنه من غير الصحيح ربط قضايا التصديق وتأكيد موثوقية المنتجات بتنفيذ وظيفة واحدة محددة لحماية كلمة المرور للمستندات ، علاوة على ذلك ، لتحديد هذه الوظيفة مع المستوى العام للأمان لمنتجات MyOffice.
نرحب بخبرة Elcomsoft وتطويرها في اتجاه حماية كلمة المرور ، بينما نود أن نلاحظ أن استخدام آليات تشفير المستندات بناءً على معلومات كلمة المرور لا يؤدي إلى مستوى كافٍ من سرية المعلومات مع وصول محدود (في المحررين العاديين). يتضمن خط الحلول الآمنة من أي مصنع استخدام حماية معقدة (متعددة الطبقات) على مستوى التطبيق ونظام التشغيل ومحطة العمل والشبكة والبنية التحتية للمعلومات ككل.
يقدم MyOffice أدوات أمان المعلومات على مستوى التطبيق. تطبق حلول MyOffice تقنيات حماية قنوات الاتصال (TLS) ووظائف التشفير والتوقيع الإلكتروني لرسائل البريد ، فضلاً عن القدرة على دعم مكتبات التشفير الروسية ( المزيد حول وظائف الأمان ). تخضع منتجات MyOffice بانتظام لاختبارات الاعتماد للامتثال لمتطلبات اللوائح الحالية للجهة التنظيمية ، والامتثال الكامل لها. على وجه الخصوص ، المنتج "MyOffice Standard" ، الذي تمت دراسة النسخة التجريبية منه من قبل متخصصي Elcomsoft في منشوراتهم ، تم اعتماده بنجاح من قبل FSTEC في روسيا وحصل على شهادة تحدد عدم وجود قدرات غير معلنة والامتثال لمتطلبات مستوى الثقة ( المزيد عن الشهادة ).
إذا لزم الأمر وبناءً على طلب العميل ، يمكن استكمال حلول MyOffice بأدوات أمان معلومات إضافية. وتشمل هذه البرامج المتراكبة وحماية البرامج والأجهزة ، على سبيل المثال ، الوسائط الرئيسية المحمية. تتوافق منتجات MyOffice مع حلول CryptoPro ، والتي تُستخدم على نطاق واسع في الاتحاد الروسي ، بما في ذلك الهيئات الحكومية والهياكل التجارية الكبيرة. يسمح مجمع إجراءات أمن المعلومات المطبقة لمستخدمينا باستخدام منتجات MyOffice في مرافق البنية التحتية للمعلومات الحيوية.
بالنظر إلى ما سبق ، لا يمكن اعتبار وظيفة حماية كلمة المرور المعيار الوحيد ، علاوة على ذلك ، المعيار الرئيسي لضمان أمن المعلومات. نظرًا لعدد من ميزاتها التكنولوجية ، فهي أيضًا لا تخضع للشهادة. بشكل عام ، وفقًا للوائح الحالية لنظام اعتماد روسيا FSTEC ، يتم تقييم البرنامج للامتثال لمجموعة محددة من المتطلبات ، ولا تتم المطالبة بوظيفة حماية كلمة مرور الملفات القياسية كوظيفة حماية.
ومع ذلك ، نحن ممتنون للزملاء لاهتمامهم بخصائص تنفيذ هذه الوظيفة في محرري MyOffice. تم تضمينه في المنتجات ، من بين أشياء أخرى ، بهدف ضمان التوافق مع الملفات الحالية لمستخدمينا. تتمثل إحدى المزايا الرئيسية لمنتجاتنا في دعم عدد كبير من التنسيقات المختلفة - يمكن لمحرري المستندات وجداول البيانات العمل مع جميع تنسيقات الملفات المعروفة ، بما في ذلك التنسيقات القديمة ، التي تراكمت بواسطة مستخدمينا على مر السنين ولا تزال مستخدمة في عملياتهم التكنولوجية.
يتم تحديد اختيار المعلمات لوظيفة حماية كلمة المرور من خلال متطلبات معايير OOXML و ODF في سياق معايير التوافق مع الإصدارات السابقة. بالنظر إلى الاعتماد الأسي لسرعة التخمين الرئيسية على طول المفتاح وعدد الأحرف في كلمة المرور ونوع مجموعة الأحرف المستخدمة ، سنكون مهتمين بمعرفة ظروف الاختبار التي تمكنا من خلالها ملاحظة هذا التحيز الكبير في النتائج المنشورة. سنعزز وظيفة حماية كلمة المرور بشكل أكبر ، لكننا نؤكد مرة أخرى أنه لا يمكن أن تؤثر بشكل شامل على مشكلات الأمان لمنتجاتنا.
إذا تحدثنا عن تشفير المستندات كطريقة لتقييد الوصول إلى المعلومات ، فمن المستحسن عدم استخدام وظائف حماية كلمة المرور ، ولكن استخدام عناصر PKI (البنية التحتية للمفتاح العام). يتضمن ذلك حماية البيانات باستخدام الشهادات المؤهلة لمفاتيح التحقق من التوقيع الإلكتروني ، حيث يكون مستوى قوة التشفير ، بما في ذلك مقاومة آليات تخمين كلمة المرور ، بشكل أساسي على مستوى مختلف. تسمح هذه الطريقة بالتشفير باستخدام تقنية التشفير غير المتماثل ، والتي لا تنطبق على هجمات القوة الغاشمة ، والتي تتخصص فيها Elcomsoft.
تعتمد قوة التوقيع الإلكتروني وفقًا لـ GOST R 34.10-2012 على مدى تعقيد حساب اللوغاريتم المنفصل في مجموعة من نقاط المنحنى الإهليلجي ، وكذلك على قوة دالة التجزئة المستخدمة وفقًا لـ GOST R 34.11-2012. تم تطوير معايير حماية المعلومات المشفرة من قبل مركز أمن المعلومات والاتصالات الخاصة لـ FSB في روسيا مع TC 26.
تحتوي المقالة أيضًا على بيانات غير دقيقة حول مكونات البرامج مفتوحة المصدر المستخدمة في حلول MyOffice: ليس صحيحًا أن وظيفة حماية كلمة المرور يتم تنفيذها على أساس تقنيات OpenOffice. تمت كتابة الواجهة الأساسية ، وهي جزء مهم من التعليمات البرمجية لمنصة MyOffice ، بما في ذلك محرري المكاتب ، من البداية ، بالكامل بواسطة متخصصي الشركة (أكثر من 1.5 مليون سطر من الكود الخاص في المجموع). تعد ميزة حماية كلمة المرور المذكورة في هذه المقالة ملكية خاصة ولا علاقة لها بحلول OpenOffice.
نرحب بقرار Elcomsoft إضافة استرداد كلمة المرور إلى المستندات وجداول البيانات المشفرة في تنسيقات مستندات MyOffice في الإصدارات الجديدة من Advanced Office Password Recovery واستعادة كلمة المرور الموزعة. وبالتالي ، تم استكمال نظام MyOffice البيئي بشريك تقني آخر ، رائد في تطوير مرافق الخدمة في مجال أمن المعلومات. نعرب عن أملنا في مزيد من التعاون في مسائل التدقيق المستقل لحلول برامج MyOffice ، والتي ستجعل منتجاتنا أفضل.