Recientemente, D-Rusia publicó la opinión del autor de Vladimir Katalov, director ejecutivo de Elcomsoft, sobre el nivel de susceptibilidad a los ataques de fuerza bruta en archivos de software de oficina protegidos con contraseña. La empresa se especializa en análisis forense de computadoras, dispositivos móviles y datos en la nube, y en su publicación, entre otras cosas, brindó una evaluación de la seguridad de los productos MyOffice al trabajar con datos. Nosotros, como desarrolladores de software ruso para el trabajo colaborativo con documentos y comunicaciones, nos adherimos a un punto de vista diferente y nos gustaría llamar la atención sobre inexactitudes en la publicación.
Debe decirse de inmediato que es incorrecto equiparar los problemas de certificación y confirmación de la confiabilidad de los productos con la implementación de una función específica de protección con contraseña para documentos y, además, identificar esta función con el nivel general de seguridad de los productos MyOffice.
Agradecemos la experiencia y el desarrollo de Elcomsoft en la dirección de la protección con contraseña, mientras que nos gustaría señalar que el uso de mecanismos de cifrado de documentos basados en información de contraseña no conduce a un nivel adecuado de confidencialidad de la información con acceso limitado (en editores ordinarios). La línea de soluciones seguras de cualquier fabricante implica el uso de protección compleja (en capas) a nivel de la aplicación, sistema operativo, estación de trabajo, red e infraestructura de información en su conjunto.
MyOffice ofrece herramientas de seguridad de la información a nivel de aplicación. Las soluciones MyOffice implementan tecnologías de protección de canales de comunicación (TLS), funciones de cifrado y firma electrónica para mensajes de correo, así como la capacidad de admitir bibliotecas criptográficas rusas ( más sobre funciones de seguridad ). Los productos MyOffice se someten periódicamente a pruebas de certificación para comprobar el cumplimiento de los requisitos de la normativa vigente del regulador y cumplirlos plenamente. En particular, el producto "MyOffice Standard", cuya versión de prueba fue estudiada por los especialistas de Elcomsoft en su publicación, fue certificado con éxito por la FSTEC de Rusia y recibió un certificado que determina la ausencia de capacidades no declaradas y el cumplimiento de los requisitos para el nivel de confianza ( más sobre certificación ).
Si es necesario y a petición del cliente, las soluciones de MyOffice se pueden complementar con herramientas adicionales de seguridad de la información. Estos incluyen tanto herramientas de software superpuestas como medios de protección de software y hardware, por ejemplo, medios clave protegidos. Los productos MyOffice son compatibles con las soluciones CryptoPro, que están muy extendidas en la Federación de Rusia, incluso en organismos gubernamentales y grandes estructuras comerciales. El complejo de medidas de seguridad de la información implementadas permite a nuestros usuarios utilizar los productos MyOffice en instalaciones de infraestructura de información crítica.
Teniendo en cuenta lo anterior, la función de protección por contraseña no puede considerarse el único y, además, el criterio clave para garantizar la seguridad de la información. Debido a varias de sus características tecnológicas, tampoco está sujeto a certificación. En general, de acuerdo con las regulaciones actuales del sistema de certificación FSTEC de Rusia , el software se evalúa para cumplir con un conjunto específico de requisitos, y la función de protección de contraseña de archivo estándar no se reclama como una función de protección.
No obstante, agradecemos a nuestros colegas su atención a las peculiaridades de la implementación de esta función en los editores de MyOffice. Se incluyó en los productos, entre otras cosas, para asegurar la compatibilidad con los archivos existentes de nuestros usuarios. Una de las ventajas clave de nuestros productos es el soporte de una gran cantidad de formatos diferentes: los editores de documentos y hojas de cálculo pueden trabajar con todos los formatos de archivo conocidos, incluidos los obsoletos que han sido acumulados por nuestros usuarios a lo largo de los años y que todavía se utilizan en sus procesos tecnológicos.
La elección de los parámetros para la función de protección por contraseña está determinada por los requisitos de los estándares OOXML y ODF en términos de criterios de compatibilidad con versiones anteriores. Teniendo en cuenta la dependencia exponencial de la velocidad de adivinación de la clave de la longitud de la clave, el número de caracteres en la contraseña y el tipo de juego de caracteres utilizado, nos interesaría saber en qué condiciones de prueba pudimos observar un sesgo tan significativo en los resultados publicados. Fortaleceremos aún más la función de protección con contraseña, pero enfatizamos una vez más que no puede afectar de manera integral los problemas de seguridad de nuestros productos.
Si hablamos de cifrado de documentos como un método para restringir el acceso a la información, entonces es recomendable no utilizar las funciones de protección por contraseña, sino utilizar los elementos PKI (infraestructura de clave pública). Esto incluye la protección de datos mediante certificados calificados para claves de verificación de firma electrónica, donde el nivel de fortaleza criptográfica, incluida la resistencia a los mecanismos de adivinación de contraseñas, se encuentra fundamentalmente en un nivel diferente. Este método permite el cifrado mediante tecnología de criptografía asimétrica, que no es aplicable a los ataques de fuerza bruta, en los que se especializa Elcomsoft.
La seguridad de una firma electrónica de acuerdo con GOST R 34.10-2012 se basa en la complejidad de calcular el logaritmo discreto en un grupo de puntos de una curva elíptica, así como la seguridad de la función hash utilizada de acuerdo con GOST R 34.11-2012. Los estándares para la protección de la información criptográfica han sido desarrollados por el Centro de Seguridad de la Información y Comunicaciones Especiales del FSB de Rusia junto con TC 26.
El artículo también contiene datos inexactos sobre los componentes de software de código abierto utilizados en las soluciones MyOffice: no es cierto que la función de protección por contraseña se implemente sobre la base de tecnologías OpenOffice. El núcleo, la interfaz, una parte importante del código de la plataforma MyOffice, incluidos los editores de oficina, fueron escritos desde cero, íntegramente por especialistas de la empresa (más de 1,5 millones de líneas de código propio en total). La función de protección con contraseña mencionada en este artículo es propietaria y no tiene nada que ver con las soluciones de OpenOffice.
Agradecemos la decisión de Elcomsoft de agregar la recuperación de contraseña a documentos y hojas de cálculo cifrados en formatos de documento de MyOffice en las nuevas versiones de Advanced Office Password Recovery y Distributed Password Recovery. Por lo tanto, el ecosistema MyOffice se ha expandido con otro socio tecnológico, líder en el desarrollo de utilidades de servicios en el campo de la seguridad de la información. Esperamos una mayor cooperación en la auditoría independiente de las soluciones de software MyOffice, lo que hará que nuestros productos sean aún mejores.