Baru-baru ini, D-Russia mempublikasikan pendapat penulis tentang Vladimir Katalov, CEO Elcomsoft, tentang tingkat kerentanan terhadap serangan brute force pada file perangkat lunak perkantoran yang dilindungi sandi. Perusahaan mengkhususkan diri dalam analisis forensik komputer, perangkat seluler, dan data cloud, dan dalam publikasinya, antara lain, memberikan penilaian keamanan produk MyOffice saat bekerja dengan data. Kami, sebagai pengembang perangkat lunak Rusia untuk pekerjaan kolaboratif dengan dokumen dan komunikasi, mengikuti sudut pandang yang berbeda dan ingin menarik perhatian pada ketidakakuratan dalam publikasi.
Harus segera dikatakan bahwa tidak tepat untuk menyamakan masalah sertifikasi dan konfirmasi keandalan produk dengan penerapan satu fungsi khusus perlindungan kata sandi untuk dokumen dan, terlebih lagi, untuk mengidentifikasi fungsi ini dengan tingkat keamanan umum produk MyOffice.
Kami menyambut baik keahlian dan pengembangan Elcomsoft dalam hal perlindungan kata sandi, sementara kami ingin mencatat bahwa penggunaan mekanisme enkripsi dokumen berdasarkan informasi kata sandi tidak mengarah pada tingkat kerahasiaan informasi yang memadai dengan akses terbatas (dalam editor biasa). Garis solusi aman dari produsen mana pun menyiratkan penggunaan perlindungan kompleks (berlapis) di tingkat aplikasi, sistem operasi, stasiun kerja, jaringan dan infrastruktur informasi secara keseluruhan.
MyOffice menawarkan alat keamanan informasi tingkat aplikasi. Solusi MyOffice menerapkan teknologi perlindungan saluran komunikasi (TLS), enkripsi dan fungsi tanda tangan elektronik untuk pesan email, serta kemampuan untuk mendukung perpustakaan kriptografi Rusia ( lebih lanjut tentang fungsi keamanan ). Produk MyOffice secara teratur menjalani tes sertifikasi untuk memenuhi persyaratan peraturan regulator saat ini, dan sepenuhnya mematuhinya. Secara khusus, produk "MyOffice Standard", versi uji coba yang dipelajari oleh spesialis Elcomsoft dalam publikasi mereka, telah berhasil disertifikasi oleh FSTEC Rusia dan menerima sertifikat yang menentukan tidak adanya kemampuan yang tidak disebutkan dan kepatuhan dengan persyaratan untuk tingkat kepercayaan ( lebih lanjut tentang sertifikasi ).
Jika perlu dan atas permintaan pelanggan, solusi MyOffice dapat dilengkapi dengan alat keamanan informasi tambahan. Ini termasuk perlindungan perangkat lunak dan perangkat lunak dan perangkat keras yang dilapisi, misalnya, media kunci yang dilindungi. Produk MyOffice kompatibel dengan solusi CryptoPro, yang tersebar luas di Federasi Rusia, termasuk di badan pemerintah dan struktur komersial besar. Kompleks langkah-langkah keamanan informasi yang diterapkan memungkinkan pengguna kami menggunakan produk MyOffice di fasilitas infrastruktur informasi penting.
Mempertimbangkan hal di atas, fungsi perlindungan kata sandi tidak dapat dianggap sebagai satu-satunya dan, terlebih lagi, kriteria utama untuk memastikan keamanan informasi. Karena sejumlah fitur teknologinya, ia juga tidak tunduk pada sertifikasi. Secara umum, menurut peraturan saat ini dari sistem sertifikasi FSTEC Rusia , perangkat lunak dinilai kesesuaiannya dengan serangkaian persyaratan tertentu, dan fungsi perlindungan kata sandi file standar tidak diklaim sebagai fungsi perlindungan.
Namun demikian, kami berterima kasih kepada rekan-rekan kami atas perhatian mereka terhadap kekhasan penerapan fungsi ini di editor MyOffice. Itu disertakan dalam produk, antara lain, untuk memastikan kompatibilitas dengan file pengguna kami yang ada. Salah satu keunggulan utama produk kami adalah dukungan dari sejumlah besar format yang berbeda - editor dokumen dan spreadsheet dapat bekerja dengan semua format file yang dikenal, termasuk yang usang yang telah diakumulasikan oleh pengguna kami selama bertahun-tahun dan masih digunakan dalam proses teknologi mereka.
Pilihan parameter fungsi proteksi kata sandi ditentukan oleh persyaratan standar OOXML dan ODF dalam konteks kriteria kompatibilitas ke belakang. Mempertimbangkan ketergantungan eksponensial dari kecepatan tebakan kunci pada panjang kunci, jumlah karakter dalam kata sandi dan jenis rangkaian karakter yang digunakan, kami akan tertarik untuk mengetahui dalam kondisi pengujian apa kami dapat mengamati bias yang begitu signifikan dalam hasil yang dipublikasikan. Kami akan lebih memperkuat fungsi perlindungan kata sandi, tetapi kami menekankan sekali lagi bahwa itu tidak dapat secara komprehensif mempengaruhi masalah keamanan produk kami.
Jika kita berbicara tentang enkripsi dokumen sebagai metode untuk membatasi akses ke informasi, maka disarankan untuk tidak menggunakan fungsi perlindungan kata sandi, tetapi gunakan elemen PKI (infrastruktur kunci publik). Ini termasuk melindungi data menggunakan sertifikat yang memenuhi syarat untuk kunci verifikasi tanda tangan elektronik, di mana tingkat kekuatan kriptografi, termasuk ketahanan terhadap mekanisme tebakan kata sandi, pada dasarnya berada di tingkat yang berbeda. Metode ini memungkinkan enkripsi menggunakan teknologi kriptografi asimetris, yang tidak berlaku untuk serangan brute force, yang menjadi spesialisasi Elcomsoft.
Keamanan tanda tangan elektronik sesuai dengan GOST R 34.10-2012 didasarkan pada kompleksitas penghitungan logaritma diskrit dalam sekelompok titik kurva elips, serta keamanan fungsi hash yang digunakan sesuai dengan GOST R 34.11-2012. Standar keamanan informasi kriptografi telah dikembangkan oleh Pusat Keamanan Informasi dan Komunikasi Khusus FSB Rusia bersama dengan TC 26.
Artikel ini juga berisi data yang tidak akurat pada komponen perangkat lunak sumber terbuka yang digunakan dalam solusi MyOffice: tidak benar bahwa fungsi perlindungan kata sandi diimplementasikan berdasarkan teknologi OpenOffice. Inti, antarmuka, bagian penting dari kode platform MyOffice, termasuk editor kantor, ditulis dari awal, seluruhnya oleh spesialis perusahaan (total lebih dari 1,5 juta baris kode sendiri). Fitur perlindungan kata sandi yang disebutkan dalam artikel ini adalah hak milik dan tidak ada hubungannya dengan solusi OpenOffice.
Kami menyambut baik keputusan Elcomsoft untuk menambahkan pemulihan kata sandi ke dokumen dan spreadsheet terenkripsi dalam format dokumen MyOffice dalam versi baru Pemulihan Kata Sandi Office Tingkat Lanjut dan Pemulihan Kata Sandi Terdistribusi. Dengan demikian, ekosistem MyOffice dilengkapi dengan mitra teknologi lain, pemimpin dalam pengembangan utilitas layanan di bidang keamanan informasi. Kami berharap kerja sama lebih lanjut dalam audit independen solusi perangkat lunak MyOffice, yang akan membuat produk kami lebih baik lagi.