L'evoluzione della crittografia nei documenti di Microsoft Office. Evoluzione della crittografia nei documenti di Microsoft Office
Crittografia del file system
Il file system di crittografia è strettamente integrato con il servizio NTFS, che risiede nel kernel di Windows 2000. Riconoscimento: protezione dei dati archiviati su disco, sotto forma di accesso non autorizzato mediante crittografia. L'aspetto del servizio non è vipadkov ed è stato chiarito per molto tempo. Proprio in quanto, ad oggi, i file system non garantiscono la necessaria protezione dei dati da accessi non autorizzati.
Un lettore rispettato può rimproverarmi: che dire di Windows NT e її NTFS? Aje NTFS protegge l'accesso e protegge i dati da accessi non autorizzati! Quindi è vero. Ma come si può essere di quell'umore, se l'accesso alla partizione NTFS non è dovuto all'aiuto del sistema operativo Windows NT, ma direttamente, fisicamente? Adzhe tse porіvnjano è facile da implementare, ad esempio lasciandosi trasportare da un floppy disk e avviando programma speciale: ad esempio, ntfsdos è più ampio. Ovviamente, puoi trasferire tale possibilità e impostare una password per avviare il sistema, la pratica di prote mostra che un tale aggressore non è molto efficace, specialmente in quel caso, se lavori sullo stesso computer con uno spratto di coristuvachiv. E come può vincere un malfattore disco rigido dal computer, le stesse password non aiuteranno qui. Collegando il disco a un altro computer, puoi leggerlo con la stessa facilità con cui può essere letto. In questo modo, l'attaccante può divulgare liberamente informazioni riservate, poiché sono archiviate su un disco rigido.
L'unico modo per proteggere i dati dalla lettura fisica è crittografare i file. Il modo più semplice di tale crittografia è archiviare un file con una password. Tuttavia, qui ci sono alcune gravi carenze. Innanzitutto, è necessario crittografare e decrittografare manualmente (nel nostro caso, archiviare e archiviare) i dati prima del cob e quindi completare il lavoro, che di per sé cambia la protezione dei dati. Koristuvach può dimenticare di crittografare (archiviare) il file al termine del lavoro o (più banalmente) lasciare una copia del file sul disco. In un modo diverso, le password, inventate da un uomo dai capelli corti, sembrano facili da indovinare. Se sei fortunato, avrai abbastanza utilità che ti permetteranno di decomprimere archivi protetti da password. Di norma, tali utilità zdіysnyuyut brіdbrіr password ricerca di forza bruta di parole registrate nel dizionario.
Il sistema EFS è stato interrotto con un metodo di suddivisione di tsikh nedolіkіv. Di seguito diamo un'occhiata ai dettagli della tecnologia di crittografia, al modo in cui EFS funziona con questi metodi di aggiornamento dei dati, impariamo a conoscere la teoria e l'implementazione di EFS in Windows 2000 e diamo anche un'occhiata all'esempio di crittografia per la directory dietro il aiuto di EFS.
Tecnologia di crittografia
Architettura vittoriosa EFS di Windows CryptoAPI. Alla base c'è la tecnologia di crittografia con una determinata chiave. Per crittografare un file skin, viene generata individualmente una chiave di crittografia per il file. Se scegli di crittografare un file, puoi zastosovuvatsya se si tratta di un algoritmo di crittografia simmetrico. Al momento, EFS sta vincendo un algoritmo, cioè DESX, che è una modifica speciale dello standard DES esteso.
Le chiavi di crittografia EFS sono archiviate in un pool di memoria residente (lo stesso EFS è nascosto nel kernel di Windows 2000) per impedire l'accesso non autorizzato ad esse tramite il file di scambio.
Interazione con un koristuvach
Dietro il lucchetto, EFS è stato protetto in modo tale che una persona possa iniziare immediatamente la crittografia vittoriosa dei file. L'operazione di crittografia e inversione viene eseguita per file e directory. Quando una directory viene crittografata, tutti i file e le sottodirectory di tale directory vengono crittografati automaticamente. È necessario indicare che per crittografare il file viene spostato, oppure viene cambiato dalla directory crittografata a quella non crittografata, ma viene comunque lasciato crittografato. Le operazioni di crittografia/decrittografia possono essere eseguite due volte in un altro modo- Vikoristovuyuchi Windows Explorer o utilità della console Cifra.
Per crittografare una directory da Windows Explorer, è sufficiente selezionare una o più directory e impostare la crittografia ensign per tutte le estensioni di directory. Se crei nuovi file e sottodirectory in questa directory, anche questi verranno crittografati. In questo modo puoi crittografare un file semplicemente copiandolo (o trasferendolo) nella directory "encryption".
I file crittografati vengono archiviati sul disco nella vista crittografata. Al termine dell'ora di lettura, il file di dati viene automaticamente decrittografato e al termine della registrazione i dati vengono automaticamente crittografati. Koristuvach può essere elaborato da file crittografati allo stesso modo, così come da file di grandi dimensioni, in modo da poterlo aprire e modificare in editor di testo Microsoft Documenti di parole, modifica i più piccoli in Adobe Photoshop o editore grafico Dipingi e così via.
È necessario notare che in qualsiasi momento non è possibile crittografare i file, che si rompono all'avvio del sistema - allo stesso tempo, la chiave speciale del coristuvacha, per l'aiuto del quale, la decrittazione, che non è ancora disponibile, viene decifrato. Tse mozhe porta all'impossibilità di avviare il sistema! I trasferimenti EFS hanno una semplice protezione contro tali situazioni: i file con l'attributo "sistema" non vengono crittografati. Tuttavia, fai attenzione: puoi creare un dirka nel sistema di sicurezza! Invertire che l'attributo "sistema" non è impostato per il file, in modo che possa essere crittografato nuovamente, in modo che il file sia effettivamente crittografato.
È anche importante ricordare che i file crittografati non possono essere compressi finestre 2000 e così via. In altre parole, come directory di schiacciamento, non può essere crittografato, ma come directory di crittografia, vin non può essere schiacciato.
Se è necessario decrittografare i dati, è sufficiente ottenere l'autorizzazione di crittografia dalle directory selezionate in Esplora risorse e i file e le sottodirectory verranno automaticamente decrittografati. Va notato che questa operazione non è necessaria, quindi EFS garantirà la visibilità del robot con dati crittografati per il koristuvach.
Promemoria dei dati
EFS farà in modo che i dati vengano riconosciuti sulla stessa pagina, se è necessario decifrarli, ma, per qualsiasi motivo, non possono essere conosciuti. Dopo il blocco, EFS genererà automaticamente una chiave di ripristino, installerà un certificato di accesso record oblіkovogo amministratore e salva yoga al primo accesso al sistema. In questo rango, l'amministratore diventa il cosiddetto agente di rinnovo e può decrittografare qualsiasi file nel sistema. Comprensibilmente, la politica di rinnovo dei dati può essere modificata e riconosciuta come agente di rinnovo di una persona speciale responsabile della sicurezza dei dati, o per instillare una spruzzata di tali caratteristiche.
Teoria di Trochia
EFS crea la crittografia dei dati utilizzando uno schema di chiave master. I dati vengono crittografati con un algoritmo simmetrico svedese con l'aiuto di una chiave di crittografia per il file FEK (chiave di crittografia del file). FEK - chiave di generazione tse vipadkovo della canzone dozhini. La lunghezza della chiave nella versione americana di EFS è di 128 bit; nella versione internazionale di EFS, la lunghezza della chiave viene modificata in 40 o 56 bit.
FEK è crittografato con una o più chiavi di decrittografia, risultando in un elenco di chiavi crittografate FEK. L'elenco delle chiavi di crittografia FEK viene raccolto da uno speciale attributo EFS chiamato DDF (campo di decrittografia dei dati). Le informazioni, per l'aiuto delle quali i dati sono crittografati, sono zhorstko collegate a questo file. Le coppie di chiavi sono visualizzate nelle coppie di chiavi della confezione del certificato X509. capacità supplementare Wiki "Crittografia file". Le chiavi speciali di queste coppie sono vittoriose durante la decifrazione dei dati e della FEK. Una parte speciale delle chiavi viene salvata o sulle smart card, o in un'altra area estranea (ad esempio, ricorda, assicurati di avere l'aiuto di CryptoAPI).
FEK viene crittografato anche con l'ausilio di una o più chiavi di decrittazione (rimosse dai certificati X509, registrate dalla policy di autenticazione dei dati crittografati per questo computer, con l'ulteriore possibilità di "File recovery").
Come prima, la parte chiave della chiave è vittoriosa per la crittografia nell'elenco FEK. L'elenco delle chiavi crittografate FEK viene anche preso subito da un file in un'area speciale di EFS, che si chiama DRF ( recupero dati campo - campo di aggiornamento dati). Per crittografare l'elenco FEK, DRF ha solo una piccola parte della coppia di chiavi skin. Per il normale funzionamento delle operazioni sui file, sono necessarie solo le chiavi principali dell'aggiornamento. Gli agenti di rinnovo possono salvare chiavi speciali in un luogo sicuro dal sistema (ad esempio su smart card). Al piccolo sono puntati i diagrammi dei processi di cifratura, decrittazione e rinnovo dei dati.
Processo di crittografia
Il file non crittografato viene crittografato con l'aiuto di una chiave FEK appositamente generata. Questa chiave viene scritta immediatamente dal file, il file viene decrittografato con l'aiuto della chiave principale del koristuvach (scritta in DDF), nonché con l'aiuto della chiave principale dell'agente di ispirazione (scritta con DRF) .
Processo di decrittazione
Successivamente vince una chiave speciale per la decrittazione della FEK, per la quale viene crittografata la versione FEK, che viene prelevata dal DDF. La decrittografia FEK è giustificata per la decrittografia affiancata del file. Poiché i blocchi di un grande file non vengono letti in sequenza, solo i blocchi letti vengono decifrati. Il file viene crittografato.
Processo di rinnovo
Questo processo è simile alla decrittografia con la stessa differenza, per decrittare la FEK, viene estratta una chiave speciale dell'agente e la versione crittografata della FEK viene presa dal DRF.
Implementazione per Windows 2000
Il piccolo mostra l'architettura EFS:
EFS è composto dai seguenti componenti:
Driver EFS
Questo componente è logicamente posizionato sopra NTFS. In tutto il servizio EFS, anche in cifruvannya filіv, campi DDF, DRF e inshі inshі dati nella gestione delle chiavi. Il driver trasferisce queste informazioni a FSRTL (libreria di runtime del file system, file system) per una chiara visualizzazione di varie operazioni del file system (ad esempio, scrittura su un file, lettura, scrittura, aggiunta di dati alla fine di un file).
Libreria orologio EFS (FSRTL)
FSRTL - è un modulo nel mezzo del driver EFS, che è una sorta di chiamate NTFS per la digitazione di varie operazioni del file system, come lettura, scrittura, scrittura di file e directory crittografati, nonché l'operazione di crittografia, decrittografia, aggiornamento dati su un disco e scriverli su un disco. . Indipendentemente da quelli in cui il driver EFS e FSRTL sono implementati nello stesso componente, la puzza non interagisce senza intermediari. Per scambiare informazioni, utilizzare il meccanismo wiki NTFS. Ciò garantisce la partecipazione di NTFS a tutte le operazioni sui file. Le operazioni implementate utilizzando vari meccanismi per la crittografia dei file includono la scrittura di dati negli attributi EFS dei file (DDF e DRF) e il trasferimento di chiavi EFS in FEK alla libreria FSRTL, in modo che queste chiavi vengano installate automaticamente nel contesto del file in lettura. Tale contesto per l'apertura di un file consente la crittografia e la decrittografia indelebili dei file durante la scrittura e la lettura di file dal disco.
Servizio EFS
Il servizio EFS fa parte del sistema di sicurezza. C'è un vikoristovuє іsnuyuchy port zv'yazku LPC mizh LSA ( sicurezza locale autorità, protezione della sicurezza locale) e un monitor di sicurezza, che funziona in modalità kernel, per comunicare con il driver EFS. Il servizio EFS interagisce con l'interfaccia di programmazione CryptoAPI, fornendo chiavi di crittografia ai file e generando DDF e DRF in modo sicuro. OKrim, il servizio EFS supporta l'API Win32.
API Win32
Interfaccia di programmazione sicura per la crittografia aprire file critici, decrittografia e riconoscimento di file chiusi, ricezione e trasferimento di file chiusi senza ulteriore decrittazione. Implementato in quella che sembra essere una libreria di sistema standard advapi32.dll.
Troch di pratica
Per crittografare un file o una directory, attenersi alla seguente procedura:
- Avvia Windows Explorer, fai clic con il pulsante destro del mouse sulla directory, seleziona Proprietà.
- Nella scheda Generale, fare clic sul pulsante Avanzate.
- Seleziona la casella accanto a "Crittografa i contenuti per proteggere i dati". Premere OK, quindi premere Applica (sospendere) nella finestra di dialogo Proprietà. Se hai scelto di crittografare il file crittografato, verrà visualizzata una finestra di dialogo aggiuntiva:
Il sistema richiede di crittografare anche la directory in cui si trova il file selezionato, che in un altro modo di crittografia verrà automaticamente crittografato durante la prima modifica di tale file. Assicurati di inviarlo al tuo account se stai crittografando altri file!
Per chi, il processo di crittografia dei dati sarà completato.
Per decrittografare le directory, è sufficiente aggiungere la vista nella sezione "Crittografa i contenuti per proteggere i dati". In questo modo, le directory, così come tutte le sottodirectory e i file in esse archiviati, verranno decrittografate.
Visnovki
- Il sistema EFS in Windows 2000 consente agli utenti codificati di crittografare le directory NTFS, il blocco vicorist, basato su chiavi fisse, uno schema crittografico, con il quale verranno crittografati tutti i file nelle directory chiuse. La crittografia di tutti i file è supportata, ma non è consigliata a causa del comportamento di non trasferimento dei programmi.
- Il sistema EFS supporta anche la crittografia cancella file, Accesso ad alcuni zdiisnyuєtsya yak alle risorse spilno vikoristovuvanih. Come lavare il posto profili Koristuvach per la connessione si disegnano chiavi e certificati per i profili remoti. In altre modalità vengono generati profili locali e le chiavi locali sono vikorate.
- Il sistema EFS consente di impostare una politica di rinnovo dei dati in modo tale che i dati crittografati possano essere aggiornati per l'assistenza EFS, se necessario.
- La politica di rilancio dei dati è stata introdotta nella politica comune Sicurezza di Windows 2000. Il controllo sulle politiche di rinnovo può essere delegato a privati. Per il rinnovamento della pelle, l'organizzazione può disporre di una propria politica di rinnovo.
- Aggiorna dati EFS - operazione chiusa. Al processo di rinnovo, i dati vengono decifrati, quindi la chiave del koristuvach, per la quale i dati sono stati crittografati.
- Il lavoro con i file crittografati in EFS non funziona in caso di danneggiamento di dati speciali come la crittografia e la decrittografia dei dati. La decrittazione e la crittografia sono insignificanti per il koristuvach nel processo di lettura e scrittura dei dati su disco.
- Supporta il sistema EFS copia di backup quel rinnovo dei file crittografati senza la loro decrittazione. Il programma NtBackup supporta copie di backup di file crittografati.
- Il sistema EFS è integrato nel sistema operativo in modo tale che il flusso di informazioni attraverso i file di scambio non sia possibile ed è garantito che tutte le copie create saranno crittografate
- Il numero delle visite estere è stato trasferito per la sicurezza del rinnovo dei dati, nonché per la difesa del round e della perdita di dati in caso di guasti fatali del sistema.
21.06.2011 Volodymyr Bezmaliy
C'è molto da dire sul passaggio a Office 2010 e ripetere tutti gli argomenti, credo, non sia una buona idea. Oggi vorrei parlarvi della mediocrità di una tale transizione in vista della sicurezza dei documenti crittografati
Per la pannocchia, indovinate come il difensore dei documenti Microsoft Word in Microsoft Office.
Crittografia passata e attuale in Office
Per Office, prima della versione 6.0, il primo algoritmo di crittografia è XOR. Ovviamente, tale algoritmo di crittografia più semplice non ha zabezpechuvav zhodno zakhistu, e se le password sono state ispirate o meno dal pratico mittevo. Abbastanza naturalmente, i programmi per il malvagio Microsoft Word e Microsoft Excel sono apparsi in passato. Inoltre, avendo nominato uno degli autori di tali programmi, sarebbe più sicuro sentirsi più ricchi, meno abbienti durante il giorno. І chiedendo a Microsoft di smettere di intercettare Office.
Il codice è stato violato nelle prossime versioni di Microsoft Office 97 e 2000. In questi prodotti sono stati violati potenti algoritmi di crittografia MD5 e RC4. Tuttavia, in connessione con l'introduzione dello scambio per l'esportazione di crittografia forte, in vigore a quel tempo negli Stati Uniti, i crittoalgoritmi, che erano di stanza fuori dai confini degli Stati Uniti, non potevano vincere le chiavi per 40 scarichi . Ciò ha portato a uno scambio pezzo per pezzo di chiavi RC4 fino a 40 bit e, successivamente, da 16 byte, presi dall'uscita MD5, 11 sono stati semplicemente sovrascritti in 0, e da 5 byte significativi e 11 zeri, l'RC4 si è formata la chiave Ciò ha causato la possibilità di organizzare un attacco con la forza bruta. Per decifrare un file MS Word/Excel 97/2000, è necessario enumerare un massimo di 240 chiavi.
Con i miglioramenti appariranno le tabelle Rainbow.Un attacco può essere effettuato in un'ora (da pochi secondi a pochi minuti). Inoltre, su Internet sono comparsi siti che forniscono servizi simili, ad esempio www.decryptum.com (il tasso di decrittazione per un file diventa di $ 29); sicurezza del software Garantito Word Decrypter (GuaWord) 1.7, Garantito Excel Decryptor (GuaExcel) 1.7 (PSW-soft), Advanced Office Password Breaker(AOPB), Advanced Office Password Recovery (AOPR) (hacker Elcomsoft).
Microsoft Office XP/2003 ha lo stesso algoritmo di crittografia con una chiave a 40 bit. Contestualmente sono state apportate le seguenti modifiche:
- Algoritmo di hash SHA1 (sostituzione MD5);
- La chiave RC4 può essere fino a 128 volte;
- La lunghezza della password è stata aumentata da 16 a 255 caratteri.
Inoltre, lo schema di cifratura e la nuova verifica della password sono stati violati in qualsiasi momento, consentendo un'elevata velocità di forza bruta (fino a 1.000.000 di password al secondo), come mostrato nella schermata 1.
Office 2007 era bloccato nuovo schema crittografia, poklikana lotta per alta velocità password di forza bruta
- per modificare l'algoritmo RC4 è stato ricevuto l'algoritmo di crittografia AES da una doppia chiave di 128 bit;
- zamіst password di hashing una tantum hashing ciclicamente 50 ths. una volta;
- è possibile installare algoritmi di crittografia di terze parti.
Di conseguenza, la velocità della forza bruta delle password a forza bruta non dovrebbe essere superiore a 200 password al secondo, il che consente di scegliere password non superiori a 5-6 caratteri in un'ora ragionevole.
Allo stesso tempo, questo varto boost, che, a causa dell'aspetto della sicurezza del software, che ha le migliori risorse della scheda video, la velocità di enumerazione cresce fino a 5 mila. password per un secondo, che in qualsiasi momento ha ovviamente ostacolato un attacco di forza bruta (schermata 2).
.jpg) |
| Schermata 2. Attacco a forza bruta alle risorse della scheda video |
Per quanto riguarda il formato dei file rubati, non puoi nominarlo, perdoniamo e capiamo. Anche se sul file da aprire è impostata una password, in realtà il file è un contenitore OLE che contiene informazioni sulla crittografia, sul flusso crittografato e informazioni aggiuntive. Tuttavia, indipendentemente da quelli nel nuovo, come nel blocco di crittografia in Office XP / 2003, per evitare il nome del provider di crittografia, nominare gli algoritmi per l'hashing e la crittografia, nonché il valore della chiave e dei dati per invertire il password e decrittografia, Office 2007 ha appena installato i parametri dei passaggi:
- algoritmo di crittografia AES con doppia chiave 128 bit;
- Algoritmo di hash SHA-1.
Con qualsiasi crittografia, tale hashing è protetto da Microsoft Enhanced RSA e AES Cryptographic Provider. Immediatamente, su quelle tracce di vrakhovuvati, che dopo l'attacco dell'ultima ricerca di password, la sicurezza della ricerca cade catastroficamente.
Modifica dell'algoritmo di verifica della password per proteggere il documento dalla modifica dell'accesso solo alla lettura, oltre che ai libri Fogli Excel. In precedenza nel documento è stato salvato l'hash della password, che consiste in 2 byte. È possibile ripristinarla alla prima password. Immediatamente, l'algoritmo di hashing viene assegnato scrivendo a File XML e lì è indicato il numero di iterazioni dell'hash.
Parametri di caricamento dei documenti
I parametri per la protezione dei documenti consentono di modificare il metodo di crittografia di file e testo per la funzione aggiuntiva di protezione tramite password. Utilizzare due tipi di parametri per proteggere i documenti:
- impostazioni globali applicabili a Office Excel 2007, Office PowerPoint 2007 e Office Word 2007. Nella Tabella 1 sono descritte due impostazioni globali per la protezione dei documenti;
- I parametri che devono essere archiviati nel programma sono limitati a Microsoft Office OneNote 2007.
Puoi trovare queste impostazioni nella pagina "Modifica" della casella "Modifica" nel Centro layout di Office, nella sezione "Sistema Microsoft Office 2007", "Impostazioni di sicurezza" o nella "Configurazione file di cassa/Modelli amministrativi di il nodo dell'editor di oggetti". politica di gruppo", nella filiale "Impostazioni di sistema/sicurezza di Microsoft Office 2007".
Migliorare la riservatezza
Migliorare la riservatezza aiuta a proteggere la privacy e la riservatezza. Possiamo selezionare alcune delle principali categorie di privacy in Office 2007. Le opzioni possono essere configurate nel centro sputi di Office o dietro criteri di gruppo aggiuntivi. Alcune delle categorie di privacy sono descritte di seguito.
Il parametro Document Inspector è mostrato nella Tabella 2.
Il CLSID per il modulo inspector si trova nelle voci di registro, che si trovano nelle voci di registro successive:
HKEY_LOCAL_MACHINE/Software/ Microsoft/Office/12.0/Excel/ Controllo documenti HKEY_LOCAL_MACHINE/Software/ Microsoft/Office/12.0/PowerPoint/ Controllo documenti HKEY_LOCAL_MACHINE/Software/ Microsoft/Office/12.0/Word/ Controllo documenti
Il parametro "Controllo documento" è disponibile nella pagina delle impostazioni "Modifica" di Office Speech Center: Microsoft Office 2007 (Desktop)/Insche.
È possibile trovare questa impostazione nell'editor di oggetti Criteri di gruppo: Configurazione computer/Modelli amministrativi/Microsoft Office 2007 (Computer)/Insche.
Crittografia in Office 2010. Gli algoritmi di crittografia utilizzati in Microsoft Office 2010 si trovano in algoritmi a cui è possibile accedere tramite API nel sistema operativo Windows. Office 2010, che supporta l'API di crittografia (CryptoAPI), supporta anche l'interfaccia CNG (CryptoAPI: Next Generation), resa disponibile per la prima volta con Microsoft Office 2007 Service Pack 2 (SP2).
Con questo varto vrahuvat, scho, utilizzando CNG, puoi ottenere la crittografia dinamica e i moduli zastosovuvat cifrature di terze parti. Come Office utilizza CryptoAPI, gli algoritmi di crittografia sono gli stessi degli algoritmi disponibili dal Cryptographic Service Provider (CSP) che precedono il sistema operativo Windows.
L'elenco dei fornitori di servizi di crittografia installati sul computer è disponibile nella sezione del registro successiva:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Cryptography/Defaults/Provider
Office 2010 e Office 2007 Service Pack 2 (SP2) possono ingannare i seguenti algoritmi di crittografia CNG e altre estensioni crittografiche CNG installate nel sistema: AES, DES, DESX, 3DES, 3DES_112 e RC2. Gli algoritmi di hashing CNG e altre estensioni crittografiche di CNG possono essere violati come segue: MD2, MD4, MD5, RIPEMD-128, RIPEMD-160, SHA-1, SHA256, SHA384 e SHA512.
Quando si crittografano i documenti nel formato Open XML (DOCX, XSLX, PPTX o altro), l'algoritmo AES (algoritmo di crittografia richiesto dall'Agenzia sicurezza nazionale(NSA) come standard per l'ordine statunitense, supportato nelle sale operatorie Sistemi Windows XP SP2, Windows Vista, Windows 7, Windows Server 2003 e Windows Server 2008) con una lunghezza della chiave di 128 bit, l'algoritmo di hashing è SHA1.
Parametri di crittografia e crittografia. La tabella 3 contiene parametri che consentono di modificare gli algoritmi di crittografia durante l'utilizzo Versioni Microsoft Office per hackerare CryptoAPI.
Per Office 2010, se si desidera modificare l'impostazione del tipo di crittografia per i file Office Open XML protetti da password, selezionare l'impostazione Imposta quantità di crittografia e selezionare l'opzione Formato Wikkostize per più versioni. L'opzione Imposta somma crittografia è disponibile in Access 2010, Excel 2010, PowerPoint 2010 e Word 2010.
La tabella 4 contiene parametri che consentono di modificare gli algoritmi di crittografia quando si utilizza Office 2010. Questi parametri possono essere impostati su Access 2010, Excel 2010, OneNote 2010, PowerPoint 2010, Project 2010 e Word 2010.
Per Excel 2010, PowerPoint 2010 e Word 2010 è possibile impostare il parametro CNG assegnato alla tabella frontale per il parametro CNG con il nome “Scrivi una nuova chiave per ora cambio password”, che consente di specificare una nuova chiave per la crittografia della password cambia ora. Per il blocco, la nuova password non viene modificata durante la modifica della password.
È possibile modificare il parametro "Scrivere una password per l'accesso all'interfaccia koristuvach" per aggiungere password ai documenti e quindi abilitare la crittografia dei documenti. Questo parametro è necessario affinché gli utenti di Office 2010 possano aggiungere password ai documenti. Per le promozioni, koristuvachs può aggiungere password.
Somma z versioni precedenti ufficio. Se è necessario crittografare i documenti di Office, si consiglia invece di salvarli nel formato Open XML (anche DOCX, XLSX, PPTX) Formato ufficio 97–2003 (DOC, XLS, PPT poi). Quando si crittografano documenti binari (DOC, XLS, PPT), viene utilizzato l'algoritmo RC4, che è consigliato! Oskіlki numero di cicli di re-hashing per bloccare 100.000, velocità per password di forza bruta per bloccare due volte inferiore, inferiore per accesso illegale fino a Documenti d'ufficio 2007.
In questo modo è possibile creare un visnovok goffo: a prima vista, la resistenza agli attacchi di forza bruta alle password dei documenti in Microsoft Office 2010 è la più efficace oggi.
Volodymyr Bezmaliy ( [email protetta]) - Security Specialist, può essere MVP Consumer Security, Microsoft Security Trusted Advisor
Da cifrari principali a cifrari
· I messaggi criptati possono essere letti solo per la presenza della chiave;
· Il numero di operazioni necessarie per la derivazione di una chiave di cifratura vicaria da un frammento di messaggio cifrato e simile al testo cifrato, non può essere inferiore al numero totale di chiavi possibili;
Il numero di operazioni richieste per decifrare le informazioni mediante la ricerca a forza bruta di tutte le chiavi è responsabile del punteggio più basso e del superamento della gamma di possibilità computer moderni(per il miglioramento della capacità di contare il numero di recinzioni);
la conoscenza dell'algoritmo di crittografia non è colpevole
una modifica insignificante della chiave è responsabile di portare a un cambiamento completo nella forma del messaggio crittografato durante la crittografia di uno stesso testo;
· Una modifica insignificante nel testo di output può portare a una modifica completa sotto forma di promemoria crittografato quando viene utilizzata la stessa chiave;
· Gli elementi strutturali dell'algoritmo di crittografia sono insostituibili;
· I bit additivi, che vengono introdotti nel processo di crittografia, sono dovuti al fatto che sono sempre più attaccati al testo cifrato;
· La lunghezza del testo cifrato è dovuta alla lunghezza uguale del testo cifrato;
· Non è colpa della semplice e facile installazione dei maggesi tra le chiavi, che si sono succedute vittoriose nel processo di cifratura;
· Che sia una chiave per l'impersonale del possibile, è colpa della sicurezza nadiy zahist informazione;
· L'algoritmo è responsabile di consentire l'implementazione sia software che hardware, quando si cambia la chiave corrente, non è responsabile di portare l'algoritmo di crittografia a un degrado critico.
Programma di vendita di cifrari
La possibilità di implementazione del software è spiegata dal fatto che il metodo di trasformazione crittografica è formale e può essere presentato come una procedura algoritmica finale.
Prima delle vittorie L'implementazione del software può essere riconosciuta per la sua flessibilità e portabilità. In altre parole, un programma scritto per un sistema operativo, può essere modificato per qualsiasi tipo di sistema operativo. Inoltre, è possibile aggiornare la sicurezza del software con tempi e costi finanziari ridotti. Fino ad allora, ci sono molti accessi attuali alla galleria di protocolli crittografici che non sono disponibili per l'implementazione guardando l'hardware.
Fino a breve contributi del programma zakhistu crittografico accanto a vedere la possibilità di vtruchannya al diu algoritmi di crittografia e rimozione dell'accesso alle informazioni chiave, che vengono prelevate dalla memoria accessibile a livello globale. Queste operazioni sono necessarie per un aiuto con un semplice set di strumenti software. Quindi, per esempio, a bagatioh sistemi operativi zdіysnyuєtsya dump accidentale della memoria su un disco rigido, inoltre, potrebbero esserci delle chiavi nella memoria, è difficile sapere se non è disponibile.
Pertanto, la debole protezione fisica degli strumenti software è una delle principali carenze di metodi simili per l'implementazione di algoritmi di crittografia.
Implementazione software e hardware
Nel resto dell'ora iniziarono ad apparire le cosiddette combinazioni di tecnologie di crittografia. strumenti software e hardware. In questo modo, nel computer, c'è un proprio "processore spiv crittografico" - un'enumerazione di allegati, orientamenti di operazioni crittografiche (piegatura per modulo, zsuv toshcho.). Modificando la sicurezza del software di tale allegato, è possibile scegliere un altro metodo di crittografia.
Le principali funzioni che fanno affidamento sulla parte hardware del complesso hardware-software di protezione crittografica delle informazioni sono la generazione delle informazioni chiave e la sicurezza negli annessi, la protezione dall'accesso non autorizzato da parte dell'intruso. Inoltre, per ulteriori modalità di questo tipo, è possibile stabilire l'autenticazione dei codici per password aggiuntive (statiche o modificabili dinamicamente, che possono essere salvate su diversi supporti di informazioni chiave) o sulla base di univoche per caratteristiche biometriche del il tono della pelle. Allegati per la lettura di tali informazioni possono essere inseriti nel magazzino di implementazione software e hardware della protezione delle informazioni.
3 passi
puoi prendere i dati reali o rubarli, in modo da poter utilizzare l'algoritmo di crittografia
Non appena l'attaccante conosce l'algoritmo di crittografia, viene lanciato il vin, quindi ora tutto ciò di cui ha bisogno per derubare, tse z'yasuvati, quale chiave è vittoriosa per questa crittografia. Ale ha installato algoritmi di crittografia, come AES, ci sono molte carenze. In questo grado, il malfattore primus vikoristovuvatime yogo per l'accesso otrimannya ai tributi.
Se scegli le chiavi dello stesso formato (ad esempio, AES 256 bit o più), sarà più facile piegare le attività. Inoltre, DES non consente un'espansione della chiave piccola, ma piccola (56 bit) consente un attacco di forza bruta in un termine ragionevole (ad esempio: giorni). Asse perché DES non è vittorioso.
quindi l'hacker non sa di chiavi private, chiave aperta o PV?
È importante prestare attenzione al fatto che è possibile bloccare le chiavi nel contesto della crittografia asimmetrica. In che direzione chiave aperta suono є zagalnoaccessibile (noto anche come "tasto vodkrity"). Tuttavia, la crittografia asimmetrica è progettata in modo tale che se si conosce la chiave privata, non è possibile decifrarla perché non si dispone della chiave privata.
In questo modo, gli algoritmi di crittografia, come AES, sono stati testati per ore e si sono rivelati sicuri. Come mostra David Schwartz nel suo codice, come se avessi un problema, (suono) è colpa della tua implementazione, non dell'algoritmo di crittografia.
Possiate essere sicuri che la crittografia sia implementata correttamente e faccia parte di un sistema ragionevolmente frammentato, No. Tse tutto il senso della crittografia.
Dai rispetto, quella crittografia non è magica. Vіn è colpevole di vikoristovuvatisya solo per la sicurezza dello zakhistu marrone. Ci sono molti modi per sbagliare.
Se non vinci un prodotto con grande onore (ad esempio TrueCrypt, Firefox o GPG), lo vinci proprio nel fatto che è colpa degli scopi per l'ammiccamento, è anche una buona possibilità che tu non lo faccia togli la vera sicurezza. Ad esempio, Dropbox ha violato AES, ma non molta sicurezza nell'altra parte del loro sistema, consentendo a un koristuvach di decrittografare altri dati koristuvach. Neanche questo ha aiutato, perché era crittografato.
Quindi, salvare la segretezza dell'algoritmo aiuta la sicurezza in modo insignificante. Se il malfattore sa che hai vinto DES (che non è il male piegato così avidamente), il fetore può provarlo con maggiore efficienza.
Penso che l'essenza del tuo potere siano gli attacchi statistici, che dovrebbero funzionare attraverso la crittografia per decifrare la natura dei dati. Che si tratti di un algoritmo ragionevolmente moderno di divisioni matematiche, per consentire di provare a indovinare che tipo di dati.
Prote David ruba anche un bel momento. Navigare in una cifratura ideale (come se non lo fosse) sarebbe comprensibile fattore umano. Questi algoritmi sono marn, quindi non devi deviare a modo tuo e non pensare troppo al tuo e non hai fiducia assoluta (e vera) in coloro che possono decifrare i dati.
