MicrosoftOfficeドキュメントの暗号化の進化。 MicrosoftOfficeドキュメントにおける暗号化の進化
暗号化ファイルシステム
暗号化ファイルシステムは、Windows2000カーネルに常駐するNTFSサービスと緊密に統合されています。 サービスの見た目はvipadkovではなく、長い間片付けられていました。 その点で、今日の時点で、ファイルシステムは不正アクセスからのデータの必要な保護を保護していません。
尊敬されている読者は私を叱責することができます:Windows NTとїїNTFSはどうですか? Aje NTFSはアクセスを保護し、不正アクセスからデータを保護します。 だからそれは本当です。 しかし、NTFSパーティションへのアクセスがWindows NTオペレーティングシステムの助けによるものではなく、直接、物理的なものである場合、どのようにその気分になれますか? Adzhetseporіvnjanoは、たとえばフロッピーディスクから夢中になって起動することで簡単に実装できます。 特別プログラム:たとえば、ntfsdosの方が幅が広いです。 明らかに、そのような可能性を転送し、システムを起動するためのパスワードを設定することができます。プロテクトプラクティスは、特にその場合、同じコンピューターでcoristuvachivのスプラットを使用して作業している場合、そのような攻撃者はあまり効果的ではないことを示しています。 そして、どのようにして悪人は勝つことができますか ハードドライブコンピューターからは、同じパスワードはここでは役に立ちません。 ディスクを別のコンピューターに接続することで、読み取るのと同じくらい簡単に読み取ることができます。 このように、攻撃者は機密情報がハードドライブに保存されているため、機密情報を自由に開示できます。
データを物理的な読み取りから保護する唯一の方法は、ファイルを暗号化することです。 このような暗号化の最も簡単な方法は、パスワードを使用してファイルをアーカイブすることです。 ただし、ここではいくつかの重大な欠点があります。 まず、穂軸の前にデータを手動で暗号化および復号化(この場合はアーカイブとアーカイブ)してから作業を完了する必要があります。これにより、データの保護が変更されます。 Koristuvachは、作業の完了後にファイルの暗号化(アーカイブ)を忘れたり、(もっと簡単に)ファイルのコピーをディスクに残したりすることができます。 別の言い方をすれば、短髪の男が発明したパスワードは推測しやすいように聞こえます。 運が良ければ、パスワードで保護されたアーカイブを解凍するのに十分なユーティリティがあります。 原則として、そのようなユーティリティzdіysnyuyutbrіdbrіrパスワードブルートフォースは辞書に記録された単語を検索します。
EFSシステムは、tsikhnedolіkіvの細分化の方法で分割されました。 以下では、暗号化テクノロジの詳細、EFSがこれらのデータ更新方法とどのように連携するかを確認し、Windows 2000でのEFSの理論と実装を理解し、背後にあるディレクトリの暗号化の例も確認します。 EFSの助け。
暗号化技術
WindowsCryptoAPIのEFS勝利アーキテクチャ。 їїの基礎には、特定のキーを使用した暗号化のテクノロジーがあります。 スキンファイルを暗号化するために、ファイルの暗号化キーが個別に生成されます。 ファイルを暗号化することを選択した場合、それが対称暗号化アルゴリズムであるかどうかをzastosovuvatsyaすることができます。 現在、EFSは1つのアルゴリズム、つまり拡張DES標準の特別な変更であるDESXを獲得しています。
EFS暗号化キーは常駐メモリプールに格納され(EFS自体はWindows 2000カーネルに隠されています)、スワップファイルを介したそれらへの不正アクセスを防ぎます。
koristuvachとの相互作用
ロックの背後では、EFSは、人がファイルの勝利の暗号化をすぐに開始できるように保護されています。 暗号化と逆の操作は、ファイルとディレクトリに対して実行されます。 ディレクトリが暗号化されると、そのディレクトリのすべてのファイルとサブディレクトリが自動的に暗号化されます。 ファイルを暗号化するために移動するか、暗号化されたディレクトリから暗号化されていないディレクトリに変更されたが、すべて同じように暗号化されたままであることを示す必要があります。 暗号化/復号化操作は2回実行できます 別の方法で--Vikoristovuyuchi ウィンドウズ・エクスプローラまた コンソールユーティリティ暗号。
Windowsエクスプローラーからディレクトリを暗号化するには、1つ以上のディレクトリを選択し、すべてのディレクトリ拡張子に暗号化記号を設定する必要があります。 このディレクトリに新しいファイルとサブディレクトリを作成すると、それらも暗号化されます。 このように、ファイルを「暗号化」ディレクトリにコピー(または転送)するだけで、ファイルを暗号化できます。
暗号化されたファイルは、暗号化されたビューでディスクに保存されます。 読み取り時間の終わりに、データファイルは自動的に復号化され、記録の終わりに、データは自動的に暗号化されます。 Koristuvachは、暗号化されたファイルからも、サイズの大きいファイルからも同じように処理できるため、で開いて編集することができます。 テキストエディタマイクロソフト Word文書、の小さなものを編集します アドビフォトショップまた グラフィックエディタペイントなど。
システムの起動時に壊れたファイルを暗号化することはいつでも不可能であることに注意する必要があります-同時に、coristuvachaの特別なキー、その助けのために、まだ解読されていません利用可能で、復号化されます。 Tse mozheは、システムを起動できなくなります。 EFS転送には、このような状況に対する単純な保護があります。「system」属性を持つファイルは暗号化されません。 ただし、注意してください。セキュリティシステムでdirkaを作成できます。 ファイルに「system」属性が設定されていないことを逆にすると、ファイルを再暗号化して、ファイルを効果的に暗号化できます。
暗号化されたファイルは圧縮できないことを覚えておくことも重要です ウィンドウズ 2000など。 つまり、スクイーズのディレクトリとしては暗号化できませんが、暗号化のディレクトリとしては、vinを押しつぶすことはできません。
データを復号化する必要がある場合は、Windowsエクスプローラーで選択したディレクトリから暗号化許可を取得するだけで、ファイルとサブディレクトリが自動的に復号化されます。 EFSがkoristuvachの暗号化されたデータを使用してロボットの可視性を確保するために、この操作は必要ないことに注意してください。
データのリマインダー
EFSは、データを解読する必要がある場合、データが同じページで認識されるようにしますが、何らかの理由でデータを知ることはできません。 ロック後、EFSは自動的にリカバリキーを生成し、アクセス証明書をインストールします oblіkovogoレコード管理者とシステムへの最初のログイン時にヨガを保存します。 このランクでは、管理者はいわゆる更新エージェントになり、システム内の任意のファイルを復号化できます。 当然のことながら、データの更新のポリシーを変更し、データの安全性に責任を持つ特別な人の更新の代理人として認識したり、そのような機能を散りばめたりすることができます。
Trochy理論
EFSは、マスターキースキームを使用してデータ暗号化を作成します。 データは、FEK(ファイル暗号化キー)ファイルへの暗号化キーを使用して、スウェーデンの対称アルゴリズムで暗号化されます。 FEK-曲dozhiniのtsevipadkovo生成キー。 米国版のEFSの鍵長は128ビットですが、国際版のEFSでは鍵長が40ビットまたは56ビットに変更されています。
FEKは1つ以上の復号化キーで暗号化され、FEK暗号化キーのリストが作成されます。 FEK暗号化キーのリストは、DDF(データ復号化フィールド)と呼ばれる特別なEFS属性から収集されます。 データを暗号化するための情報は、zhorstkoがこのファイルに接続されています。 キーペアは、X509証明書のボックスのキーペアに表示されます。 補足能力「ファイル暗号化」ウィキ。 これらのペアの特別なキーは、データとFEKを解読するときに勝利します。 キーの特別な部分は、スマートカードまたは別の外部領域に保存されます(たとえば、CryptoAPIの助けを借りて注意してください)。
FEKは、1つ以上の復号化キー(X509証明書から削除され、暗号化されたデータの認証ポリシーによって記録されます)を使用して暗号化されます。 このコンピュータ、「ファイル回復」の追加の可能性があります)。
以前と同様に、キーのキー部分はFEKリストへの暗号化に勝利します。 暗号化されたキーのリストFEKは、DRFと呼ばれるEFSの特別な領域にあるファイルからも一度に取得されます( データ復旧フィールド-データ更新フィールド)。 FEKリストを暗号化するために、DRFにはスキンキーペアのごく一部しかありません。 ファイル操作の通常の操作には、更新のメインキーのみが必要です。 更新エージェントは、システムによって安全な場所(たとえば、スマートカード)に特別なキーを保存できます。 暗号化、復号化、およびデータ更新のプロセスの図は、小さなものに向けられています。
暗号化プロセス
暗号化されていないファイルは、特別に生成されたFEKキーを使用して暗号化されます。 このキーはファイルから一度に書き込まれ、ファイルはkoristuvachのマスターキー(DDFで記述)とインスピレーションのエージェントのマスターキー(DRFで記述)を使用して復号化されます。 。
復号化プロセス
その後、FEKを復号化するための特別なキーが勝利します。これに対して、FEKバージョンが暗号化され、DDFから取得されます。 FEK復号化は、ファイルのサイドバイサイド復号化に対して立証されます。 優れたファイルのブロックは順番に読み取られないため、読み取られたブロックのみが復号化されます。 ファイルは暗号化されています。
更新プロセス
このプロセスは復号化と同じ違いがあります。FEKを復号化するために、エージェントの特別なキーが抽出され、暗号化されたバージョンのFEKがDRFから取得されます。
Windows2000の実装
小さい方はEFSアーキテクチャを示しています。
EFSは、次のコンポーネントで構成されています。
EFSドライバー
このコンポーネントは、論理的にNTFSの上に配置されます。 Vіnvаєmodієіzіzіzіzіnєіnіnієіcifruvannyafilіv、フィールドDDF、DRF、およびіnshііnshіdataіnіキー管理。 ドライバはこの情報をFSRTL(ファイルシステムランタイムライブラリ、 ファイルシステム)さまざまなファイルシステム操作(たとえば、ファイルへの書き込み、読み取り、書き込み、ファイルの末尾へのデータの追加)を明確に視覚化するため。
EFSクロックライブラリ(FSRTL)
FSRTL-EFSドライバーの真ん中にあるモジュールであり、暗号化されたファイルやディレクトリの読み取り、書き込み、書き込み、暗号化、復号化、更新などのさまざまなファイルシステム操作を入力するための一種のNTFS呼び出しです。ディスク上のデータとそれをディスクに書き込む。 EFSドライバーとFSRTLが同じコンポーネントに実装されているものに関係なく、悪臭は仲介なしでは相互作用しません。 情報を交換するには、NTFSwikiメカニズムを使用します。 これにより、すべてのファイル操作へのNTFSの参加が保証されます。 ファイル暗号化のさまざまなメカニズムを使用して実装される操作には、ファイルEFS属性(DDFおよびDRF)へのデータの書き込み、FEKのEFSキーのFSRTLライブラリへの転送が含まれます。これにより、これらのキーは、読み取られるファイルのコンテキストに自動的にインストールされます。 ファイルを開くためのこのようなコンテキストにより、ディスクからファイルを書き込んだり読み取ったりするときに、ファイルの消去できない暗号化と復号化が可能になります。
EFSサービス
EFSサービスはセキュリティシステムの一部です。 vikoristovuєіsnuyuchyポートzv'yazkuLPCmizh LSA( ローカルセキュリティ権限、ローカルセキュリティ保護)およびカーネルモードで動作するセキュリティモニターは、EFSドライバーと通信します。 EFSサービスはCryptoAPIプログラミングインターフェイスと相互運用し、ファイルに暗号化キーを提供し、DDFとDRFを安全に生成します。 OKrim、EFSサービスはWin32APIをサポートしています。
Win32 API
暗号化のための安全なプログラミングインターフェース 重要なファイルを開く、閉じたファイルの復号化と認識、さらに復号化せずに閉じたファイルの受信と転送。 標準のシステムライブラリadvapi32.dllのように見えるものに実装されています。
練習のトロッホ
ファイルまたはディレクトリを暗号化するには、次の手順に従います。
- Windowsエクスプローラーを起動し、ディレクトリ上でマウスボタンを右クリックして、[プロパティ]を選択します。
- [全般]タブで、[詳細]ボタンをクリックします。
- [コンテンツを暗号化してデータを保護する]の横のチェックボックスをオンにします。 [OK]を押してから、[プロパティ]ダイアログで[適用(一時停止)]を押します。 暗号化されたファイルを暗号化することを選択した場合は、追加のダイアログボックスが表示されます。
システムは、選択したファイルが配置されているディレクトリも暗号化するように求めます。これは、別の方法で、そのようなファイルの最初の変更時に自動的に暗号化されます。 他のファイルを暗号化する場合は、必ずアカウントに送信してください。
誰のために、データを暗号化するプロセスが完了します。
ディレクトリを復号化するには、「コンテンツを暗号化してデータを保護する」項目にビューを追加するだけです。 これにより、ディレクトリ、およびそれらに格納されているすべてのサブディレクトリとファイルが復号化されます。
ヴィスノフキ
- Windows 2000のEFSシステムでは、ハードコードされたユーザーがNTFSディレクトリ、ハードキーに基づくバイコリストロック、暗号化スキームを暗号化できます。これにより、閉じたディレクトリ内のすべてのファイルが暗号化されます。 すべてのファイルの暗号化がサポートされていますが、プログラムの非転送動作では推奨されません。
- EFSシステムは暗号化もサポートしています ファイルを削除する、spilnovikoristovuvanihリソースへのいくつかのzdiisnyuєtsyaヤクへのアクセス。 場所を洗う方法 koristuvachプロファイル接続のために、リモートプロファイルのキーと証明書が描画されます。 他のモードでは生成されます ローカルプロファイルローカルキーはビコレートされます。
- EFSシステムでは、必要に応じて暗号化されたデータをEFS支援のために更新できるように、データ更新ポリシーを設定できます。
- データの復活の方針が共同方針に導入されました Windowsのセキュリティ 2000.更新ポリシーの管理は個人に委任できます。 皮膚の更新については、組織が独自の更新ポリシーを持っている場合があります。
- データの更新EFS-クローズドオペレーション。 更新の過程で、データは復号化され、次にデータが暗号化されたkoristuvachのキーが復号化されます。
- EFSでの暗号化されたファイルの操作は、データの暗号化や復号化などの特別なデータが破損した場合には機能しません。 復号化と暗号化は、データの読み取りとディスクへの書き込みの過程で、koristuvachにとって目立たないものです。
- EFSシステムはサポートします バックアップコピー復号化せずに暗号化されたファイルを更新します。 NtBackupプログラムは、暗号化されたファイルのバックアップコピーをサポートします。
- EFSシステムは、スワップファイルを介した情報の流れが不可能な方法でオペレーティングシステムに組み込まれており、作成されるすべてのコピーが暗号化されることが保証されています。
- データ更新のセキュリティ、ラウンドの防御、および致命的なシステム障害が発生した場合のデータの損失のために、海外からの訪問数が転送されました。
21.06.2011 Volodymyr Bezmaliy
Office 2010への移行については多くのことを言う必要があり、すべての議論を繰り返すのは良くないと思います。 本日は、暗号化された文書のセキュリティの観点から、このような移行の平凡さについてお話ししたいと思います。
穂軸については、文書の擁護者がどのように マイクロソフトワードの マイクロソフトオフィス.
Officeでの過去と現在の暗号化
Officeの場合、バージョン6.0より前では、最初の暗号化アルゴリズムはXORです。 明らかに、そのような最も単純な暗号化アルゴリズムはzabezpechuvav zhodno zakhistuではなく、パスワードが実用的なmittevoに触発されたかどうかはわかりません。 当然のことながら、邪悪なMicrosoftWordとMicrosoftExcelのプログラムは過去に登場しました。 それ以上に、そのようなプログラムの作者の1人を任命したので、より豊かで、より低い日中を感じることがより安全でしょう。 ІMicrosoftにOfficeの盗聴をやめるように依頼する。
コードは、Microsoft Office 97および2000の今後のバージョンで壊れていました。これらの製品では、強力なMD5およびRC4暗号アルゴリズムが壊れていました。 しかし、当時米国にあった強力な暗号の輸出のための交換の導入に関連して、米国の国境の外に配置された暗号アルゴリズムは、40回の放電の鍵を打ち負かすことができませんでした。 これにより、最大40ビットのRC4キーが1つずつ交換され、その後、MD5出力から取得された16バイトから、11が単純に0に上書きされ、5つの有効バイトと11のゼロからRC4が上書きされました。キーが形成されました。 これにより、ブルートフォースによる攻撃を組織化する可能性が生じました。 MS Word / Excel 97/2000ファイルを復号化するには、最大240個のキーを列挙する必要があります。
改善により、レインボーテーブルが表示されます。攻撃は1時間(数秒から数分)で実行できます。 さらに、www.decryptum.comなどの同様のサービスを提供するサイトがインターネット上に登場しました(1つのファイルの復号化率は29ドルになります)。 ソフトウェアのセキュリティ保証されたWordDecrypter(GuaWord)1.7、保証されたExcel Decryptor(GuaExcel)1.7(PSW-soft)、Advanced Office パスワードブレーカー(AOPB)、Advanced Office Password Recovery(AOPR)(Elcomsoftハッカー)。
Microsoft Office XP / 2003には、40ビットキーを使用した同じ暗号化アルゴリズムがあります。 同時に、次の変更が行われました。
- SHA1ハッシュアルゴリズム(MD5置換);
- RC4キーは最大128回まで使用できます。
- パスワードの長さが16文字から255文字に増えました。
さらに、画面1に示すように、暗号化スキームとパスワードの再検証はいつでもハッキングされており、高速のブルートフォース(最大1,000,000パスワード/秒)が可能になっています。
Office2007がスタックしました 新しいスキーム暗号化、poklikanaの戦い 高速ブルートフォースパスワード
- RC4アルゴリズムを変更するために、AES暗号化アルゴリズムが128ビットのダブルキーから受信されました。
- zamіstワンタイムハッシュパスワードハッシュ周期的に50秒。 一度;
- サードパーティの暗号化アルゴリズムをインストールすることが可能です。
結果として、ブルートフォースパスワードブルートフォースの速度は1秒あたり200パスワードを超えないようにする必要があります。これにより、妥当な時間内に5〜6文字を超えないパスワードを選択できます。
同時に、このvartoブーストは、ビデオカードの最高のリソースを備えたソフトウェアセキュリティの出現により、列挙の速度が最大5,000になります。 1秒間のパスワード。これにより、ブルートフォース攻撃が明らかに妨げられました(画面2)。
.jpg) |
| 画面2.ビデオカードリソースに対するブルートフォース攻撃 |
盗まれたファイルの形式に関しては、名前を付けることはできません。許して理解しましょう。 開いているファイルにパスワードが設定されている場合でも、実際には、ファイルは暗号化、暗号化されたストリーム、および追加情報に関する情報を含むOLEコンテナです。 ただし、Office XP / 2003の暗号化ブロックのように、新しいものに関係なく、暗号化プロバイダーの名前を避けるために、ハッシュと暗号化のアルゴリズム、およびキーとデータの値を逆にするための名前を付けます。パスワードと復号化、Office2007は攻撃パラメータを設定するだけです。
- ダブルキー128ビットの暗号化アルゴリズムAES。
- SHA-1ハッシュアルゴリズム。
どの暗号化でも、そのハッシュはMicrosoftEnhancedRSAおよびAESCryptographicProviderによって保護されます。 すぐに、vrakhovuvatiの痕跡について、パスワードの最後の検索の攻撃後、検索のセキュリティが壊滅的に低下します。
パスワード検証アルゴリズムを変更して、本だけでなく読書へのアクセスのみが変更されないようにドキュメントを保護します Excelシート。 ドキュメントの前半で、2バイトで構成されるパスワードのハッシュが保存されました。 最初のパスワードに戻すことができます。 一度に、ハッシュアルゴリズムはに書き込むことによって割り当てられます XMLファイルハッシュの反復回数がそこに示されています。
ドキュメントアップロードパラメータ
ドキュメントを保護するためのパラメータを使用すると、パスワード保護の追加機能のためにファイルとテキストを暗号化する方法を変更できます。 ドキュメントを保護するには、次の2種類のパラメータを使用します。
- Office Excel 2007、Office PowerPoint 2007、およびOfficeWord2007に適用されるグローバル設定。ドキュメント保護の2つのグローバル設定を表1に示します。
- プログラムに保存する必要のあるパラメーターは、Microsoft OfficeOneNote2007に限定されています。
これらの設定は、Officeレイアウトセンターの[変更]ボックスの[変更]ページ、[Microsoft Office 2007システム]、[セキュリティ設定]セクション、または[キャッシュファイルの構成/管理用テンプレート]にあります。オブジェクトエディタ」ノード。 グループポリシー」、「MicrosoftOffice2007システム/セキュリティ設定」ブランチ。
守秘義務の改善
機密性を向上させることは、プライバシーと機密性を保護するのに役立ちます。 Office 2007の主要なプライバシーカテゴリのいくつかを選択できます。オプションは、Officeスピッティングセンターまたは追加のグループポリシーの背後で構成できます。 プライバシーカテゴリのいくつかを以下に説明します。
DocumentInspectorパラメーターを表2に示します。
インスペクターモジュールのCLSIDは、次のレジストリエントリにあるレジストリエントリにあります。
HKEY_LOCAL_MACHINE / Software / Microsoft / Office / 12.0 /Excel/ドキュメントインスペクターHKEY_LOCAL_MACHINE/Software / Microsoft / Office / 12.0 /PowerPoint/ドキュメントインスペクターHKEY_LOCAL_MACHINE/Software / Microsoft / Office / 12.0 /Word/ドキュメントインスペクター
[ドキュメントインスペクター]パラメーターは、Office Speech Centerの[変更]設定ページにあります:Microsoft Office 2007(デスクトップ)/Insche。
この設定は、グループポリシーオブジェクトエディター(コンピューターの構成/管理用テンプレート/ Microsoft Office 2007(コンピューター)/ Insche)にあります。
Office2010での暗号化。 Microsoft Office 2010で使用される暗号化アルゴリズムは、WindowsオペレーティングシステムのAPIを介してアクセスできるアルゴリズムに含まれています。 Cryptography API(CryptoAPI)をサポートするOffice 2010は、Microsoft Office 2007 Service Pack 2(SP2)で最初に利用可能になったCNGインターフェイス(CryptoAPI:Next Generation)もサポートします。
このvartovrahuvat、schoを使用すると、CNGを使用して、動的暗号化およびzastosovuvatモジュールのサードパーティ暗号を実現できます。 OfficeがCryptoAPIを使用するように、暗号化アルゴリズムは、Windowsオペレーティングシステムの前にある暗号化サービスプロバイダー(CSP)から利用可能なアルゴリズムと同じです。
コンピューターにインストールされている暗号化サービスプロバイダーのリストは、次のレジストリセクションにあります。
HKEY_LOCAL_MACHINE / SOFTWARE / Microsoft / Cryptography / Defaults / Provider
Office2010およびOffice2007Service Pack 2(SP2)は、システムにインストールされている次のCNG暗号化アルゴリズムおよびその他のCNG暗号化拡張機能を不正に使用できます:AES、DES、DESX、3DES、3DES_112、およびRC2。 CNGハッシュアルゴリズムおよびCNGの他の暗号化拡張機能は、MD2、MD4、MD5、RIPEMD-128、RIPEMD-160、SHA-1、SHA256、SHA384、およびSHA512のようにハッキングできます。
Open XML形式(DOCX、XSLX、PPTXなど)でドキュメントを暗号化する場合、AESアルゴリズム(エージェンシーから要求された暗号化アルゴリズム) 国際セキュリティー(NSA)米国の注文の標準として、手術室でサポート Windowsシステム XP SP2、Windows Vista、Windows 7 Windows Server 2003およびWindowsServer2008)、キー長が128ビットの場合、ハッシュアルゴリズムはSHA1です。
暗号化と暗号化のパラメーター。 表3には、使用時に暗号化アルゴリズムを変更できるパラメーターがあります。 Microsoftバージョン CryptoAPIをハックするOffice。
Office 2010の場合、パスワードで保護されたOffice Open XMLファイルの暗号化の種類の設定を変更する場合は、[暗号化量の設定]設定を選択し、[複数のバージョンのWikkostize形式]オプションを選択します。 [暗号化の合計を設定]オプションは、Access 2010、Excel 2010、PowerPoint 2010、およびWord2010で使用できます。
表4には、Office 2010の使用時に暗号化アルゴリズムを変更できるパラメーターがあります。これらのパラメーターは、Access 2010、Excel 2010、OneNote 2010、PowerPoint 2010、Project 2010、およびWord2010に設定できます。
Excel 2010、PowerPoint 2010、およびWord 2010の場合、CNGパラメーターのフロントテーブルに割り当てられたCNGパラメーターを「パスワード変更時間の新しいキーを書き込む」という名前で設定できます。これにより、暗号化パスワードの新しいキーを指定できます。時間を変更します。 ロックの場合、パスワードを変更しても新しいパスワードは変更されません。
ドキュメントにパスワードを追加してドキュメントの暗号化を有効にするために、パラメータ「koristuvachインターフェイスにログインするためのパスワードを書き込む」を変更できます。 このパラメーターは、Office2010ユーザーがドキュメントにパスワードを追加できるようにするために必要です。 プロモーションの場合、koristuvachsはパスワードを追加できます。
Sumіsnіstz 以前のバージョンオフィス。 Officeドキュメントを暗号化する必要がある場合は、代わりにOpen XML形式(DOCX、XLSX、PPTXも)で保存することをお勧めします。 Office形式 97〜2003(DOC、XLS、PPT)。 バイナリドキュメント(DOC、XLS、PPT)を暗号化する場合は、RC4アルゴリズムが使用されます。これをお勧めします。 100,000をロックするための再ハッシュのOskіlkiサイクル数、2倍低くロックするためのブルートフォースパスワードの速度、最大で不正アクセスの場合は低くする オフィス文書 2007.
このようにして、不器用なvisnovokを作成することができます。一見すると、MicrosoftOffice2010でのドキュメントパスワードに対するブルートフォース攻撃への耐性が今日最も効果的です。
Volodymyr Bezmaliy( [メール保護])-セキュリティスペシャリスト、MVPコンシューマーセキュリティ、MicrosoftSecurityトラステッドアドバイザー
主な暗号から暗号へ
・暗号化されたメッセージは、キーが存在する場合にのみ読み取ることができます。
・暗号化されたメッセージのフラグメントおよび暗号化されたテキストに類似したものに基づく強力な暗号化キーの導出に必要な操作の数は、可能なキーの総数より少なくてはなりません。
すべてのキーの列挙による情報の復号化に必要な操作の数は、母親のSuvoruのスコアが低く、可能性の範囲を超えているためです。 現代のコンピューター(柵の数を数える能力の改善のため);
暗号化アルゴリズムの知識は無罪です
キーのわずかな変更は、同じテキストの1つを暗号化するときに、暗号化されたメッセージの形式を完全に変更する原因となります。
・出力テキストのわずかな変更は、同じキーが使用された場合に暗号化されたリマインダーの形式で完全な変更につながる可能性があります。
・暗号化アルゴリズムの構造要素はかけがえのないものです。
・暗号化プロセスに導入される加算ビットは、暗号文にますます付加されるbutiによるものです。
・暗号文の長さは、暗号文の長さが等しいためです。
・キー間に休閑地を設置するのは簡単で簡単なことのせいではありません。これは暗号化プロセスで次々と勝利を収めています。
・可能性のある非人格性の鍵となるのはセキュリティの罪です nadiy zahist情報;
・アルゴリズムは、ソフトウェアとハードウェアの両方の実装を許可する責任があります。現在のキーを変更する場合、暗号化アルゴリズムを重大な劣化に導く責任はありません。
暗号のプログラム販売
ソフトウェア実装の可能性は、暗号変換の方法が形式的であり、最終的なアルゴリズム手順として提示できるという事実によって説明されます。
勝つ前にソフトウェアの実装は、その柔軟性と移植性で認められます。 つまり、1つのオペレーティングシステム用に作成されたプログラムは、任意のタイプのオペレーティングシステム用に変更できます。 さらに、より少ない時間と費用でソフトウェアのセキュリティをアップグレードすることが可能です。 それまでは、ハードウェアを調べても実装に利用できない暗号化プロトコルのギャラリーへの現在のアクセスがたくさんあります。
短いまで プログラムへの貢献 暗号化zakhistu次に、暗号化のdiuアルゴリズムでのvtruchannyaの可能性と、グローバルにアクセス可能なメモリから取得されたキー情報へのアクセスの削除を確認します。 これらの操作は、ソフトウェアツールの簡単なセットで助けを求められます。 だから、例えば、bagatiohで オペレーティングシステム zdіysnyuєtsyaハードドライブ上のメモリのアクシデントダンプ、さらに、メモリにキーがある可能性があり、在庫がないかどうかを知ることは難しくありません。
このように、ソフトウェアの物理的な保護が弱いことは、暗号化アルゴリズムを実装するための同様の方法の主な欠点の1つです。
ソフトウェアとハードウェアの実装
残りの時間には、暗号化技術の組み合わせ、いわゆるものが登場し始めました。 ソフトウェアおよびハードウェアツール。 このように、コンピューターには、独自の「暗号化スピブプロセッサー」があります。添付ファイルのカウント、暗号化操作の方向(モジュロによる折りたたみ、zsuv toshcho)です。 このような添付ファイルのソフトウェアセキュリティを変更することにより、別の暗号化方法を選択できます。
情報の暗号化保護のハードウェア-ソフトウェア複合体のハードウェア部分に依存する主な機能は、重要な情報の生成と別棟でのセキュリティ、侵入者側からの不正アクセスからの保護です。 さらに、このタイプの追加の方法では、追加のパスワード(静的または動的に変更され、キー情報のさまざまなキャリアに保存できます)のコードの認証を確立したり、肌の色。 このような情報を読み取るための添付ファイルは、情報保護のソフトウェアおよびハードウェア実装のウェアハウスに含めることができます。
3ステップ
暗号化アルゴリズムを使用できるように、実際のデータを取得することも、それを奪うこともできます
攻撃者が暗号化アルゴリズムを知るとすぐにvinが起動されるので、攻撃者が奪う必要のあるすべてのもの、tsez'yasuvatiがこの暗号化に勝利します。 AESなどのAleがインストールした暗号化アルゴリズムには、多くの欠点があります。 このランクでは、賛辞へのotrimannyaアクセスのためのevildoer primusvikoristovuvatimeyogo。
同じ形式のキー(たとえば、AES 256ビット以上)を選択すると、より折りたたむことができます。 DESはまた、小さなキー拡張(56ビット)を許可しませんが、妥当な期間(たとえば、日数)でブルートフォース攻撃を許可します。 DESが勝利しない理由を軸にします。
ハッカーは秘密鍵、オープンキー、PVについて知りませんか?
非対称暗号化のコンテキストでキーをブロックすることが可能であるという事実に注意を払うことが重要です。 どの方向に オープンキーサウンドєzagalnoaccessible(「v_dkrityキー」とも呼ばれます)。 ただし、非対称暗号化は、秘密鍵を知っている場合、秘密鍵を持っていないために復号化できないように設計されています。
このようにして、AESなどの暗号化アルゴリズムは何時間もテストされ、安全であることが証明されています。 David Schwartzが彼のコードで示しているように、問題があるかのように、暗号化アルゴリズムではなく、実装に問題があります。
暗号化が正しく実装され、適度に断片化されたシステムの一部であることを確認できますか? 番号。 暗号化の全体的な意味を理解してください。
敬意を払ってください、その暗号化は魔法ではありません。 Vіnは茶色のzakhistuの安全のためだけにvikoristovuvatisyaの罪を犯しています。 それを間違える方法はたくさんあります。
大きな名誉を持って製品(TrueCrypt、Firefox、GPGなど)を獲得しなかった場合、それがウィンクの目的のせいであるという事実に基づいて勝利します。本当のセキュリティを奪う。 たとえば、DropboxはAESをハッキングしましたが、システムの他の部分のセキュリティはそれほど高くなく、1つのkoristuvachが他のkoristuvachデータを復号化できるようにしました。 暗号化されていたので、どちらも役に立ちませんでした。
したがって、アルゴリズムの機密性を保存することは、セキュリティをわずかに助けます。 悪意のある人があなたがDES(それほど貪欲に折りたたまれた悪ではない)に勝ったことを知っているなら、あなたはより効率的にそれを試すことができます。
あなたの力の本質は、データの性質を解読するために暗号化を介して機能することになっている統計的攻撃だと思います。 それが数学的な除算の合理的に現代的なアルゴリズムであるかどうか、どのような種類のデータを推測することを試みることを可能にするために。
良い瞬間でさえ奪うためにデビッドを保護します。 Navіtіdealne暗号化は(そうではなかったかのように)理解できるでしょう 人的要因、人間工学。 これらのアルゴリズムは無意味であるため、独自の方法で分岐したり、独自のアルゴリズムを変更したりすることはありません。また、データを解読できる静かな場所を絶対的に(そして真に)信頼することもできません。
