गंभीर सुरक्षा: कमजोर एन्क्रिप्शन पर माइक्रोसॉफ्ट ऑफिस 365 पर हमला

हम निश्चित नहीं हैं कि इसे अभी क्या कहा जाए, इसलिए हमने इसे हाइब्रिड नाम से शीर्षक में संदर्भित किया माइक्रोसॉफ्ट ऑफिस 365.

(माइक्रोसॉफ्ट के वर्ड प्रोसेसिंग, स्प्रेडशीट, प्रेजेंटेशन और सहयोग ऐप्स के लिए सामूहिक संज्ञा के रूप में "ऑफिस" नाम दिया जा रहा है मार डाला अगले एक या दो महीने में, बस "Microsoft 365" बनने के लिए।)

हमें यकीन है कि लोग अलग-अलग ऐप नामों का उपयोग करते रहेंगे (शब्द, एक्सेल, PowerPoint और दोस्त) और सुइट का उपनाम Office कई वर्षों के लिए, हालांकि सॉफ्टवेयर के नए आने वाले शायद इसे इस रूप में जानते होंगे 365, सर्वव्यापी Microsoft उपसर्ग को छोड़ने के बाद।

जैसा कि आप जानते होंगे, Office स्टैंडअलोन ऐप्स (जिन्हें आप वास्तव में स्थानीय रूप से इंस्टॉल करते हैं ताकि आपको अपने सामान पर काम करने के लिए ऑनलाइन न जाना पड़े) में सहेजे गए दस्तावेज़ों को एन्क्रिप्ट करने का उनका अपना विकल्प शामिल है।

यह सुरक्षा की एक अतिरिक्त परत जोड़ने के लिए माना जाता है यदि आप बाद में उन फ़ाइलों में से कोई भी गलती या डिज़ाइन द्वारा किसी ऐसे व्यक्ति के साथ साझा करते हैं जिसे उन्हें प्राप्त नहीं करना चाहिए था - ऐसा कुछ जो ईमेल के माध्यम से अनुलग्नक साझा करते समय गलती से करना आश्चर्यजनक रूप से आसान है।

जब तक आप प्राप्तकर्ता को वह पासवर्ड नहीं देते जो उन्हें फ़ाइल को अनलॉक करने के लिए चाहिए, यह उनके लिए बस इतना कटा हुआ गोभी है।

बेशक, यदि आप ईमेल के मुख्य भाग में पासवर्ड शामिल करते हैं, तो आपको कुछ भी प्राप्त नहीं हुआ है, लेकिन यदि आप किसी भिन्न चैनल के माध्यम से पासवर्ड साझा करने के बारे में थोड़ा भी सतर्क हैं, तो आपने स्वयं को कुछ अतिरिक्त सुरक्षा और सुरक्षा प्राप्त कर ली है। , स्नूप्स और नीर-डू-वेल्स को गोपनीय सामग्री तक आसान पहुंच प्राप्त हो रही है।

सुर्खियों में ओएमई

या आपके पास है?

के अनुसार शोधकर्ताओं फ़िनिश साइबर सुरक्षा कंपनी WithSecure में, आपका डेटा बहुत कम सुरक्षा का आनंद ले सकता है जिसकी आप उचित रूप से अपेक्षा कर सकते हैं।

परीक्षकों द्वारा उपयोग की जाने वाली विशेषता वह है जिसे वे कहते हैं कार्यालय 365 संदेश एन्क्रिप्शनया, OME छोटे के लिए।

हमने यहां उनके प्रयोगों को पुन: प्रस्तुत नहीं किया है, इसका सरल कारण यह है कि कोर ऑफिस, क्षमा करें, 365 उत्पाद मूल रूप से लिनक्स पर नहीं चलते हैं, जिसका उपयोग हम काम के लिए करते हैं। Office टूल के वेब-आधारित संस्करणों में पूर्ण ऐप्स के समान सुविधा सेट नहीं होती है, इसलिए कोई भी परिणाम जो हम प्राप्त कर सकते हैं, उसके साथ संरेखित होने की संभावना नहीं है कि Office, ah, 365 के अधिकांश व्यावसायिक उपयोगकर्ताओं ने Word, Excel, Outlook को कैसे कॉन्फ़िगर किया है। और दोस्तों को अपने विंडोज लैपटॉप पर।

जैसा कि शोधकर्ता इसका वर्णन करते हैं:

इस सुविधा का विज्ञापन संगठनों को आपके संगठन के अंदर और बाहर के लोगों के बीच सुरक्षित तरीके से एन्क्रिप्टेड ईमेल संदेश भेजने और प्राप्त करने की अनुमति देने के लिए किया जाता है।

लेकिन वे यह भी बताते हैं कि:

दुर्भाग्य से ओएमई संदेशों को संचालन के असुरक्षित इलेक्ट्रॉनिक कोडबुक (ईसीबी) मोड में एन्क्रिप्ट किया गया है।

ईसीबी ने समझाया

व्याख्या करना।

कई एन्क्रिप्शन एल्गोरिदम, विशेष रूप से उन्नत एन्क्रिप्शन मानक या एईएस, जो ओएमई का उपयोग करता है, उन्हें कहा जाता है ब्लॉक सिफर, जो क्रम में अलग-अलग बिट्स या बाइट्स को संसाधित करने के बजाय, एक समय में डेटा के बड़े हिस्से को स्क्रैम्बल करता है।

आम तौर पर, यह दक्षता और सुरक्षा दोनों में मदद करने के लिए माना जाता है, क्योंकि सिफर में क्रिप्टोग्राफिक क्रैंक-हैंडल के प्रत्येक मोड़ पर मिश्रण-कीमा-श्रेड-एंड-लिक्विडाइज करने के लिए अधिक इनपुट डेटा होता है जो एल्गोरिदम को चलाता है, और प्रत्येक मोड़ आपको आगे ले जाता है उस डेटा के माध्यम से जिसे आप एन्क्रिप्ट करना चाहते हैं।

कोर एईएस एल्गोरिथ्म, उदाहरण के लिए, एक बार में 16 इनपुट प्लेनटेक्स्ट बाइट्स (128 बिट्स) की खपत करता है, और 16 एन्क्रिप्टेड सिफरटेक्स्ट आउटपुट बाइट्स का उत्पादन करने के लिए एक एन्क्रिप्शन कुंजी के तहत उस डेटा को स्क्रैम्बल करता है।

(भ्रमित न करें ब्लॉक का आकार साथ में मुख्य आकार - एईएस एन्क्रिप्शन कुंजियाँ 128 बिट, 192 बिट या 256 बिट लंबी हो सकती हैं, यह इस बात पर निर्भर करता है कि आप उनका अनुमान कैसे लगाना चाहते हैं, लेकिन एल्गोरिथ्म के "क्रैंक" होने पर सभी तीन प्रमुख आकार 128 बिट ब्लॉक पर काम करते हैं।)

इसका मतलब यह है कि यदि आप एईएस कुंजी (लंबाई की परवाह किए बिना) चुनते हैं और फिर डेटा के एक हिस्से पर सीधे एईएस सिफर का उपयोग करते हैं ...

…फिर हर बार जब आप एक ही इनपुट चंक प्राप्त करते हैं, तो आपको वही आउटपुट चंक मिलेगा.

वास्तव में बड़े पैमाने पर कोडबुक की तरह

इसलिए ऑपरेशन के इस प्रत्यक्ष मोड को कहा जाता है ईसीबी, के लिए कम इलेक्ट्रॉनिक कोड बुक, क्योंकि यह एक विशाल कोड बुक की तरह है जिसे एन्क्रिप्ट करने और डिक्रिप्ट करने के लिए लुकअप टेबल के रूप में उपयोग किया जा सकता है।

(एक पूर्ण "कोडबुक" वास्तविक जीवन में कभी नहीं बनाया जा सकता है, क्योंकि आपको 2 से मिलकर एक डेटाबेस को स्टोर करने की आवश्यकता होगी¹²⁸ 16-बाइट प्रविष्टियाँ प्रत्येक संभावित कुंजी के लिए.)

दुर्भाग्य से, विशेष रूप से कंप्यूटर-स्वरूपित डेटा में, डेटा के कुछ हिस्सों की पुनरावृत्ति अक्सर अपरिहार्य होती है, उपयोग किए गए फ़ाइल प्रारूप के लिए धन्यवाद।

उदाहरण के लिए, फ़ाइलें जो नियमित रूप से डेटा अनुभागों को पैड आउट करती हैं ताकि वे 512-बाइट सीमाओं (डिस्क पर लिखते समय एक सामान्य सेक्टर आकार) या 4096-बाइट सीमाओं (मेमोरी को आरक्षित करते समय एक सामान्य आवंटन इकाई आकार) पर लाइन अप करें, अक्सर फाइलों का उत्पादन करेंगे शून्य बाइट्स के लंबे रन।

इसी तरह, टेक्स्ट दस्तावेज़ जिनमें बहुत सारे बॉयलरप्लेट होते हैं, जैसे कि प्रत्येक पृष्ठ पर शीर्षलेख और पाद लेख, या पूर्ण कंपनी के नाम का बार-बार उल्लेख, भरपूर दोहराव होगा।

एईएस-ईसीबी एन्क्रिप्शन प्रक्रिया में हर बार एक बार-बार प्लेनटेक्स्ट चंक 16-बाइट सीमा पर लाइन अप करने के लिए होता है, इसलिए यह एन्क्रिप्टेड आउटपुट में उभरेगा बिल्कुल वही सिफरटेक्स्ट.

इसलिए, भले ही आप सिफरटेक्स्ट फ़ाइल को औपचारिक रूप से डिक्रिप्ट नहीं कर सकते हैं, आप इससे तत्काल, सुरक्षा-क्रशिंग निष्कर्ष निकालने में सक्षम हो सकते हैं, इस तथ्य के लिए धन्यवाद कि इनपुट में पैटर्न (जिसे आप जानते हैं, या अनुमान लगाने में सक्षम हो सकते हैं, या अनुमान लगाने के लिए) आउटपुट में संरक्षित हैं।

लगभग नौ साल पहले हमारे द्वारा प्रकाशित एक लेख पर आधारित एक उदाहरण यहां दिया गया है, जब हमने समझाया था कि एडोब द्वारा अपने उपयोगकर्ताओं के पासवर्ड को "हैश" करने के लिए ईसीबी-मोड एन्क्रिप्शन का अब-कुख्यात उपयोग क्यों किया गया था अच्छा विचार नहीं:

ध्यान दें कि कैसे पिक्सेल जो इनपुट में ठोस सफेद होते हैं, आउटपुट में एक दोहराव पैटर्न का उत्पादन करते हैं, और नीले हिस्से कुछ हद तक नियमित रहते हैं, ताकि मूल डेटा की संरचना स्पष्ट हो।

इस उदाहरण में, मूल फ़ाइल में प्रत्येक पिक्सेल ठीक 4 बाइट्स लेता है, इसलिए इनपुट डेटा में प्रत्येक बाएं से दाएं 4-पिक्सेल रन 16 बाइट्स लंबा होता है, जो प्रत्येक 16-बाइट एईएस एन्क्रिप्शन ब्लॉक के साथ बिल्कुल संरेखित होता है, इस प्रकार "ईसीबी प्रभाव"।

---

सिफरटेक्स्ट पैटर्न का मिलान

इससे भी बदतर, यदि आपके पास दो दस्तावेज़ हैं जिन्हें आप जानते हैं कि एक ही कुंजी के साथ एन्क्रिप्ट किए गए हैं, और आपके पास उनमें से एक का सादा पाठ है, तो आप उस सिफर टेक्स्ट को देख सकते हैं जिसे आप नहीं कर सकता डिक्रिप्ट करें, और इसके अनुभागों को सिफरटेक्स्ट में पैटर्न के साथ मिलाने का प्रयास करें जो आप कर सकते हैं डिक्रिप्ट

याद रखें कि यदि आपके पास पहले से ही डिक्रिप्टेड रूप में है तो आपको पहले दस्तावेज़ को "डिक्रिप्ट" करने के लिए कुंजी की आवश्यकता नहीं है - यह आश्चर्यजनक रूप से, एक के रूप में जाना जाता है ज्ञात-प्लेटेक्स्ट हमला.

भले ही स्पष्ट रूप से निर्दोष पाठ के कुछ ही मैच हों जो स्वयं गुप्त डेटा न हों, एक विरोधी इस तरह से जो ज्ञान निकाल सकता है वह बौद्धिक संपदा जासूसों, सामाजिक इंजीनियरों, फोरेंसिक जांचकर्ताओं, और बहुत कुछ के लिए सोने की खान हो सकता है।

उदाहरण के लिए, भले ही आपको पता न हो कि किसी दस्तावेज़ का विवरण क्या संदर्भित करता है, कई फाइलों में ज्ञात प्लेनटेक्स्ट चंक्स का मिलान करके, आप यह निर्धारित करने में सक्षम हो सकते हैं कि दस्तावेज़ों का एक स्पष्ट रूप से यादृच्छिक संग्रह:

• सभी एक ही प्राप्तकर्ता को भेजे गए थे, यदि प्रत्येक के ऊपर एक समान अभिवादन है।
• उसी परियोजना का संदर्भ लें, यदि कोई विशिष्ट पहचान वाली टेक्स्ट स्ट्रिंग है जो पॉप अप करती रहती है।
• समान सुरक्षा वर्गीकरण रखें, यदि आप उस सामान पर ध्यान केंद्रित करने के इच्छुक हैं जो स्पष्ट रूप से बाकी की तुलना में "अधिक गुप्त" होने के लिए है।

क्या करना है?

ईसीबी मोड का प्रयोग न करें!

यदि आप किसी ब्लॉक सिफर का उपयोग कर रहे हैं, तो एक चुनें ब्लॉक सिफर ऑपरेटिंग मोड कि:

• इसमें वह शामिल है जिसे IV या इनिशियलाइज़ेशन वेक्टर के रूप में जाना जाता है, प्रत्येक संदेश के लिए यादृच्छिक रूप से और विशिष्ट रूप से चुना गया।
• एन्क्रिप्शन प्रक्रिया को जानबूझकर व्यवस्थित करता है ताकि बार-बार इनपुट हर बार अलग-अलग निकले।

यदि आप एईएस का उपयोग कर रहे हैं, तो आप शायद इन दिनों जिस मोड को चुनना चाहते हैं वह है एईएस GCM (गैलोइस काउंटर मोड), जो हर बार एक अलग एन्क्रिप्शन डेटा स्ट्रीम बनाने के लिए न केवल एक IV का उपयोग करता है, भले ही कुंजी वही रहती है, लेकिन यह भी गणना करता है कि एक के रूप में क्या जाना जाता है संदेश प्रमाणीकरण कोड (मैक), या क्रिप्टोग्राफ़िक चेकसम, साथ ही डेटा को स्क्रैम्बलिंग या अनस्क्रैम्बिंग करते समय।

एईएस-जीसीएम का मतलब न केवल यह है कि आप बार-बार सिफरटेक्स्ट पैटर्न से बचते हैं, बल्कि यह भी कि आप हमेशा एक "चेकसम" के साथ समाप्त होते हैं जो आपको बताएगा कि आपके द्वारा अभी-अभी डिक्रिप्ट किए गए डेटा के साथ छेड़छाड़ की गई थी।

याद रखें कि एक बदमाश जो नहीं जानता कि सिफरटेक्स्ट का वास्तव में क्या मतलब है, फिर भी वह आपको बिना यह जाने (या परवाह किए) कि आप किस प्रकार के गलत आउटपुट के साथ समाप्त होते हैं, एक अचूक डिक्रिप्शन पर भरोसा करने में सक्षम हो सकते हैं।

एक मैक जो डिक्रिप्शन प्रक्रिया के दौरान एक ही कुंजी और IV के आधार पर गणना की जाती है, यह सुनिश्चित करने में मदद करेगी कि आप जानते हैं कि आपके द्वारा प्राप्त सिफरटेक्स्ट मान्य है, और इसलिए आपने लगभग निश्चित रूप से डिक्रिप्ट किया है जो मूल रूप से दूसरे छोर पर रखा गया था।

वैकल्पिक रूप से, एक समर्पित . का उपयोग करें धारा सिफर जो एक छद्म-यादृच्छिक बाइट-बाय-बाइट कीस्ट्रीम उत्पन्न करता है जो आपको एक बार में 16 बाइट्स (या जो भी ब्लॉक आकार हो सकता है) को संसाधित किए बिना डेटा एन्क्रिप्ट करने की अनुमति देता है।

एईएस-जीसीएम अनिवार्य रूप से एईएस को एक स्ट्रीम सिफर में परिवर्तित करता है और मैक के रूप में प्रमाणीकरण जोड़ता है, लेकिन यदि आप एक समर्पित स्ट्रीम सिफर की तलाश कर रहे हैं जो विशेष रूप से उस तरह से काम करने के लिए डिज़ाइन किया गया है, तो हम डैनियल बर्नस्टीन का सुझाव देते हैं। चाचा20-पॉली1305 (पॉली1305 भाग मैक है), जैसा कि विस्तृत है RFC 8439.

नीचे, हमने दिखाया है कि हमें AES-128-GCM और ChaCha20-Poly1305 (हमने यहां MAC कोड को छोड़ दिया है) का उपयोग करके 95,040 RGBA बाइट्स (330×72 4 बाइट्स प्रति पिक्सेल) से युक्त "इमेज" के साथ क्या मिला है। लिनक्स कर्नेल छद्म यादृच्छिक जनरेटर।

याद रखें कि सिर्फ इसलिए कि डेटा असंरचित दिखता है इसका मतलब यह नहीं है कि यह वास्तव में यादृच्छिक है, लेकिन अगर यह यादृच्छिक नहीं दिखता है, फिर भी यह एन्क्रिप्टेड होने का दावा करता है, तो आप यह भी मान सकते हैं कि कुछ संरचना पीछे रह गई है, और यह कि एन्क्रिप्शन है संदिग्ध व्यक्ति:

आगे क्या होता है?

विथसिक्योर के अनुसार, Microsoft इस "भेद्यता" को ठीक करने की योजना नहीं बना रहा है, जाहिरा तौर पर Office 2010 के साथ पिछड़े संगतता के कारणों के लिए ...

Office (2010) के लीगेसी संस्करणों के लिए AES 128 ECB की आवश्यकता होती है, और Office डॉक्स अभी भी इस तरह से Office ऐप्स द्वारा सुरक्षित हैं।

…तथा…

[विद सिक्योर रिसर्चर्स'] रिपोर्ट को सुरक्षा सेवाओं के लिए बार से मिलने पर विचार नहीं किया गया और न ही इसे उल्लंघन माना गया। कोई कोड परिवर्तन नहीं किया गया था और इसलिए इस रिपोर्ट के लिए कोई सीवीई जारी नहीं किया गया था।

संक्षेप में, यदि आप वर्तमान में OME पर निर्भर हैं, तो आप इसे संवेदनशील संदेशों के लिए किसी तृतीय-पक्ष एन्क्रिप्शन टूल से बदलने पर विचार कर सकते हैं जो उन संदेशों को बनाने वाले ऐप्स से स्वतंत्र रूप से आपके डेटा को एन्क्रिप्ट करता है, और इस प्रकार आंतरिक एन्क्रिप्शन से स्वतंत्र रूप से काम करता है ऑफिस रेंज में कोड।

इस तरह, आप Office 2010 में निर्मित पुराने स्कूल डिक्रिप्शन कोड को वापस छोड़ने के बिना, एक आधुनिक सिफर और सिफर ऑपरेशन का एक आधुनिक मोड चुन सकते हैं।

---

हमने लेख में चित्र कैसे बनाए sop330.png से शुरू करें, जिसे आप सबसे ऊपरी छवि से साफ किए गए SOPHOS लोगो को क्रॉप करके, 2-पिक्सेल की नीली सीमा को हटाकर और PNG प्रारूप में सहेज कर अपने लिए बना सकते हैं।  छवि का अंत 330x72 पिक्सेल आकार का होना चाहिए।
 ImageMagick का उपयोग करके RGBA में कनवर्ट करें: $ कन्वर्ट sop330.png sop.rgba आउटपुट 330x72 पिक्सल x 4 बाइट्स/पिक्सेल = 95,040 बाइट्स है।
 === लुआ और लुआओएसएसएल पुस्तकालय का उपयोग करके एन्क्रिप्ट करें (पायथन में एक बहुत ही समान ओपनएसएसएल बाध्यकारी है): - डेटा लोड करें> fdat = misc.filetostr ('sop.rgba')> fdat: len() 95040 - सिफर ऑब्जेक्ट बनाएं> aes = openssl.cipher.new('AES-128-ECB') > gcm = openssl.cipher.new('AES-128-GCM') > cha = openssl.cipher.new('ChaCha20-Poly1305') -- इनिशियलाइज़ पासवर्ड और IVs - AES-128-ECB को 128-बिट पासवर्ड की आवश्यकता होती है, लेकिन IV - AES-128-GCM को 128-बिट पासवर्ड और 12-बाइट IV की आवश्यकता नहीं होती है - ChaCha20 को 256-बिट पासवर्ड की आवश्यकता होती है और a 12-बाइट IV> aes:encrypt('THEPASSWORDIS123')>gcm:encrypt('THEPASSWORDIS123','andkrokeutiv') > cha:encrypt('THEPASWORDIS123THEPASWORDIS123','qlxmtosh476g') -- तीन सिफर के साथ फाइल डेटा को एन्क्रिप्ट करें > aesout = aes: final(fdat) > gcmout = gcm: final(fdat) > chaout = cha: final(fdat) -- एक स्ट्रीम सिफर आउटपुट बाइट-बाय-बाइट पैदा करता है, -- इसलिए सिफरटेक्स्ट की लंबाई प्लेनटेक्स्ट के समान होनी चाहिए > gcmout:len() 95040 > chaout:len() 95040 -- हम यहां GCM और Poly1305 के MAC कोड का उपयोग नहीं करेंगे, -- लेकिन प्रत्येक सिफर एक 128-बिट (16-बाइट) "चेकसम" का उत्पादन करता है - इसे समाप्त होने के बाद डिक्रिप्शन को प्रमाणित करने के लिए उपयोग किया जाता है, - यह पता लगाने के लिए कि इनपुट सिफरटेक्स्ट दूषित या हैक हो गया है - (मैक कुंजी पर निर्भर करता है, इसलिए ए हमलावर इसे नहीं बना सकता) > base.hex(gcm:getTag(16)) a70f204605cd5bd18c9e4da36cbc9e74 > base.hex(cha:getTag(16)) a55b97d5e9f3cb9a3be2fa4f040b56ef - सीधे 95040 "इमेज" बनाएं Misc.filetostr('/dev/random',#fdat) -- उन सभी को सेव करें - ध्यान दें कि हम एईएस-ईसीबी -- ब्लॉक सिफर आउटपुट को सटीक छवि लंबाई तक छोटा करते हैं, क्योंकि -- ईसीबी को मिलान करने के लिए पैडिंग की आवश्यकता होती है ब्लॉक आकार के साथ इनपुट आकार > Misc.strtofile(aesout:sub(1,#fdat),'aes.rgba') > Misc.strtofile(gcmout,'gcm.rgba') > Misc.strtofile(chaout,'cha. rgba') > Misc.strtofile(rndout,'rnd.rgba') === फ़ाइलों को एक नियमित छवि दर्शक में लोड करने के लिए, आपको उन्हें दोषरहित रूप से वापस PNG प्रारूप में बदलने की आवश्यकता हो सकती है: $ Convert -depth 8 -size 330x72 aes .rgba aes.png $ कन्वर्ट -गहराई 8-आकार 330x72 gcm.rgba gcm.png $ कन्वर्ट -गहराई 8-आकार 330x72 cha.rgba cha.png $ कन्वर्ट -गहराई 8-आकार 330x72 rnd.rgba rnd.png === यह देखते हुए कि एन्क्रिप्शन प्रक्रिया प्रत्येक RGBA पिक्सेल में सभी चार बाइट्स को स्क्रैम्बल करती है , परिणामी छवि में परिवर्तनशील पारदर्शिता है (ए = अल्फा, पारदर्शिता के लिए छोटा)।
 आपका छवि दर्शक इस प्रकार की छवि को चेकरबोर्ड पृष्ठभूमि के साथ प्रदर्शित करने का निर्णय ले सकता है, जो भ्रामक रूप से छवि के हिस्से की तरह दिखता है, लेकिन ऐसा नहीं है।  इसलिए हमने एन्क्रिप्टेड फ़ाइलों के लिए पृष्ठभूमि के रूप में मूल छवि से सोफोस नीले रंग का उपयोग किया ताकि उन्हें देखना आसान हो सके।  इसलिए समग्र नीला रंग छवि डेटा का हिस्सा नहीं है।