CN106778292A

CN106778292A - 一种Word加密文档的快速还原方法

Info

Publication number: CN106778292A
Application number: CN201611052104.2A
Authority: CN
Inventors: 张李军; 吉庆兵; 于飞; 谈程; 罗杰; 陈曼
Original assignee: CETC 30 Research Institute
Current assignee: CETC 30 Research Institute
Priority date: 2016-11-24
Filing date: 2016-11-24
Publication date: 2017-05-31
Anticipated expiration: 2036-11-24
Also published as: CN106778292B

Abstract

本发明公开了一种Word加密文档的快速还原方法法，包括如下步骤：步骤一、建立还原Word文档的密钥彩虹表；步骤二、破译密文文档的解密密钥；步骤三、利用解密密钥和Word文档的结构信息重构出原始明文文档。本发明的积极效果是：用于破解密钥的彩虹表只需要生成一次，生成后的彩虹表通用于所有密文文档的还原；与密文文档的加密口令复杂度无关，避免了现有文档破解方法中长口令无法破解的缺点；能有效地还原2003版本的Word加密文档，成功率在99％以上；能快速还原加密文档，经测试在普通台式机的计算能力下(主频在3.0GHz以上)，密文文档的平均还原时间在3分钟以内，可以很好地满足实时解密的实际需求。

Description

一种Word加密文档的快速还原方法

技术领域

本发明涉及一种Word加密文档的快速还原方法。

背景技术

微软公司开发的Word办公文档是目前人们广泛使用的文字处理工具，而文档内容的安全性和隐私保护已经成为用户最基本的需求。Word文档使用了加密技术来对文档进行限制性的访问，加密后只有输入正确的口令(日常生活中也称密码)才能查看和编辑文档的内容，这给用户数据提供了必要的安全保障。然而，随着口令的在各种加密应用中的大量使用，用户遗忘口令的情况也常常出现。如果一旦忘记了某些重要Word文档的密码，则无法打开文档，将给用户带来很大的麻烦或损失。另一方面，加密的Word文档也给国家安全部门在案件的侦查和取证工作中带来了困难。因此Word加密文档的破译和还原技术有着重要的实际应用价值。

Word加密文档最早的破译方法是通过安全漏洞，早在2004年就有人匿名地给出了通过漏洞利用来修改文档的加密保护措施的方法，达到获取文档访问权限的目的。2005年，Wu等人指出了Word文档中核心的RC4加密算法在加密具体实施时的使用方式不当，即使用了相同的密钥流为同一文件的不同版本加密。这使得理论上可以用更简单的逻辑异或算法来解密文件内容。可是实际中要利用这些安全漏洞来还原出文件内容还是比较困难，这是因为要解密文档内容需要得到同一文件的不同版本，这样的条件在实际中难以满足。2008年微软公司公开了Word文档的存储结构和加密算法，使得可以通过破解文档的口令来打开加密后的文档。实际上现有的Word文档还原方法几乎都是通过穷举加密文档可能的口令来进行破译，比较有名的软件有俄罗斯Elcomsoft公司的Advanced Office PasswordRecovery软件以及Passware公司的Password Recovery Kit软件。但这种暴力破解的方法仅对短口令有效，对应比较长且复杂的口令，由于搜索的口令空间非常大，破解很费时，很难在实际可接受的时间内恢复口令，从而无法完成明文文档的还原。因此设计一种与加密口令长度无关的破译方法成了研究的热点方向。杭州电子科技大学的陈勤等人在这方面进行了探索，提出利用时空折中攻击来进行Word加密文档的破译，但它们的成果仅限于恢复出中间加密密钥，没有给出最终明文文档的还原方法。进一步，方海英等人利用同样的方法将Word文档的中间加密密钥的恢复算法在Hadoop集群环境进行了实现，较大地提高了算法的运行效率。北京邮电大学的李筱筱等人研究了在CPU和GPU异构高性能平台上的RC4算法的快速实现，但成果仅用于PowerPoint文件的口令破解，没有给出Word文档的还原方法。

综合看来，当前Word加密文档的还原方法基本还是依靠暴力破解口令的方式，虽然采用口令字典攻击的方式能提升破解的成功率，但还存在以下主要问题：

(1)难以破解复杂度较高的口令。若加密文档采用的口令复杂度较高，比如口令长度较长或口令字母采用了多种类型的混合方式，此时尝试的口令空间很大，实际中难以进行破解。

(2)口令破解的时间较长，不能满足实际时效需求。实际中加密文档的口令破解时间越短越有实用价值，有时甚至要求对文档进行实时破译。现有方法的口令破解速度难以满足这样的实际需求。

(3)加密文档还原的成功率不高。通过对现有破解工具的测试发现加密文档还原的成功率并不高，不能保证能对目标加密文档进行成功破解。

(4)新的还原方法尚不完整。时空折中攻击是一种针对Word加密文档的新的还原方法，但目前的成果仅能破译出加密过程中间阶段的密钥，没有给出如何还原出最终明文文档的方法。

发明内容

为了克服现有技术的上述缺点，本发明提供了一种Word加密文档的快速还原方法，主要解决如下技术问题：

(1)区别于传统的基于口令破解的文档还原方式，该还原方法与口令复杂度无关，解决当前复杂口令无法破解而导致的加密文档无法还原的问题。

(2)能在确定的时间内还原出明文文档，解决当前文档破解时效性不能满足实际需求的问题。

(3)能以99％以上的成功率还原出明文文档，解决当前还原方法成功率不高的问题。

(4)给出了完整的文档还原过程，弥补了当前时空折中攻击方法只能恢复出中间加密密钥的缺陷。

本发明解决其技术问题所采用的技术方案是：一种Word加密文档的快速还原方法法，包括如下步骤：

步骤一、建立还原Word文档的密钥彩虹表；

步骤二、破译密文文档的解密密钥；

步骤三、利用解密密钥和Word文档的结构信息重构出原始明文文档。

与现有技术相比，本发明的积极效果是：

(1)用于破解密钥的彩虹表只需要生成一次，生成后的彩虹表通用于所有密文文档的还原；

(2)该还原方法与密文文档的加密口令复杂度无关，避免了现有文档破解方法中长口令无法破解的缺点；

(3)该方法能有效地还原2003版本的Word加密文档，成功率在99％以上；

(4)该方法能快速还原加密文档，经测试在普通台式机的计算能力下(主频在3.0GHz以上)，密文文档的平均还原时间在3分钟以内，可以很好地满足实时解密的实际需求。

附图说明

本发明将通过例子并参照附图的方式说明，其中：

图1为Word加密文档还原的整体流程示意图；

图2为Word文档加密原理示意图；

图3为彩虹表的计算和存储流程示意图；

图4为利用彩虹表破译解密密钥的流程示意图；

图5为Word文档的物理存储结构示意图；

图6重构Word明文文档过程示意图。

具体实施方式

本发明提出一种Word加密文档的明文快速还原方法，可用于2003版本及之前的Word加密文档的还原，如图1所示，该方法主要包括以下三个步骤：

步骤一：建立还原Word文档的密钥彩虹表。根据微软发布的Word文档的加密原理可知，Word采用RC4密码算法对文档的数据加密。RC4算法的加密密钥由用户输入的口令产生，首先经过密钥导出函数(记为KDF)计算得到5字节的初始密钥，然后根据Word文档中每个512字节的数据块的位置编号进行填充后，再用MD5哈希算法计算出作为RC4算法的加密密钥(16字节)，最后由RC4算法加密产生与每块数据长度相同的密钥流进行异或得到相应的密文(整个加密过程如图2所示)。

现有的Word加密文档破解方法是从用户口令的角度进行尝试，口令越长，搜索的空间越大，破解时间就越长。当用户选择了一个复杂度较高的口令时(比如当用户口令包含数字，大小写字母以及特殊字符，且长度大于8位)，破解成功的概率很低。但我们从文档加密过程发现，不管用户输入的口令长度多少，最终的安全强度只取决于决定RC4加密密钥的5字节的初始密钥。因此我们可以直接尝试破解这40比特的初始密钥。该破解方法与用户口令复杂度无关，具有显著的优势。

通过进一步研究我们发现，未加密的Word文档从0x400偏移处(对应于数据块编号0x01)开始的8字节明文p固定为全零字节0x00。记初始密钥为k，RC4算法对应于k和块号0x01产生的密钥流为ks，因为密文是明文和密钥流字节的异或，即c＝p XOR ks，而明文字节p全为0x00，所以此时密文c与密钥流ks相同。正是因为明文p的这一特点，我们可以使用彩虹表攻击来破译初始密钥k。

彩虹表攻击是一种时空折中算法，利用离线预计算得到的存储数据来减少在线攻击阶段的分析时间。针对密码算法E和已知的固定明文p，攻击目标是对给出的目标密文c，获取密钥k满足E_k(p)＝c。要进行彩虹表攻击，首先要根据具体的加密算法E建立彩虹表，计算过程如下：

选择密钥空间K中m个起始点S₁，S₂，…，S_m，定义从密文空间C到密钥空间K的约化函数R：C→K，以及复合函数F(k)＝R(E_k(p))。利用函数F对这m个起始点S_i进行计算，得到m条链，计算完成后只存储起点和终点对(S_i，E_i)，由此得到的表就是所要建立的彩虹表(如图3所示)。

彩虹表生成时，为了提高链中出现的所有密钥在密钥空间的覆盖率，每条链中各个位置的约化函数R是不同的，从而函数F也是不同的。具体地，我们建立目标单向函数E_k(p)＝c，即40比特的密钥k映射到64比特的伪随机密钥流ks。约化函数R_i(x)＝(x+t_i)mod2⁴⁰，其中x为64比特的数，t_i为彩虹链中节点的位置。在存储方面，优化的彩虹表攻击中使用完美彩虹表，即表中的链没有相同的终点。彩虹表具体建立时其中有几个重要的参数，如彩虹表的个数n、每个表的链数m、链长t，它们可以在要求的成功率s、存储空间M和密钥空间N之下对应地计算出来。具体地，最佳参数计算公式如下：n＝-ln(1-s)/2，m＝M/n，t＝-(N/M)ln(1-s)。对于Word加密文档的密钥破解，相应的参数为：密钥空间N＝2⁴⁰，假定期望的成功率为s＝99.9％，通过上述完美彩虹表的相关参数公式计算得出，需要生成n＝4个表，每个表含m＝5400万条链，链长t＝36000，总共需要的存储空间为3.2GB。

步骤二：破译密文文档的解密密钥。Word文档的密钥彩虹表建立之后，我们就可以利用彩虹表攻击技术来破译出密文文档的解密密钥，即步骤一中的初始密钥k。攻击时，读取Word文档的0x400偏移处的8字节数据作为目标密文C₀，首先将约化函数R作用于C₀得到密钥Y₁，然后利用函数F从Y₁开始不断进行迭代，每迭代一次就将计算结果Y_s与存储的终点E_i进行比对，直到有相同的匹配为止。找到匹配后，将匹配的链从起点S_j开始重新生成该链并得到密钥k＝X_j(t-s)＝F^(t-s-1)(S_j)，并验证等式E_k(p)＝C₀是否成立。若成立，则密钥k正确，否则继续寻找匹配再次计算密钥。实际中，这种在匹配的链中得到的密钥k不正确的情况称为假警，原因是从Y₁生成的链与彩虹表中其他某条链相重合，但彩虹表中这条链却并不包含k。在实际测试中发现，假警的出现是无法避免的，但并不妨碍我们最终找出正确的解密密钥k(如图4所示)。

步骤三：重构出对应的明文文档。步骤二中破译出解密密钥k后，我们就可以利用该解密密钥和文档结构信息重构出原始明文文档。注意该解密密钥k并不是用户口令，而只是一个中间密钥，不能作为口令打开密文文档。

首先我们需要弄清Word文档的结构。Word文档采用的是微软复合文档结构，这是一种结构化的存储文件，格式比较复杂，可以包含多种不同格式的元数据，如图片，音频，视频等数据。逻辑上，复合文档就是一个文件系统，由存储(storage)和流(stream)组成，其中storage类似于文件系统中的目录，stream类似于文件。Root storage就相当于文件系统的根目录。所有的stream又分成更小的数据块，称为数据扇区(sector)。具体地，一个典型的带有图片的Word文档有如下五个流：Data中存放图片数据(Word文档中只有带有图片才会有该stream)，1Table中存放数据表内容。CompObj中存放通用的对象，WordDocument中是文本数据，存放实际的文字和格式化信息，SummaryInforamtion存放摘要信息，DocumentSummaryInformation存放其他的摘要信息。物理上，Word文档的整个文件由一个文件头(header)结构以及其后的所有扇区(sectors)组成。每个Sectors的大小都相同，其大小在头中确定。一个扇区的索引(从0开始)叫做扇区标识SID(Secror IDentifier)。这些扇区可以是无序的，因此用于指定一个流的所有扇区的顺序的SID数组就称为扇区链(SIDChain)，即实际用于存储的数据所有sectors的列表(如图5所示)。

通过研究Word文档的明密文结构，我们发现当Word文档被加密时，并没有加密文档中所有的数据。只有1Table，Data，WordDocument等带有文本、图片等数据的stream才会被加密。因此在对Word的密文文档进行解密时，首先应根据Word文档的结构提取这些加密stream的扇区号，然后对这些扇区的数据进行解密，未加密的部分保持不变，最后重构出原始的明文文档。加密数据的扇区号和扇区链可以从文件头中获取。文件头中的数据主要是一些版本和整个文件的参数信息，比如扇区大小，扇区总数，扇区起始位置等。在文件的开始是文档头，其大小为定长512字节。这就是说第一个sector的开始相对文件的偏移量为512字节。我们列出文档重构时需要用到的文件头中的重要参数，如下表所示：

偏移量	大小	内容
			0	8	文档固定标识(十六进制)：D0 CF 11 E0 A1 B1 1A E1
28	2	大小端规则标识，通常为FE FF
			30	2	文档sector的大小，2的幂次
32	2	文档short sector的大小，2的幂次
			44	4	存放扇区配置表SAT的sector总数
48	4	存放目录流的第一个sector的SID
			60	4	存放短扇区配置表(SSAT)的第一个sector的SID
64	4	存放短扇区配置表SSAT的secotr总数
			68	4	存放主扇区配置表MSAT的第一个sector的SID
72	4	存放主扇区配置表MSAT的sector总数
			76	436	存放主扇区配置表MSAT的第一部分，包含109个SID

根据解密密钥k和上述的明密文文档结构，我们给出重构Word明文文档的方法：

(1)根据主扇区配置表(记为MSAT)还原出扇区配置表(记为SAT)。

(2)根据文档的文件头读取加密的目录流的起始扇区编号(记为DirSid)。

(3)根据每个加密目录流起始扇区编号在扇区配置表SAT中还原出该加密目录对应数据的扇区链(记为CSID)。

(4)根据扇区链CSID定位扇区的物理存储位置，并读取每个扇区的数据。

(5)根据40比特的解密密钥k计算出RC4解密密钥流ks，完成数据的解密。

(6)在文件开头和末尾添加文档中未加密的部分并修改文件的加密标识字节，这就完成了对应的明文Word文档的重构。重构出的明文文档可以直接打开，不再需要输入口令，整个过程如图6所示。。

Claims

1.一种Word加密文档的快速还原方法法，其特征在于：包括如下步骤：

步骤一、建立还原Word文档的密钥彩虹表；

步骤二、破译密文文档的解密密钥；

2.根据权利要求1所述的一种Word加密文档的快速还原方法，其特征在于：步骤一所述建立密钥彩虹表的方法为：选择密钥空间K中m个起始点S₁，S₂，…，S_m，定义从密文空间C到密钥空间K的约化函数R：C→K，以及复合函数F(k)＝R(E_k(p))，其中：目标单向函数E_k(p)＝c；利用函数F对m个起始点S_i进行计算，得到m条链，计算完成后存储起点和终点对(S_i，E_i)，由此得到的表即为密钥彩虹表。

3.根据权利要求2所述的一种Word加密文档的快速还原方法，其特征在于：每条链中各个位置的约化函数R_i(x)＝(x+t_i)mod 2⁴⁰，其中x为64比特的数，t_i为彩虹链中节点的位置。

4.根据权利要求2所述的一种Word加密文档的快速还原方法，其特征在于：所述彩虹表的个数n、每个表的链数m、链长t的计算公式如下：n＝-ln(1-s)/2，m＝K/n，t＝-(K/M)ln(1-s)，其中：s为期望的成功率、M为存储空间、K为密钥空间。

5.根据权利要求2所述的一种Word加密文档的快速还原方法，其特征在于：步骤二所述破译密文文档的解密密钥的方法为：读取Word文档的0x400偏移处的8字节数据作为目标密文C₀，首先将约化函数R作用于C₀得到密钥Y₁，然后利用函数F从Y₁开始不断进行迭代，每迭代一次就将计算结果Y_s与存储的终点E_i进行比对，直到有相同的匹配为止；找到匹配后，将匹配的链从起点S_j开始重新生成该链并得到密钥k＝X_j(t-s)＝F^(t-s-1)(S_j)，并验证等式E_k(p)＝C₀是否成立：若成立，则密钥k正确，否则继续寻找匹配再次计算密钥。

6.根据权利要求1所述的一种Word加密文档的快速还原方法，其特征在于：步骤三所述利用解密密钥和Word文档的结构信息重构出原始明文文档的方法为：首先根据Word文档的结构提取1Table、Data和WordDocument加密stream的扇区号，然后对这些扇区的数据进行解密，未加密的部分保持不变，最后重构出原始的明文文档。

7.根据权利要求6所述的一种Word加密文档的快速还原方法，其特征在于：根据解密密钥和明密文文档结构，重构Word明文文档的方法为：

(1)根据主扇区配置表还原出扇区配置表；

(2)根据文档的文件头读取加密的目录流的起始扇区编号；

(3)根据每个加密目录流起始扇区编号在扇区配置表中还原出该加密目录对应数据的扇区链；

(4)根据扇区链定位扇区的物理存储位置，并读取每个扇区的数据；

(5)根据40比特的解密密钥k计算出RC4解密密钥流ks，完成数据的解密；

(6)在文件开头和末尾添加文档中未加密的部分并修改文件的加密标识字节，完成对应的明文Word文档的重构。