it-swarm-tr.com

Windows parola korumalı bir Zip dosyası ne kadar güvenlidir?

Bir müşteriye bazı hassas bilgiler göndermem gerekiyor. Windows XP kullanarak oluşturduğum şifre korumalı bir Zip dosyasını e-postayla gönderebileceğimi ve sonra şifreyi çağıracağımı sanıyordum. şifre korumalı bir Zip dosyasının şifresini çözmek için?

40
Dave Aaron Smith

Parola korumalı bir Zip dosyası oluştururken (işletim sistemine "sıkıştırılmış klasör" yardımcı programı ile birlikte), Windows XP Zip dosyaları için "standart" şifreleme algoritmasını kullanır. Bu ev yapımı bir akış şifresidir. ve zayıftır . 13 baytlık bilinen düz metinle saldırının karmaşıklığı yaklaşık 2'dir.38 PC'de birkaç saat içinde yapılabilen işlemler. 13 bayt elde etmek nispeten kolaydır (örn. Arşivdeki dosyalardan biri bir görüntü ise, muhtemelen sıkıştırılmayacak ve bilinen bir başlık ile başlayacaktır). Sonuç, özellikle bir arşivdeki dosyalar ayrı olarak şifrelendiğinden, ancak uygun anahtar çeşitlendirmesi olmadan da iyileştirildi . Birkaç yıl önce (oldukça az şimdi, tempus fugit), Ivan Golubev tarafından bu bilimi iyi yapan bir şifre kırma yazılımı gördüm kullanın ve bir saat içinde Zip şifrelemesini kırabilir.

Zip şifrelemesine saldırı aslında:

  • kriptanalize güzel bir giriş;
  • programlamada iyi bir alıştırma;
  • kendi kripto paranızı yuvarlamamanız gerektiğini hatırlatmak isteriz. Phil Katz kendi alanında çok iyiydi, ancak dünyadaki en iyi kriptograflar size güvenli bir algoritma yapmanın çok iyi bir kriptografın çok daha fazlasını gerektirdiğini söyleyecek - çok kriptograflar ateşli bir şekilde tasarımlar önermek ve görünüşte sağlam bir tasarım ortaya çıkana kadar ("sağlam" anlamına gelmediği sürece, başkalarının tasarımlarını kırmaya çalışın, muhtemelen hiçbir şey yapamayacakları fikrini desteklemek için en ufak bir argüman bulamazlar) bazı belirtilmemiş bir tarihte ").

Şimdi, daha yeni, AES tabanlı şifrelemeyi destekleyen bir araç kullanırsanız, biçim ve uygulamanın engellenmemesi ve parolanın yeterli entropi olması koşuluyla işler daha iyi görünecektir. Ancak, bu tür Zip dosyaları stok WinXP Explorer tarafından açılmaz.

Harici bir araç gerekiyorsa, hem biçim belirtiminde hem de uygulamada güvenlik için kapsamlı bir şekilde analiz edilmiş bir araca güvenebilirsiniz; diğer bir deyişle, @ D.W. önerileri: GnuPG .


kendi şifresini çözen arşivlere gelince, hepsi yanlıştır, çünkü kullanıcıya kesinlikle hiç yapılmaması gerekeni yaparlar, yani bir yürütülebilir dosya başlatmak e-posta ile alındı. O yapar ona gönderdiğiniz kendi şifresini çözen bir arşivi açarsa, o zaman bu eylemle, vahşi İnternette dolaşan sayısız virüs/solucan/whatevers'a karşı savunmasız olduğunu gösterecektir. ve muhtemelen zaten keylogger'lar da dahil olmak üzere çeşitli kötü amaçlı yazılımlarla enfekte.

Yine de, özgü durumunuzda, kendi şifresini çözen bir arşivi makul hale getirmenin bir yolu vardır. Yine de yeni bir yazılım yüklemesi için istemcinize ihtiyacı var, ancak en azından doğrudan Microsoft'tan: Dosya Sağlama Toplamı Bütünlük Doğrulayıcısı - dosyayı hesaplayan bir araç için görkemli bir ad karmaları. Şifre çözme arşivini istemcinize gönderin ve onu bir dosya olarak kaydetmesini sağlayın ( olmadan elbette yürütmek). Ardından, dosyanın SHA-1 karmasını almak için üzerinde FCIV çalıştırmasını sağlayın. Aynısını senin için de yap. Son olarak, iki karmayı telefonla karşılaştırın (40 onaltılık karakteri dikte etmek zor değildir). İki karma eşleşirse, müşteriniz aktarım sırasında dosyanın değiştirilmediğini bilir ve dosyayı güvenle yürütebilir.

(Yani, müşteriniz size güveniyorsa ve sizin makinenin, çıkarken arşivi enfekte edebilecek virüsle dolu saat olmadığına güveniyorsa.)

46
Thomas Pornin

Hassas veriler için şifre korumalı Zip veya 7Zip arşivlerini kullanmak konusunda biraz isteksiz olurum. Kullandıkları şifrelemenin mevcut sürümleri bağımsız araştırmacılar tarafından iyi incelenmemiş veya incelenmemiş. Yazılımın eski sürümlerinde güvenlik endişeleri vardı, bu da endişe kaynağıdır. Yeni sürümler iyi olabilir, ancak bağımsız olarak gözden geçirilmedikleri için, onlara çok güvenmek konusunda isteksizim. İdeal olarak, GPG veya PGP gibi bir şey daha iyidir.

Lütfen bir şifre ile şifrelemenin zayıf olduğu konusunda uyarınız. Çoğu kişi çevrimdışı aramaya karşı güvende olmak için yeterli entropi içermeyen parolaları seçer (ör. Sözlük saldırısı, kapsamlı arama). Ayrıca, uzun ve güçlü parolaların kullanımı elverişsizdir, bu da onlara karşı daha caydırıcıdır.

İnsanlara kendi kendine ayıklanan .exe dosyaları göndermekten kaçınmanızı öneririz. Bu bir güvenlik riski. Kişilere kendi kendine ayıklanan .exe dosyaları gönderdiğinizde, onlara e-posta ile bir .exe eki alma ve çalıştırma konusunda eğitim veriyorsunuz. Bu, güvenlik açısından çok tehlikeli bir uygulamadır. Zip ve 7Zip'in bu uygulamayı teşvik ettiği gerçeği, güvenlik için bir saygısızlık işareti.

Parola tabanlı şifreleme kullanmanız gerekiyorsa, öneririm: GPG veya PGP kullanın (ör. gpg -c). GPG şifrelemesinin güvenliği iyi çalışılmıştır ve güçlüdür. Uzun, güçlü bir parola kullanın: ör. Kriptografik olarak rasgele bir parola oluşturmak için bir yardımcı program kullanın. Yaklaşık 14-16 rasgele karakter uzunluğunda, herhangi bir desen içermeyen bir şifre istiyorsunuz.

Bu muhtemelen müşterinizin kullanması için en kolay seçenek olacaktır ve bu da güçlü bir koruma sağlar.

Ek güvenlik istiyorsanız, şifrelenmiş verileri bir CD veya DVD'de saklayın ve ardından CD veya DVD'yi Fedex ile gönderin (e-posta yerine). Bu şekilde, iki güvenlik katmanı elde edersiniz: birisi yalnızca CD veya DVD'ye erişebiliyorsa ve şifresini çözmek için parolaya sahipse verileri çalabilir.

İstemcileriniz PGP veya GPG'yi kullanmada sorun yaşıyorsa, Zip veya 7Zip'in şifre şifrelemesinin yeni bir sürümünü kullanabilirsiniz. Bu durumda, kendi kendine ayıklanan bir .exe dosyasını önleyeceğim ve muhtemelen şifrelenmiş verileri Internet yerine posta yoluyla (CD veya DVD'de) göndermeye daha meyilli olacağım.

Alternatif olarak: Müşteriniz teknik olarak bilgili ise ve onlarla sık iletişim kuruyorsanız, başka bir seçenek de rastgele bir genel anahtar çifti oluşturmak için GPG veya PGP kullanmalarını sağlamak, size genel anahtarlarını göndermek ve ardından verileri açık anahtarları altında şifreleme. GPG veya PGP'nin nasıl kullanılacağını biliyorlarsa, bu daha güçlü bir güvenlik sağlayacaktır. Bununla birlikte, ortalama bir müşteriye bir parça veri göndermek daha az sezgiseldir ve muhtemelen mümkün değildir.

6
D.W.

Şifre korumalı bir Zip dosyasının şifresini çözmek o kadar da zor değil. Parolayı bulmak veya parolayı kaldırmak için çok sayıda uygulama var.

Oranlar, hiç kimsenin sizinle aralarındaki e-postayı ele geçirmeyeceğidir. Genel e-posta sunucuları arasında büyük miktarda veri akışı vardır. E-postaya bir şifre koymak muhtemelen yeterince iyidir. Daha güvenli bir şeye ihtiyacınız varsa, ekin gönderildiği e-postayı şifrelemeye bakın veya dosyayı bırak kutusu gibi güvenli bir bırakma konumuna gönderin (evet, birkaç hafta önce yaşadıkları sorunun farkındayım) ve gönderin Bağlantı.

4
mrdenny

Şifre korumalı Zip dosyalarını geçici bir şifreleme mekanizması olarak kullandım (mümkün olduğunda GPG kullanmayı tercih etsem de). Çok Zip dosyaları için şifre kurtarma yapılır, ancak geçerli bir sürümünü kullandığınız sürece, tek pratik kurtarma mechansim kaba kuvvettir. Hem 7-Zip hem de Winzip'in AES-256'yı desteklediğine inanıyorum. İstemcinizde zaten Winzip varsa, bunu kullanırdım (sadece "Eski" şifreleme değil AES kullandığınızdan emin olun).

Bunu kullanmanın en önemli yönü şifrenizdir (en az 16 karakterden oluşan bir parola öneririm, bazı özel karakterleri atarım). Parola, kaba kuvvetin zor olması avantajına sahiptir ve bunu telefon üzerinden nispeten kolaylıkla değiştirebilirsiniz.

Bu hiçbir şekilde mükemmel bir mekanizma değildir, ancak amaçlarınız için yeterince iyi olabilir (verilerin hassasiyetine bağlı olarak).

4
Andrew

Çift GTX 295s ile 4 karakterlik bir şifre bir saatin altında kurtarılabilir.

http://is.hut.vn/~phongph/uploads/publications/1277074631.pdf

1
Jodie C