Zip-файл с passwd безопасностью?
У нас есть основанное на клиент-сервере приложение, которое сохраняет связанные с пользователями данные в zip-файл и устанавливает passwd на zip-файл программно. Просто удивление, если это можно было бы рассмотреть как безопасное. Спасибо N
4 ответа
«классическое» шифрование для Zip-файлов считается слабым. Быстро ломается известными методами. См .: « Известная атака открытого текста на поточный шифр PKZIP » для оригинальной статьи Бихама и Кохера от 1994 года. Да, 16 лет назад.
Совсем недавно были описаны другие эксплойты, например, в статье Еще одна атака с открытым текстом на схему шифрования ZIP (WinZIP) говорится, что зашифрованный файл с классическим zip-кодом с 3 записями , и созданный WinZip, на "Pentium" можно взломать за 2 часа. Это было основано на использовании уязвимости в тогдашнем инструменте WinZip v9.0 генератора случайных чисел.Я уверен, что сейчас это будет происходить намного быстрее на текущих процессорах, но в то же время я почти уверен, что WinZip, теперь с версией 12.0, устранил эту проблему в своем генераторе случайных чисел. Тем не менее, даже без эксплойта, специфичного для WinZip-v9, классическое шифрование ZIP остается слабым.
Это слабое шифрование zip, которое было взломано, также известно как «шифрование ZIP 2.0» или «шифрование PKZIP».
Многие современные инструменты ZIP также поддерживают шифрование AES записей ZIP. Это считается надежным шифрованием и достаточно безопасным (** см. Примечание). WinZip, XCeed и DotNetZip - три таких инструмента, которые поддерживают чтение и запись zip-файлов с этим уровнем шифрования. Среди этих трех DotNetZip - единственный бесплатный вариант.
Вы не упомянули библиотеку, которую используете для программного создания zip-файла. Если вы используете DotNetZip, создание ZIP-файла с шифрованием AES на C # так же просто:
using (var zip = new ZipFile())
{
zip.AddFile("MySensitiveFile.doc");
zip.Encryption = EncryptionAlgorithm.WinZipAes128;
zip.Password = "Very.Secret!";
zip.Save("MyEncryptedArchive.zip");
}
** примечание: Йоши опубликовал статью под названием Атака и восстановление схемы шифрования WinZip , в которой описаны эксплойты Шифрование AES WinZip, чтобы доказать, что шифрование AES WinZip небезопасно. Однако описываемые им подвиги основаны на социальной инженерии или предыдущих компромиссах, либо на обоих сразу. Например, основной эксплойт, описанный в документе, предполагает, что злоумышленник перехватывает зашифрованный zip-файл, модифицирует его, отправляет измененную копию предполагаемому получателю, заставляет получателя попытаться расшифровать его , а затем отправляет результат этого шифрования. обратно злоумышленнику , который затем может расшифровать исходный файл.Этот так называемый «эксплойт» включает в себя многочисленные «прыжки веры», основанные на предыдущем компромиссе перехваченной связи в обоих направлениях. Никто не описал никаких структурных эксплойтов WinZip AES наравне с эксплойтами классического шифрования ZIP.
Безопасно до какого уровня? Существуют программы, которые могут очень быстро взломать пароль шифрования на zip-файле, так что если он должен выдерживать какие-либо усилия, то нет.
Если это просто вопрос обеспечения того, что кто-то с паролем сможет открыть его и уберечь от случайных посторонних глаз, то возможно.
Если вы хотите иметь хоть какую-то разумную безопасность, я бы поискал возможность запечатать данные в zip-архив, а затем прогнать их через соответствующее программное обеспечение для шифрования, например gpg.
Вы должны задать себе пару вопросов.
- Где вы храните zip-файлы?
- Какие разрешения связаны с zip-файлом?
- Является ли пароль надежным паролем?
Обычно это хорошая привычка хранить данные пользователя в папку, которая находится вне корневого веб-сайта и не доступна напрямую. Генераторы паролей также доступны, и их следует использовать.
используйте 7zip, у него лучше защита паролем - и также отметьте опцию 'encrypt filenames'