برچسب: zip

با استفاده از رمزنگاری PKZIP 2.0 اصلی (که به اصطلاح «رمزنگاری سنتی» یا «بومی» نامیده می شود)، در بخش 6 از مشخصات فرمت فایل ZIP توضیح داده شده است. این بر اساس استفاده از CRC32 برای مخلوط کردن رمز عبور، (امیدوار) بذر تصادفی و فایل فشرده است. این امن نیست؛ حداقل آن آسیب پذیری های جدی را به حملات شناخته شده متن (به این پاسخ crypto.se برای خلاصه) مراجعه کنید.

این بر مبنای: نگاه کردن به کد منبع اپل برای ZIP است. README.CR می گوید:

کد رمزگذاری یک رونوشت مستقیم از الگوریتم از
  راجر اسلافی، توسط فیل کتز در فایل appnote.txt شرح داده شده است. این
  فایل با برنامه PKZIP توزیع شده است (حتی در نسخه
  بدون قابلیت رمزگذاری). توجه داشته باشید که رمزگذاری خواهد شد
  احتمالا در صورتی که رمز عبور به خوبی انتخاب شده باشد، مقاومت در برابر حملات آماتورها باشد
  به اندازه کافی بلند (حداقل 8 حرف) اما احتمالا مقاومت نخواهد کرد
  حملات توسط کارشناسان. پل کچر اطلاعات موجود در اختیار شما قرار داده است
  در مورد یک حمله شناخته شده ساده برای طرح رمزگذاری PKWARE؛
  برای جزئیات بیشتر به نشانی http://www.cryptography.com/ مراجعه کنید.) گذرواژههای کوتاه
  متشکل از حروف کوچک تنها می تواند در چند ساعت بهبود یابد
  در هر ایستگاه کاری اما برای رمزنگاری گاه به گاه طراحی شده برای نگه داشتن شما
  مادر از خواندن نامه های شما، درست است.

توجه داشته باشید که فایل می گوید آخرین بار در سال 2008 به روز شد، پس وقتی درباره بهبود رمز عبور "در چند ساعت در هر ایستگاه کاری" صحبت می کند، صحبت از سخت افزار ده ساله است. من کمی در مورد چه نسخه ای از Zip اپل در واقع استفاده می شود اشتباه است. README.CR به نظر می رسد که آن را v2.31 است، اما WHATSNEW ویژگی های جدید در Zip v3.0 بتا (و می گوید AES برای V3.1 برنامه ریزی شده است). در هر صورت، آن بسیار قدیمی است.

به عنوان پشتیبانی بیشتر، فایل crypto.c (در حالی که کمی سخت به دنبال) به وضوح با استفاده از CRC32 برای فرایندهای رمزگذاری / رمزگشایی، و تنها اشاره به AES در چند فایل است که می گویند آن را برای یک نسخه بعد برنامه ریزی شده است.

اوه، و من نیز سعی کردم یک فایل رمزگذاری شده با آن، و سپس نگاهی به رها کردن سحر و جادو. این شامل 0x0017 نمی شود، که ID هدر برای "هدر رمزنگاری قوی" است. این دارای بیش از 12 بایت اطلاعات دانه (بخشی از فرمت "بومی") همراه با هر فایل است. بنابراین کد منبع و README مطابقت دارد

خلاصه: از آن استفاده نکنید. من برای سرویس های شخص ثالث Zip که از رمزنگاری مدرن پشتیبانی می کنند نگاه می کنم، اما من به اندازه کافی آشنا نیستم با هر یک از آنها برای ارائه توصیه ها.

برای ارسال یک فایل به صورت ایمن، میخواهم یک فایل زیپ را رمزگذاری / رمز عبور کنم. (چرا من این کار را انجام می دهم) من از macOS Sierra 10.12.6 استفاده می کنم و از طریق تحقیقاتم نتیجه گرفتم که رمزگذاری یک فایل زیپ به روش زیر در macOS انجام می شود،

zip -e [newzip] .zip [myFile]. [extension]

این کاملا کار می کند اما من می خواهم اطمینان حاصل کنم که الگوریتم / روش مورد استفاده برای رمزگذاری رمز امن است. متاسفانه من نمی توانم اسنادی در مورد الگوریتم / روش پیدا کنم که دستور zip برای رمزگذاری استفاده می کند، چه AES-256bit، AES-128bit و چه چیزی کاملا متفاوت است.

مرد صفحه از زیپ هیچ کمکی نیست:

 -e
       - رمزگذاری
              محتویات بایگانی زیپ را با استفاده از رمز عبور کدگذاری کنید
              در پاسخ به یک فورمه در ترمینال وارد می شود (این خواهد بود
              نترس اگر خطای استاندارد یک tty نیست، زیپ خارج می شود
              با یک خطا) فورمه رمز عبور برای ذخیره کردن تکرار می شود
              کاربر از خطاهای تایپ کردن

لطفا در پاسخ خود الگوریتم مورد استفاده را که یک منبع احتمالی برای این اطلاعات است استفاده کنید و اگر آن AES-256bit / AES-128bit نیست، پس چگونه الگوریتم / روش امن است.

Note : امیدوارم این سایت صحیح باشد تا از این سوال بپرسد. همانطور که در مورد امنیت است. اگر اینطور نیست، لطفا برای مهاجرت به AskDifferent پرچم کنید.

با تشکر،

جاش