it-swarm.dev

I file Zip protetti da password possono essere rotti senza forza bruta?

Hai un file Zip che hai creato con 7z per proteggerlo con password con AES 128. Un avversario intelligente può estrarre i dati solo attraverso la forza bruta o è il file vulnerabile ad altri attacchi - come, non lo so, essendo in grado di bypassare la password ed estrarre i dati?

26
Strapakowsky

I file zip sono crittografati con AES-256 e la chiave viene derivata utilizzando una funzione di derivazione della chiave lenta (KDF), che rende generalmente impossibili gli attacchi bruteforce e dizionario. Non ci sono attualmente modi noti per aggirare la crittografia.

17
Polynomial

Nel significato diretto, hai menzionato ( estrazione dei dati), no. Tuttavia, tieni presente che qualsiasi programma (o utente), in qualsiasi archivio Zip protetto da password, può ( senza conoscere la password ):

  • sfoglia l'elenco dei file,
  • controlla i tipi di file1.

I file zip possono anche essere " rotto" nel senso che puoi sovrascrivere file esistenti, protetti da password, archiviati all'interno di file Zip, con un altro file, chiamato lo stesso, senza conoscere la password.

Tutte queste operazioni menzionate non danno accesso all'attaccante ai contenuti (non è ancora in grado di estrarre i dati), elencarli o distruggerli. Quindi sto citando questo solo come un possibile effetto collaterale di cui potresti non essere consapevole. Alcune persone trattano questo come una perdita di sicurezza, affermando che per questo motivo i file Zip non sono sicuri, ma altri ritengo che la sicurezza non sia violata, anche con queste "aggiunte" menzionate.

Poiché il contenuto del file Zip può essere modificato, senza conoscere la password, sostituendo un file protetto da password con un altro, possiamo parlare di completa insicurezza in termini psicologici (ingegneria sociale, hacking ecc.). L'attaccante può modificare il contenuto del file Zip, senza conoscere la password e dichiarare alla propria vittima che è invariato. La vittima, senza sapere sopra menzionata effetti collaterali, può erroneamente presumere che l'archivio non sia stato modificato o che il suo contenuto non sia alterato, poiché lui o lei (la vittima) è l'unica persona , che conosce la password.

Qui hai la mia semplice domanda sulla sicurezza dei file Zip, che si è rivelata un'ottima lettura, con molte risposte e commenti utili.

1Prova a inviare Zip crittografato e protetto da password contenente file EXE tramite Gmail per vedere questo "in azione". Gmail sarà in grado di rilevare che stai inviando un file eseguibile (e ti impedisce di farlo) anche se non conosce la password, con cui Zip è protetto. Nota a margine: è anche divertente e sorprendente che rinominare lo stesso file, dandogli un'estensione diversa (cioè file.not-Zip) può disarmare completamente questo meccanismo di "protezione" e consentire di inviare archivi contenenti file eseguibili. Divertente, perché Gmail è in grado di "spezzare" Zip crittografato e protetto da password per "salvare" l'utente dall'invio di file eseguibili, ma "muore" completamente alla ridenominazione dei file.

18
trejder

No, per quanto ne so, non ci sono vettori di attacco attualmente disponibili oltre a forzare la password.

4
Xander