Чи шифрування zip насправді погано?

Протягом багатьох років стандартною порадою щодо стиснення та шифрування було те, що міцність шифрування zip є поганою.

Це справді так у цей день та вік?

Я читав цю статтю про WinZip (вона мала таку саму погану репутацію). Відповідно до цієї статті проблема усунена, якщо вибираєте пароль, дотримуючись кількох правил.

1. Не менше 12 символів
2. Будьте випадкові, не містять словника, загальних слів чи імен
3. Принаймні один верхній регістр символів
4. Майте принаймні один нижній регістр символів
5. Майте хоча б один цифровий символ
6. Майте принаймні один спеціальний символ, наприклад $, £, *,%, & ,!

Це призведе до roughly 475,920,314,814,253,000,000,000 possible combinations to brute force

Надайте останні (скажімо, останні п'ять років) посилання, щоб створити резервну копію вашої інформації.

Слабкість старого шифрування пояснювалася слабкістю обраного алгоритму шифрування .

Сьогодні можна використовувати галузеве шифрування за допомогою " AES ", яке використовується скрізь (і піддається сильній атаці, але, як здається, досить важко атакувати). Як зазначається на сайті, який ви цитували: найслабше місце знаходиться в парольній фразі, і правила, які ви згадали, особливо вирішують цю проблему.

Правила тези не застосовуються до парольної фрази для старого шифрування, оскільки це старе шифрування саме по собі було дуже слабким, незалежно від того, виберете хороший пароль чи ні.

Заява "Проблема усунена через ..." не відповідає дійсності, оскільки реальним рішенням безпечного шифрування ZIP-файлів є вибір сильного алгоритму шифрування І надійного пароля. Найсильніший пароль нічого не вартий, якщо алгоритм шифрування слабкий.

Читайте також http://www.info-zip.org/FAQ.html#crypto та http://www.topbits.com/how-can-i-recover-a-zip-password.html

Симетричне шифрування проблематично. Добре і добре сказати: "Просто використовуйте Waq3 $ f ^ t> p ~ 6pWr як свій пароль, і ви добре!" але ви залишаєте величезні двері відкритими для соціальної інженерії та необережності користувачів.

Тому я б сказав, гіпотетично , припускаючи пароль першого класу, ви добре використовуєте симетричні зашифровані ключами програми zip, які пропонують перевірені алгоритми шифрування , але в реальному світі залежність від міцності пароля - це величезна слабкість.

@Akira: Я не сказав, що це погано , я сказав, що це проблематично, і це так. При шифруванні відкритим ключем (несиметричним) ви маєте постійний рівень безпеки. Якщо у вас є 1024-бітний ключ, ваші дані 1024-бітові зашифровані.

За допомогою симетричного шифрування ключів у вас може бути захищена богоподібна безпека (1024 символьні паролі) або нікчемна безпека (1-символьний пароль), і у вас немає контролю над тим, з чим ви збираєтеся в кінцевому підсумку.

(Примітка: я не намагався говорити про компрометовані ключі, оскільки це впливає на обидва методи однаково)

@Nifle: Погоджено. Обмін ключами - це проблема криптовалюти з відкритим ключем, але це набагато більш надійний метод. Я схильний рекомендувати проти симетричного шифрування ключа, оскільки це змушує людей думати, що вони в безпеці, коли вони можуть не бути.

@Akira: Не впевнений, про що ти говориш, відверто кажучи. Тільки тому, що приватні ключі часто захищені парольною фразою як додатковою гарантією, не означає, що симетричне / асиметричне шифрування - "використання симетричних ключів для реального шифрування". Асиметричне шифрування використовує два різні ключі: один для шифрування, один для дешифрування. А виклик зміїної олії з більш високим бітом в кращому випадку є рішучим: якби це було, то aes128 був би таким же, як і aes256.

І порівняння одноразового майданчика з будь-якими машинними криптовалютами відображає найгірший вид незнання. Вони безпечні, оскільки це чистий випадковий шум такого типу, який комп'ютери за своєю суттю не в змозі видавати. Ви говорите про це, оскільки один вид симетричного шифрування ключа захищений, то всі види симетричного шифрування ключа захищені, що є цілковитою помилкою. І що ще гірше, ти тримаєш otp проти асиметричного шифрування, коли у них ТОЧА та сама проблема обміну ключами!