Quanto sono sicuri gli archivi WinRAR protetti da password?

8

Il Web sembra essere invaso da strumenti per la rimozione delle password. Sono comunque dall'altra parte. Sono interessato alla sicurezza dei miei file.

Se ho un archivio WinRAR (> 1 Mbyte) e utilizzo una password (> 6 caratteri con caratteri non alfanumerici), quanto sarà sicuro il mio archivio?

— Mente
fonte

9

Quello che sto vedendo ( http://en.wikipedia.org/wiki/RAR ) afferma che i file in formato RAR3 utilizzano AES per l'algoritmo di crittografia. A prima vista non mi è chiaro se il formato del file RAR3 è pubblicato o se ci sono implementazioni open source dell'algoritmo di decodifica / decompressione. Se il formato non è pubblicato / o non ci sono implementazioni gratuite dell'algoritmo di decrittazione / decompressione, penso che sarei abbastanza diffidente nei confronti della "sicurezza" poiché c'è sempre la possibilità che trucchi come mettere un noto testo in chiaro nell'intestazione di ogni file crittografato, potrebbe essere in gioco la perdita di bit della chiave, ecc.

I formati RAR precedenti utilizzavano un "algoritmo di crittografia proprietario". Dovresti sempre essere MOLTO diffidente nei confronti dei programmi che utilizzano "algoritmi di crittografia proprietari". La frase "algoritmo di crittografia proprietario" è spesso un codice per "qualcosa che è stato messo insieme in un seminterrato da un programmatore che non conosce molto sulla crittografia", o più liberamente perché "non è stato sottoposto a peer review".

Modifica: sto vedendo quali sono le implementazioni gratuite di almeno la parte di decompressione di RAR3 ( http://sourceforge.net/projects/java-unrar , per esempio). Finché il formato del file è aperto, dovrebbe essere difficile far trapelare una grande quantità di bit della chiave da un'implementazione non affidabile. Tuttavia, mi sentirei meglio con qualcosa che è stato peer review o certificato (FIPS, ecc.).

— Evan Anderson
fonte

Naturalmente avere la fonte aperta (ma non certificata) significa che qualcuno potrebbe essere in grado di decifrare qualsiasi implementazione open source. È interessante notare che nella modifica menzioni implementazioni non affidabili; se non è certificato come fai a sapere cosa è affidabile? Non sono troppo preoccupato per le specifiche di crittografia aperte, le specifiche di crittografia vengono regolarmente pubblicate e riviste. Pubblicazione dell'implementazione. La crittografia proprietaria va bene se paragonata a una cifra "aperta" purché sia certificata. Novell Groupwise è un esempio di crittografia proprietaria certificata dal Dipartimento del Commercio degli Stati Uniti.

— Jim B,

3

@JimB: non considero il software open source intrinsecamente "più sicuro" di quello chiuso, ma mi piacerebbe sicuramente avere la possibilità di guardare il codice sorgente (o pagare qualcun altro). Alla fine, devi tracciare una linea da qualche parte re: trust (potrebbero esistere compilatori trojan, microprocessori, ecc.). Preferirei di gran lunga avere una cifra sottoposta a peer review rispetto a una cifra proprietaria "certificata" senza peer review in qualsiasi giorno della settimana. Sarò anche felicemente d'accordo sul fatto che un'implementazione di cifratura non è necessariamente corretta solo perché si basa su una specifica apertamente disponibile.

— Evan Anderson,

3

Come hai affermato, ci sono password cracker / rimozione là fuori. Non mi fiderei dei miei file su file di archivio protetti da password. Suggerirei qualche tipo di crittografia a livello di file come GnuPG o AES Crypt

— Adamo
fonte

2

Sono d'accordo. Usa un archiviatore per le tue esigenze di archiviazione e usa un programma di crittografia ben collaudato per le tue esigenze di crittografia.

— Geoff Fritz,

0

Se ricordo bene, l'uso della password in un archivio non include necessariamente la crittografia (è un'opzione separata).

La risposta di Evan è molto più istruttiva quando si tratta dell'algoritmo :)

— pauska
fonte