Come impedire che le password dei file zip crittografati 7-Zip vengano archiviate sul disco rigido?

11

Ho crittografato una cartella con 7-Zip 9.20, specificando AES a 256 bit e una password, e il file .zip è stato creato. Ma poi, quando ho cliccato sul file zippato, con mia sorpresa, PeaZip 5.1.1, che era il programma registrato per aprire i file zip, ha aperto il file senza chiedermi la password.

Ciò significa che 7-Zip sta memorizzando la mia password AES da qualche parte sul disco e, cosa ancora peggio, in un posto dove altri programmi possono trovarla. Questo è intrinsecamente insicuro. Come posso disabilitare questo comportamento?

Grazie.

Ecco un'immagine di come ho crittografato il file con 7-Zip:

inserisci qui la descrizione dell'immagine

Ed ecco un'immagine della finestra di dialogo (con un'opzione per inserire il file di chiavi) che ottengo quando provo ad aprire qualsiasi file nell'archivio .zip (una finestra simile viene visualizzata all'apertura dei file .7z):

inserisci qui la descrizione dell'immagine

encryption  passwords  zip  7-zip 
John Sonderson
fonte
4
E aprendo intendi disimballare, giusto? Perché in caso contrario, la risposta dice tutto: i metadati (come l'elenco dei file) non sono crittografati.
Daniel B,
1
@DanielB Esatto. È possibile aprire un file ZIP crittografato. Ma per accedere ai dati all'interno del file ZIP in qualsiasi modo utile ti verrà richiesta una password.
misha256,
" Questo significa che 7-Zip sta memorizzando la mia password AES da qualche parte sul disco " Sembra che tu non capisca come funziona la crittografia; sarebbe del tutto inutile che la password fosse archiviata ovunque per l'accesso a terzi.
ElementW
La password non è memorizzata nel disco! Il programma legge semplicemente l'indice e mostra la struttura del file. Quando si tenta di accedere a un file, viene richiesta la password! Questo succede anche con i .rarfile.
Ismael Miguel,

Risposte:

25

7-zip non memorizza le password sul tuo computer, non ha quella funzione.

Il tuo problema è in realtà una limitazione del formato ZIP durante la creazione di file ZIP crittografati. I dati sono crittografati, ma non i nomi dei file. Puoi provarlo provando a estrarre il contenuto del file ZIP. Non funzionerà se non si specifica la password corretta.

Se vuoi che anche i nomi dei file vengano crittografati, consiglio vivamente il 7zformato 7-zip , vedrai che l'opzione Crittografa i nomi dei file diventa disponibile.

misha256
fonte
Ho crittografato i dati come sopra. Non mi interessa il nome del file: dovrebbe essere comunque non crittografato poiché il sistema operativo deve visualizzare il nome del file (ad esempio MySecureZipFile.zip) sul desktop. Il mio problema è che, come puoi vedere nello screenshot sopra, ho specificato una password, come 7-Zip mi ha permesso di avere per il formato .zip, ma poi quando lo apro con PeaZip non me lo chiede, solo apre il file. Qualche idea sul perché?
John Sonderson,
Ho provato anche il formato .7z, come mi hai suggerito. L'applicazione PeaZip apre ancora il file anche se ho specificato una password. Ho fatto qualcosa di sbagliato?
John Sonderson,
10
Stai fraintendendo la mia risposta. Un file ZIP crittografato può essere aperto senza la password. L'unica volta che avrai bisogno della password è estrarre effettivamente i file dal file ZIP per usarli.
misha256,
Hai ragione. Ora capisco la tua risposta. Quando faccio clic su uno dei file contenuti nella cartella crittografata, è allora che è richiesta la password. E con l'opzione .7z Encrypt Filenames la password può essere inserita quando si apre la cartella contenente.
John Sonderson,
1
OK, posso confermare che 7-zip non supporta i file di chiavi, ma PeaZip lo fa. Se vuoi davvero usare i keyfile, dovrai usare PeaZip esclusivamente per creare ed estrarre file ZIP. Penso che i file di chiavi siano un po 'eccessivi e c'è sempre il rischio che una chiave USB vada persa, rubata o rotta. Inoltre, i file di chiavi vengono normalmente utilizzati insieme a una password normale per ottenere due livelli di protezione. Ad ogni modo, se sei pronto per usare i keyfile, non sarai più in grado di usare 7-zip.
misha256,
3

Il formato zip non consente di crittografare la tabella dei contenuti dell'archivio, quindi puoi effettivamente aprire (sfogliare) qualsiasi file zip crittografato.

Alcuni gestori di archivi possono verificare se il file è crittografato e, in questo caso, chiederti la password, ma comunque i nomi di file e cartelle all'interno dell'archivio Zip crittografato sono in chiaro e chiunque può leggerli (ad es. Con un semplice visualizzatore esadecimale ), quindi il formato dell'archivio non offre alcuna sicurezza se l'ambito dell'attaccante sta solo leggendo i nomi dei file.

Il formato 7z può eventualmente crittografare il sommario dell'archivio, in questo modo sarà sempre necessario inserire la password per sfogliare il contenuto.

Entrambi con i formati Zip e 7z, tuttavia, non è possibile estrarre nulla da un archivio crittografato senza fornire la password, poiché il contenuto del file è effettivamente crittografato.

Il problema è assolutamente complicato poiché sia ​​il formato Zip che 7z supportano password diverse utilizzate nello stesso archivio (ad es. Il file a.txt è crittografato con "p4sSword1", il file b.txt è crittografato con "Passw0rd2", il file c.txt non è crittografato), quindi se decidi di utilizzare questa funzione (del formato), dovrai inserire password diverse per operare su (estrarre, aggiornare) file diversi all'interno dello stesso archivio - quindi il concetto di chiedere la "password" quando apri una crittografia l'archivio può essere ingannevole in quanto tale password può essere applicata solo a una parte del contenuto dell'archivio.

Dice9
fonte
Grazie per le informazioni sulla capacità di zip e 7z di crittografare file diversi con password diverse, ma poi non riesco a trovare alcun gestore di archivi che supporti questa funzione. Forse puoi nominarne alcuni.
John Sonderson,
1
Nella mia esperienza puoi farlo sia con 7-Zip che con PeaZip. In 7-Zip seleziona i file di input e fai clic sul pulsante "Aggiungi", ora nel campo "Archivio" puoi selezionare un archivio crittografato esistente e nel campo "Inserisci password" puoi scegliere una password diversa (o nessuna password), quindi l'archivio esistente conterrà dati crittografati con password diverse e che richiederà l'estrazione di password diverse. In PeaZip puoi fare la stessa cosa sfogliando un archivio crittografato esistente, impostare una password diversa (facendo clic sull'icona del lucchetto nella barra di stato) e trascinando qui i file da aggiungere con detta password.
Dadi9
-2

Forse prova a usare 7zip Portable da http://portableapps.com/apps/utilities/7-zip_portable poiché è intrinsecamente portatile e quindi non lascia nulla alle spalle una volta rimosso dal computer (esempio: eseguilo da USB) .

user414101
fonte
Il problema non è quello che si lascia alle spalle. Il problema è che i file eliminati su Windows (o qualsiasi altro sistema operativo) non vengono completamente eliminati per accelerare l'operazione e, a causa di questa scrittura su disco, è un'operazione intrinsecamente insicura dal punto di vista della privacy a meno che non sia seguita da una "cancellazione completa" operazione.
John Sonderson,
1
@JohnSonderson Cosa? oO cosa c'entra questo con le password di Zip?
Ismael Miguel,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.