Si tratta di un bug di crittografia zip?

13

Di recente ho scoperto un exploit, in cui io (o supponendo che qualcuno) possa crittografare nuovamente il mio file zip crittografato senza dover conoscere la password:

#zip --encrypt encrypted.zip -r dir1/

Quanto sopra richiederà all'utente di inserire una nuova password. C'è qualcosa che mi manca o è un problema noto?

encryption  zip 
Lamino
fonte
5
Hai trovato un modo per leggere i dati nel file zip originale?
ctrl-alt-delor
@ ctrl-alt-delor sì, non ho dimenticato la mia password, me ne sono reso conto per caso
lamino
17
Scusa volevo dire, hai trovato un modo per leggere i dati nel file zip originale, senza conoscere la password?
ctrl-alt-delor

Risposte:

40

Gli archivi zip possono avere più password per diversi file contenuti. I file all'interno di un archivio sono sostanzialmente indipendenti l'uno dall'altro: sono compressi senza riguardo per altri file e sono crittografati allo stesso modo. Avrai encrypted.zipdue (o più) segmenti crittografati, uno con la password originale e uno con quello nuovo.

Cercare unzipnel file richiederebbe entrambe le password:

$ unzip ../test.zip
Archive:  ../test.zip
[../test.zip] file1 password:
  inflating: file1
  inflating: file2
[../test.zip] newfile password:
  inflating: newfile

La directory, l'elenco dei nomi dei file, non è crittografata. Questo non è un bug, sebbene possa essere fonte di confusione e non tutti gli strumenti zip gestiscono bene la situazione (in particolare gli strumenti grafici).

Michael Homer
fonte
2
Funzionalità contro-intuitiva ma interessante. Grazie per il chiarimento
lamino
14
La directory, la lista dei nomi dei file, non è crittografata - questo è il motivo per cui le situazioni in cui anche la directory è sensibile hanno spesso i file originali compressi non crittografati in un file zip, che viene quindi compresso e crittografato in un altro file zip. Quindi l'unica cosa che è visibile senza la password è il nome del file zip interno.
Stobor
2
@Stobor in una nota correlata, il .7zformato dell'archivio ha la possibilità di crittografare l'elenco delle directory e i file.
user3490
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.