Quanto è sicuro la crittografia 7z?

Naviga le tue risposte
35

Ho un file di testo nel quale memorizzo tutti i miei dati bancari. Comprimo e crittografo con 7-Zip utilizzando i seguenti parametri:

Parametri di compressione:

  • Formato di archiviazione : 7z
  • Livello di compressione : Ultra
  • Metodo di compressione : LZMA2
  • Dimensione dizionario : 64 MB
  • Dimensione blocco solido : 4 GB
  • Numero di thread della CPU : 4

Parametri crittografia:

  • Metodo di crittografia : AES-256
  • Encrypt file names : True

La password per la crittografia viene scelta in modo tale da non essere trovata in nessun dizionario ed è piuttosto una stringa quasi casuale (composta da 15-20 lettere maiuscole e minuscole, numeri e simboli). Non memorizzo questa password ovunque.
Inoltre, il nome del file di testo è mantenuto in modo tale che nessuno sarà in grado di dire che il file è collegato ai dettagli bancari.

Questo è abbastanza sicuro, nei seguenti scenari?

  1. L'utente malintenzionato prende il pieno controllo del sistema, ma non sa che questo particolare file è di importanza per lui.
  2. L'autore dell'attacco è in possesso del file e sta tentando attivamente di decrittografarlo, sapendo che ha i dettagli bancari.
posta Anmol Singh Jaggi 19.09.2015 - 13:02
fonte

3 risposte

32
La crittografia

7-zip (o qualsiasi altra utilità simile) è progettata per proteggere i file archiviati. Quindi, fino a quando i progettisti degli strumenti hanno fatto bene il loro lavoro, sei sicuro per il secondo caso (qualcuno si prende la mano sul file crittografato e prova a decifrarlo).

Tuttavia, tali programmi di utilità non sono progettati per proteggerti dal tuo caso prima menzionato (qualcuno che accede ai dati del tuo account sul tuo computer e / o accede regolarmente al contenuto del file). In effetti, chiunque abbia preso un pieno (o anche solo minimo, non c'è bisogno di aumentare i privilegi) l'accesso al tuo sistema ti vedrà usare questo file e sarà anche in grado di catturare le tue battute mentre tu digiti la tua password. Ancora peggio: un utente malintenzionato non dovrà nemmeno preoccuparsi di questo poiché il file sarà probabilmente presente in modo chiaro nella directory Temp di Windows.

Quindi, per la tua prima minaccia, ti consiglierei definitivamente di utilizzare uno strumento progettato per questo utilizzo, come KeePass che evita di archiviare i dati decrittografati nei file temporanei e fornirà un protezione minima durante la digitazione della password .

    
risposta data 19.09.2015 - 14:45
fonte
6

Per continuare con lo scenario aggressivo.

Si può presumere che il file di testo originale sia stato cancellato e con la conoscenza del file temporaneo può essere eliminato.

Tuttavia ci sono alcuni strumenti che trovano i file cancellati e possono facilmente recuperarli a meno che non si usi un programma di "triturazione" che riempie gli spazi "vuoti" sull'unità con bit casuali che sovrascrivono le informazioni originali.

Mentre il tuo metodo di occultamento zip sarebbe utile contro l'utente casuale, un perpetratore serio potrebbe utilizzare questo software, recuperare le informazioni cancellate e accedere al file sensibile.

Anche se hai nomi fuorvianti sul tuo file di testo, "l'hacker" probabilmente recupererebbe tutti i file eliminati che potevano trovare e userebbe uno strumento per cercare rapidamente qualsiasi file di testo normale per parole chiave o numeri relativi ai servizi bancari.

    
risposta data 20.09.2015 - 05:26
fonte
4

Il problema con l'utilizzo di 7z o altri software di questo tipo per salvare file di testo crittografato con dettagli bancari è che quando hai bisogno dei dati, devi aprire il file e decomprimerlo. A quel punto 7z scaricherà una copia non crittografata di esso nella directory temporanea di Windows. L'utente (o il software 7z) dovrà pulire correttamente la directory temporanea ogni volta che si apre il file.

Questa non è la soluzione migliore per salvare i dettagli bancari. Utilizzare software appositamente progettato per questo. Suggerirei invece di usare Keepass. Non dovrai gestire nulla di non crittografato scaricato nella directory temp di Windows.

    
risposta data 18.11.2015 - 05:34
fonte

Leggi altre domande sui tag

Ho registrato un dominio .com e ho ricevuto un'e-mail da domainadmin.com Perché un hacker non può ottenere solo un nuovo certificato SSL per il tuo sito web?