La password che protegge un file archiviato in realtà lo crittografa?

31

Ad esempio, se utilizzo WinRAR per crittografare un file e inserire una password nell'archivio, quanto è sicuro? Tengo un diario personale e sto pensando di farlo, o c'è un modo migliore? È solo un enorme file .docx .

    
posta Celeritas 08.08.2012 - 11:05
fonte

7 risposte

28

Riepilogo: sì, ma usa VeraCrypt invece.

Dalla documentazione :

WinRAR offers you the benefit of industry strength archive encryption using AES (Advanced Encryption Standard) with a key of 128 bits.

Quindi sì, i dati sono crittografati. Questo è solo uno degli elementi di sicurezza, tuttavia. Un altro elemento importante è il modo in cui la chiave deriva dalla password: che tipo di viene eseguito il rafforzamento dei tasti ? Più lenta è la derivazione della chiave dalla password, più è costoso per un utente malintenzionato trovare la password (e quindi la chiave) in base alla forza bruta. Una password debole è comunque ottimizzata, ma un buon rafforzamento delle chiavi può fare la differenza per una password abbastanza complessa ma ancora memorabile . WinRAR utilizza 262144 colpi di SHA-1 con un sale a 64 bit , che è un buon rinforzo chiave.

Un documento accademico è stato scritto sulla sicurezza di WinRAR: Sulla sicurezza della funzione di crittografia WinRAR di Gary S.-W. Yeo e Raffaele C.-W. Phan (ISC'05). Citando dall'abstract (non ho letto il testo completo, non sembra accessibile senza pagare):

In this paper, we present several attacks on the encryption feature provided by the WinRAR compression software. These attacks are possible due to the subtlety in developing security software based on the integration of multiple cryptographic primitives. In other words, no matter how securely designed each primitive is, using them especially in association with other primitives does not always guarantee secure systems. Instead, time and again such a practice has shown to result in flawed systems. Our results, compared to recent attacks on WinZip by Kohno, show that WinRAR appears to offer slightly better security features.

Il vantaggio di utilizzare la crittografia incorporata nel formato RAR è che è possibile distribuire un archivio RAR crittografato a chiunque abbia WinRAR, 7zip o altri software comuni che supportano il formato RAR. Per il tuo caso d'uso, questo è irrilevante. Pertanto, ti consiglio di utilizzare un software dedicato alla crittografia.

Lo standard di fatto da quando utilizzi Windows è TrueCrypt . TrueCrypt fornisce un disco virtuale che viene memorizzato come file crittografato. Non solo è più sicuro di WinRAR (mi fido di TrueCrypt, che è scritto pensando alla sicurezza sin dal primo giorno, molto più di qualsiasi altro prodotto la cui crittografia è una caratteristica ausiliaria), è anche più conveniente: si monta il disco crittografato fornendo la tua password, quindi puoi aprire i file sul disco in modo trasparente e al termine smontare il disco crittografato. Tristemente TrueCrypt non è più in sviluppo attivo, ma è il successore VeraCrypt . VeraCrypt è basato su TrueCrypt ed è compatibile con i vecchi contenitori TrueCrypt.

Out of curiousity can what someone writes in their journal be used to incriminate someone in court?

Dipende dalla giurisdizione, ma in generale, sì, come si dice nei film, tutto ciò che dici o scrivi può essere usato contro di te. Potresti essere legalmente obbligato a rivelare le chiavi di crittografia e potresti dover sostenere ulteriori addebiti se rifiuti.

    
risposta data 08.08.2012 - 11:49
fonte
7

Dalla pagina dei vantaggi di WinRAR :

WinRAR offers you the benefit of industry strength archive encryption using AES (Advanced Encryption Standard) with a key of 128 bits.

Quindi sì, l'uso della protezione con password consente di crittografare anche il file. 7-Zip utilizza la crittografia AES-256. Un altro approccio per proteggere i file potrebbe essere la creazione di file (o dischi) crittografati utilizzando TrueCrypt , in cui è possibile scegliere l'algoritmo di crittografia adatto alle proprie esigenze.

Ricorda solo di utilizzare una password complessa per prevenire attacchi brute-force.

    
risposta data 08.08.2012 - 11:27
fonte
5

Hai menzionato "docx" quindi presumo che tu sia su Office 2007 o 2010. Il meccanismo di crittografia implementato lì è OK, devi assicurarti che la tua password sia abbastanza strong. In altre parole, non è necessario utilizzare un programma esterno per proteggere il file.

Un domanda Overflow dello stack ha coperto la crittografia algoritmi per Office. Questo è un codice closed-source, quindi se sei paranoico dovresti usare TrueCrypt .

Per quanto riguarda la seconda parte della domanda: dipende completamente dal sistema legale in cui ti trovi. Ci sono due aspetti da tenere in considerazione:

  • se è legale utilizzare il contenuto contro di te (indipendentemente dal fatto che sia crittografato o meno)
  • Cosa succede se non si fornisce la chiave di crittografia e la parte crittografica è sufficientemente potente / correttamente implementata in modo tale che l'accesso non sia possibile senza di esso.
risposta data 08.08.2012 - 15:59
fonte
3

Sì, WinRAR crittografa l'archivio quando viene utilizzata una password. Personalmente raccomando un'applicazione 7-Zip in quanto offre una maggiore flessibilità. Sì, ciò che scrivi ovunque ti può incriminare fintanto che è legale per il tribunale usarlo come prova. Il tribunale può usare il diario / diario personale contro di te. Però non sono un avvocato.

    
risposta data 08.08.2012 - 11:25
fonte
3

Diversi formati di archivio offrono diversi livelli di sicurezza, ma tutti hanno lo stesso difetto: non si può effettivamente UTILIZZARE il file senza estrarlo e decrittografarlo. Ancora più importante, questo viene fatto su disco, il che significa che una copia del tuo file senza crittografia rimane sul tuo computer. Programmi come la parola tendono a creare anche file di salvataggio automatico che aggiungono ancora più copie non criptate.

La soluzione migliore è una soluzione di crittografia dell'intero disco, di cui TrueCrypt è il principale contendente.

    
risposta data 09.08.2012 - 02:54
fonte
2

Se hai paura di potenziali problemi legali su ciò che scrivi, WinRAR non è abbastanza sicuro. Ci sono un sacco di programmi per rompere la password rar là fuori.

Vorrei raccomandare TrueCrypt . Ma assicurati che Word non abbia fatto nessuna copia del tuo documento attuale nella cartella temp.

    
risposta data 08.08.2012 - 14:06
fonte
0

Mi sento in dovere di offrire alcuni avvertimenti perché probabilmente ci sono altri che lo leggono per curiosità:

  1. Il PO non ha fatto riferimento al suo paese di residenza, quindi presumo che si trovi negli Stati Uniti per le domande legali.
  2. Qualsiasi crittografia dovrebbe essere utilizzata presupponendo che non sia un meccanismo di sicurezza infallibile e che possa essere violato da chiunque, con un tempo e una forza sufficienti. È - nel migliore dei casi - un ostacolo temporaneo che può essere superato.
  3. Tutto ciò che è memorizzato elettronicamente, sul tuo computer o altrove, può essere utilizzato contro di te in tribunale, a condizione che sia stato ottenuto legalmente. Non rientra nella categoria del privilegio del 5 ° Emendamento (nemmeno un "giornale"), né varia in base allo stato o alla giurisdizione locale. Questo è stato per lo SCOTUS più volte ed è considerato legge stabilita a questo punto.
  4. La mancata fornitura di una frase di accesso di decrittazione quando è ordinata è considerata un oltraggio al tribunale, con una pena detentiva indefinitamente (a patto che venga trattenuta).

Pertanto, considererei le domande iniziali irrilevanti l'una con l'altra.

    
risposta data 09.06.2015 - 19:39
fonte

Leggi altre domande sui tag