Hai un file zip che hai creato con 7z per proteggerlo con password con AES 128. Un avversario intelligente può estrarre i dati solo attraverso la forza bruta, oppure il file è vulnerabile ad altri attacchi - come, io no sai, essere in grado di bypassare la password ed estrarre i dati?
I file ZIP sono crittografati con AES-256 e la chiave è derivata utilizzando una funzione di derivazione a chiave lenta (KDF), che rende generalmente non fattibili attacchi bruteforce e dizionario. Non ci sono metodi attualmente conosciuti per aggirare la crittografia.
In senso diretto, hai citato ( estrazione di dati ), no. Tuttavia, tieni presente, tuttavia, che qualsiasi programma (o utente), in qualsiasi archivio ZIP protetto da password, può ( senza conoscere la password ):
I file ZIP possono anche essere " broken " nel significato, che puoi sovrascrivere l'exisiting, file protetto da password, memorizzato nel file ZIP, con un altro file, chiamato lo stesso, senza conoscere la password .
Tutte queste operazioni menzionate non danno accesso ai contenuti da parte di hacker (non è ancora in grado di estrarre dati ), solo elencarle o distruggerle. Quindi sto menzionando questo solo come possibili effetti collaterali di cui potresti non essere a conoscenza. Alcune persone trattano questo come fughe di sicurezza, affermando che per questo motivo, i file ZIP non sono sicuri, ma altri suppongo che la sicurezza non sia violata, anche con queste "aggiunte" citate.
Poiché il contenuto del file ZIP può essere modificato, senza conoscere la password, sostituendo un file protetto da password con un altro, possiamo parlare di completa insicurezza in termini psicologici (ingegneria sociale, hacking, ecc.). L'utente malintenzionato può modificare il contenuto del file ZIP, senza conoscere la password e rivendicare alla vittima che è invariato. La vittima, senza conoscere gli effetti collaterali di cui sopra, può erroneamente presumere che l'archivio non sia stato modificato o il suo contenuto non sia stato alterato, dal momento che lui o lei (la vittima) è l'unica persona che conosce la password.
Qui hai la mia semplice domanda sulla sicurezza dei file ZIP , che si è rivelato un'ottima lettura, con molte risposte e commenti utili.
1 Prova a inviare ZIP crittografato, protetto da password contenente file EXE tramite Gmail per vedere questo "in azione". Gmail sarà in grado di rilevare che stai inviando un file eseguibile (e ti impedisce di farlo) anche se, non conosce la password, il tuo ZIP è protetto con. Nota a margine: è anche divertente e sorprendente, che rinominare lo stesso file, dandogli un'estensione diversa (ad es. File.not-zip) può disarmare completamente questo meccanismo di "protezione" e consentire di inviare archivi contenenti file eseguibili. Divertente, perché Gmail è in grado di "rompere" ZIP crittografato, protetto da password per "salvare" l'utente dall'invio di file eseguibili, ma "muore" completamente sulla rinomina del file.
No, per quanto ne so, non ci sono attuali vettori di attacco validi oltre a forzare la password.