File zip con due password

12

Ho usato questo comando per proteggere con password un file zip su Linux:

zip -P 9000 hash.zip hash.py

e crea il file zip bene, poi ho scritto un programma per testare ogni possibile password su di esso da 1 a 100000, il problema è che il programma trova due password su di esso, prima è: 9000 e il secondo è: 79095 e entrambe le password decomprimono il file, c'è qualche vulnerabilità di sicurezza nel comando Linux zip ?

    
posta Adi 22.03.2013 - 21:31
fonte

2 risposte

8

Entrambe le password possono decrittografare il file, ma solo una password produrrà il testo in chiaro corretto. Il formato di crittografia zip sta solo controllando se il riempimento è corretto per verificare che sia stata utilizzata la chiave corretta. La password 79095 ha generato un riempimento valido, tuttavia il messaggio risultante è inutile.

    
risposta data 22.03.2013 - 23:57
fonte
2

Vedi link .

Vale la pena ricordare che il problema è con gli standard di crittografia del formato zip, non con il comando zip .

Inoltre, la pagina man di zip nota questo problema.

    -P password
       --password password
              Use  password  to  encrypt zipfile entries (if any).  THIS IS
              INSECURE!  Many multi-user operating systems provide ways for
              any  user  to see the current command line of any other user;
              even on stand-alone systems there is  always  the  threat  of
              over-the-shoulder peeking.  Storing the plaintext password as
              part of a command line in an automated script is even  worse.
              Whenever possible, use the non-echoing, interactive prompt to
              enter passwords.  (And where security is truly important, use
              strong  encryption such as Pretty Good Privacy instead of the
              relatively weak standard encryption provided by zipfile util‐
              ities.)

Per una documentazione più completa su questo argomento, dai un'occhiata a questo documento (scritto da un professore della mia università :)) link

    
risposta data 22.03.2013 - 23:10
fonte

Leggi altre domande sui tag