Perché fornire molti file zip protetti aumenterà le possibilità di recuperare la password

1

In fcrackzip uomo dicono:

the more files you provide, the better.

Voglio sapere perché. Qual è il metodo che usa per recuperare la password?

    
posta Hunsu 25.06.2014 - 13:45
fonte

2 risposte

2

La descrizione completa riporta

fcrackzip searches each zipfile given for encrypted files and tries to guess the password. All files must be encrypted with the same password, the more files you provide, the better.

Guardando le opzioni della riga di comando si indicano le diverse modalità in cui indovina la password, che sono fondamentalmente un attacco di dizionario o forzatura bruta con diverse specifiche della password. Non esiste una magia profonda criptoanalitica che trarrebbe beneficio dall'avere più testo cifrato.

Diciamo che l'autore dell'attacco ha 20 file. Sanno che sono crittografati con la stessa password, ma non sanno quale. Quando passano tutti e 20 i file contemporaneamente, fcrackzip proverà a indovinare la password per il primo file e, quando troverà quella corretta, proverà la stessa password su tutti gli altri 19 file, rompendoli tutti in una volta. Ma quando l'attaccante passa i 20 file uno dopo l'altro, fcrackzip riavvierà la forzatura bruta per ogni file.

    
risposta data 25.06.2014 - 14:06
fonte
2

Il vecchio formato zip contiene un byte di controllo (o talvolta anche 2) per ogni voce di archivio per verificare rapidamente se la password è giusta o sbagliata. Questo byte di verifica viene verificato rispetto all'ultimo byte dell'intestazione di decrittografia decrittografata.

Da APPNOTE.TXT di PkWare:

After the header is decrypted, the last 1 or 2 bytes in Buffer SHOULD be the high-order word/byte of the CRC for the file being decrypted, stored in Intel low-byte/high-byte order. Versions of PKZIP prior to 2.0 used a 2 byte CRC check; a 1 byte CRC check is used on versions after 2.0. This can be used to test if the password supplied is correct or not.

La maggior parte dei cracker bruteforce (come fcrackzip o yazc) usano l'ipotesi che ogni file nell'archivio sia crittografato usando la stessa password e quindi usi più byte di controllo (ogni file ha un byte di controllo) per eliminare i falsi positivi più rapidamente. I falsi positivi avvengono abbastanza spesso (1/256) quando si testano enormi quantità di password e si riduce parecchio la velocità del recupero (in pratica è necessario decifrare e gonfiare almeno un file e testare il crc per identificare un falso positivo). / p>

Quindi, questo è il motivo alla base di più file, solo un'ipotesi per rendere il processo più veloce.

Nota: nel caso del fcrackzip originale, ogni falso positivo è stato testato chiamando effettivamente il comando 'unzip' e testando l'output del comando (che è dolorosamente lento).

    
risposta data 07.12.2018 - 16:37
fonte

Leggi altre domande sui tag