È possibile recuperare la password dal file ZIP crittografato con ZipCrypto?

Naviga le tue risposte
1

So che "legacy ZIP-crypto" non è sicuro e puoi ottenere facilmente il contenuto del file.

Ora la domanda è: puoi anche ottenere la password (supponiamo che questa sia una password entropia molto lunga e molto alta)?

Un collega è effettivamente riuscito a utilizzare una delle nostre "frasi di sicurezza ad alta sicurezza" per crittografare un file ZIP e inviarlo a un sistema di posta elettronica di terzi. Gli altri container, usando la stessa passphrase, sono sicuri, oppure qualcuno che ha recuperato quel file ZIP, "estrae" la passphrase da esso e poi passa a decifrare anche altri contenitori con maggiore sicurezza?

    
posta no.human.being 09.03.2015 - 21:44
fonte

1 risposta

3

Forse.

L'algoritmo legacy utilizza il CRC32 iterato per derivare il suo stato iniziale dalla password. Come il documento originale che descrive l'attacco note, l'invertibilità della funzione di hash CRC32 significa che la password può essere ripristinata con la complessità 2 ((n-6) * 8) , quindi le password fino a 16-18 caratteri dovrebbero essere ragionevolmente recuperabili .

Tuttavia, poiché il cifrario mantiene solo 12 byte di stato interno, se la password effettiva è più lunga di questa, un utente malintenzionato potrebbe invece trovare una "password equivalente" a 12 o 13 byte in grado di decrittografare altri file legacy-zip, ma è inutile per decodificare i file crittografati con altri algoritmi.

    
risposta data 09.03.2015 - 22:50
fonte

Leggi altre domande sui tag

Caricamento del certificato pfx in Azure È possibile prevedere la data approssimata in cui un determinato algoritmo di crittografia diventerà soggetto alla forza bruta?