Come posso selezionare un'utilità di compressione abbastanza popolare e sicura

0

In una precedente pubblicazione su Quale è un modo sicuro per trasferire una copia di un documento sensibile? , ho ricevuto suggerimenti per comprimere e crittografare un file allegato utilizzando le opzioni di utilità quali zip, rar, 7zip e simili.

Anche se le specifiche non sono importanti qui, la pagina di manuale di zip mi ha avvisato che c'è molto di più che scegliere un'utilità di compressione e inviare. Molto seriamente, la pagina zip è cauta al punto da suggerire che non si ottiene alcuna crittografia seria (enfasi aggiunta)

-P password --password password

Use password to encrypt zipfile entries (if any). THIS IS INSECURE! Many multi-user operating systems provide ways for any user to see the current command line of any other user; even on stand-alone systems there is always the threat of over-the-shoulder peeking. Storing the plaintext password as part of a command line in an automated script is even worse. Whenever possible, use the non-echoing, interactive prompt to enter passwords. (And where security is truly important, use strong encryption such as Pretty Good Privacy instead of the relatively weak standard encryption provided by zip‐ file utilities.)

Avvisato è salvato. Ho sfogliato / scansionato diversi post in questa community come

Sono molte (interessanti, ben presentate) informazioni e il problema ha molte dimensioni: utilità di compressione, algoritmi di crittografia, gestore di archivi, forse molti altri. Lo svantaggio è che io sono un utente laico, moderatamente esperto di computer, che affronta il problema di scegliere un'utilità di compressione che dovrebbe avere le seguenti caratteristiche:

  • essere OS-agnostico. Io sono principalmente un utente Linux, ma non posso permettermi di formulare ipotesi su quale sistema operativo utilizzi il destinatario della posta - probabilmente sarà un membro della famiglia Windows, anche se non necessariamente - Potrei desiderare il dual-boot su Windows one-off per colmare questa lacuna;
  • produce un file crittografato che è indipendente dall'archivio-gestore. Allo stesso modo, non so quale gestore di archivio sta usando il destinatario: probabilmente sarà un Explorer di Windows, ma non necessariamente;
  • fornire una seria sicurezza; qualsiasi scomposizione superficiale o placebo è ovviamente una perdita di tempo;
  • produce un file che è relativamente comodo da decomprimere e decifrare; Non posso fare ipotesi su quanto sia laico e esperto di computer il destinatario. Potrebbe essere anche qualcuno per il quale installare un nuovo programma può essere tassativo, presupponendo che il suo datore di lavoro lo consenta in primo luogo.

A quanto pare, ho bisogno di alcune linee guida per navigare questo problema e scegliere cosa fare per un'ipotesi informata.

Esiste una risorsa wiki di "auto-aiuto" che consiglieresti di trovare a cosa serve quando usi questa o quella utility? Qualche altro suggerimento per alleviare questo tipo di mal di testa?

    
posta XavierStuvw 24.09.2017 - 22:36
fonte

2 risposte

1

WinZip offre AES 256 e utilizza PBKDF2 per generare la chiave. Utilizza solo 1.000 iterazioni, ma con una password sufficientemente lunga dovrebbe fornire una buona sicurezza.

link

Per essere onesti, penso che Zip semplice con PGP sarebbe meglio, ma se hai persone non tecniche a cui vuoi accedere, le password sono più semplici.

    
risposta data 25.09.2017 - 01:05
fonte
-1

Ecco la mia matrice delle decisioni:

  1. Se sai che il destinatario userà solo sistemi di tipo Unix (es. Linux, Mac) e non installerà software aggiuntivo, o se vuoi preservare i proprietari di file, le autorizzazioni e altri attributi di file, allora usa tar.bz2 con gpg. Assicurati di utilizzare i flag appropriati durante la creazione del tarfile per conservare i metadati che desideri conservare. tar può conservare molti metadati che altri formati di archivio non possono.

  2. Se non si conosce il sistema operativo utilizzato dall'utente, ma si prevede che gli utenti installino software aggiuntivo, utilizzare il formato 7z. Il programma 7zip è un programma open source multipiattaforma; 7z è il formato nativo di 7zip ed è un formato di file molto ben progettato, tuttavia il programma 7zip supporta anche tutti i principali formati di compressione. Probabilmente molti utenti esperti di computer lo hanno già installato.

  3. Se non si conosce il sistema operativo che verrà utilizzato dal destinatario e si suppone che il destinatario non stia installando software aggiuntivo, l'unica scelta sicura è il formato zip. Si noti tuttavia che la specifica del formato file zip originale supporta una crittografia debole e casalinga, che fornisce pochissima sicurezza. Il nuovo formato di file zip supporta anche la crittografia AES, che è sicura; sfortunatamente, la versione precedente di Windows Explorer (XP) non supporta lo zip crittografato AES. Se sei sicuro che nessuno dei tuoi utenti utilizzi sistemi Windows XP o precedenti, assicurati di utilizzare il codice crittografato AES (molti programmi recenti producono ancora la vecchia crittografia fatta in casa per impostazione predefinita, assicurati di scegliere esplicitamente AES). Gli utenti con Windows XP o precedenti possono ancora utilizzare zip crittografate AES installando software aggiuntivo, come 7zip.

risposta data 25.09.2017 - 06:04
fonte

Leggi altre domande sui tag