web-dev-qa-db-ja.com

パスワードで保護されたWinRARアーカイブはどの程度安全ですか?

パスワードリムーバーがウェブに殺到しているようです。しかし、私は反対側にいます。ファイルのセキュリティに興味があります。

WinRARアーカイブ(> 1Mバイト)を使用していて、パスワード(英数字以外の文字を含む6文字以上)を使用している場合、アーカイブはどの程度安全ですか?

9
Mastermind

私が見ているもの( http://en.wikipedia.org/wiki/RAR )は、RAR3形式のファイルが暗号化アルゴリズムにAESを使用していると言います。 RAR3ファイル形式が公開されているのか、それとも復号化/圧縮解除アルゴリズムのオープンソース実装があるのか​​は、一見するとわかりません。フォーマットが公開されていない場合、または復号化/圧縮解除アルゴリズムの無料の実装がない場合、既知のプレーンテキストをヘッダーに配置するようなトリックが常に発生する可能性があるため、「セキュリティ」にはかなり注意が必要だと思います暗号化されたすべてのファイル、鍵のビットの漏洩などが発生している可能性があります。

古いRAR形式は「独自の暗号化アルゴリズム」を使用していました。常に[〜#〜] very [〜#〜]「独自の暗号化アルゴリズム」を使用するプログラムに注意する必要があります。 「独自の暗号化アルゴリズム」というフレーズは、「地下室で暗号についてあまり知らないコーダーによってノックされたもの」、または「ピアレビューされていなかった」という大まかなコードです。

編集:私は少なくともRAR3の非圧縮部分の無料実装であるように見えるものを見ています( http://sourceforge.net/projects/Java-unrar など)。ファイル形式が公開されている限り、信頼できない実装によって大量のキーのビットが漏洩することは困難です。それでも、ピアレビューまたは認定されたもの(FIPSなど)の方が気分が良くなります。

10
Evan Anderson

あなたが述べたように、そこにはパスワードクラッカー/リムーバーがあります。ファイルをパスワードで保護されたアーカイブファイルに信頼しません。 GnuPG または AES Crypt のようなファイルレベルの暗号化のタイプをお勧めします

3
Adam

私が正しく覚えていれば、アーカイブでパスワードを使用するときに暗号化を含める必要はありません(これは別のオプションです)。

アルゴリズムに関しては、エヴァンの答えがはるかに参考になります:)

0
pauska