Le cryptage du zip est-il vraiment mauvais?

Les conseils standard pendant de nombreuses années concernant la compression et le cryptage ont été que la puissance de cryptage de zip est mauvaise.

Est-ce vraiment le cas à cette époque?

J'ai lu cet article sur WinZip (il a eu la même mauvaise réputation). Selon cet article, le problème est supprimé à condition de suivre quelques règles lors du choix de votre mot de passe.

  1. Au moins 12 caractères
  2. Être aléatoire ne contient aucun dictionnaire, mots ou noms communs
  3. Au moins un caractère de casse-tête
  4. Avoir au moins un caractère minuscule
  5. Avoir au moins un caractère numérique
  6. Avoir au moins un caractère spécial, par exemple $, £, *,%, & ,!

Cela entraînerait roughly 475,920,314,814,253,000,000,000 possible combinations to brute force

Veuillez fournir des liens récents (au cours des cinq dernières années) pour sauvegarder vos informations.

La faiblesse de l'ancien cryptage était due à la faiblesse de l'algorithme de cryptage choisi .

De nos jours, on peut utiliser le cryptage de l'industrie via « AES », qui est utilisé partout (et est sous une forte attaque, mais comme il semble assez difficile à attaquer). Comme le dit le site: l'endroit le plus faible est dans la phrase de passe et les règles que vous avez mentionnées ont surtout trait à ce problème.

Ces règles ne s'appliquent pas à la phrase de passe pour l'ancien cryptage, puisque cet ancien cryptage était très faible en soi, peu importe si vous choisissez un bon mot de passe ou non.

La déclaration de «problème supprimé en raison …» n'est pas vraie car la solution réelle pour chiffrer les fichiers ZIP en toute sécurité est de choisir un algorithme de cryptage fort ET un mot de passe fort. Le mot de passe le plus fort ne vaut rien si l'algorithme de cryptage est faible.

Lisez également http://www.info-zip.org/FAQ.html#crypto et http://www.topbits.com/how-can-i-recover-a-zip-password.html

Le cryptage symétrique est problématique. Il est bon de dire: «Utilisez simplement Waq3 $ f ^ t> p ~ 6pWr comme mot de passe, et vous allez bien! Mais vous laissez une énorme porte ouverte à l'ingénierie sociale et à l'insouciance des utilisateurs.

Donc, je dirais, hypothétiquement , en supposant un mot de passe de première classe, vous êtes d'accord avec des programmes de chiffrement chiffrés clés symétriques qui offrent des algorithmes de cryptage éprouvés , mais dans le monde réel, la dépendance à la force du mot de passe est une énorme faiblesse.

@Akira: Je n'ai pas dit que c'était mauvais , j'ai dit que c'était problématique et c'est vrai. Avec le cryptage de clé publique (asymétrique), vous avez un niveau de sécurité constant. Si vous disposez d'une clé de 1024 bits, vos données sont cryptées de 1024 bits.

Avec un chiffrement de clé symétrique, vous pouvez avoir une sécurité divin (mot de passe de 1024 caractères) ou une sécurité sans valeur (mot de passe de 1 caractère) et vous n'avez aucun contrôle sur lequel vous allez finir.

(Remarque: je n'ai pas pris la peine de parler de clés compromises parce que cela affecte les deux méthodes de manière égale)

@Nifle: D'accord. L'échange de clés est le problème avec le crypto de clé publique, mais c'est une méthode beaucoup plus fiable. J'ai tendance à recommander contre le cryptage des clés symétriques parce que les gens pensent qu'ils sont en sécurité, alors qu'ils ne le sont peut-être pas.

@Akira: Pas sûr de ce dont vous parlez, franchement. Juste parce que les clés privées sont souvent sécurisées avec un mot de passe car une sauvegarde supplémentaire ne signifie pas que le cryptage symétrique / asymétrique est "l'utilisation de clés symétriques pour le cryptage réel". Le cryptage asymétrique utilise deux clés différentes : une pour le cryptage, une pour le décryptage. Et en appelant le cryptage de bits plus élevé, l'huile de serpent est au mieux trompeuse: si tel était le cas alors aes128 serait le même que aes256.

Et la comparaison d'un cadran unique à n'importe quel type de crypto machine affiche le pire type d'ignorance. Ils sont sécurisés parce qu'ils sont un simple bruit aléatoire du genre que les ordinateurs, par leur nature même, ne peuvent produire. Vous dites cela, car un type de cryptage de clé symétrique est sécurisé, tous les types de cryptage de clé symétrique sont sécurisés, ce qui est une erreur absolue. Et pire encore, vous maintenez le problème contre le cryptage asymétrique quand ils ont le même problème d'échange de clé EXACT!