CentOS5に含まれているzipユーティリティ(zipコマンド):すなわち/usr/bin/zip -P $ZIP_PASS ...
これに関するドキュメントを見つけることができませんでした。パスワードの安全性を調べようとしています。これは暗号化されていますか?暗号化されていない場合、どのように保護されますか?
ありがとう
3849 次
2 に答える
2
わかりました。探していた答えが見つかりました。http://en.wikipedia.org/wiki/ZIP_%28file_format%29およびhttp://en.wikipedia.org/wiki/Known-plaintext_attackから
ZIPなどの暗号化されたファイルアーカイブはこの攻撃を受けやすいです。[要出典]たとえば、暗号化されたZIPファイルを持つ攻撃者は、「既知平文」を形成するアーカイブからの暗号化されていないファイル(の一部)を1つだけ必要とします。[4] [5] 次に、公開されているソフトウェアを使用して、アーカイブ全体を復号化するために必要なキーをすばやく計算できます。この暗号化されていないファイルを取得するために、攻撃者はWebサイトで適切なファイルを検索するか、開くことができる別のアーカイブからファイルを見つけるか、暗号化されたアーカイブからファイル名の知識を備えたプレーンテキストファイルを手動で再構築しようとします。
つまり...zipは完全に安全ではありませんが、zip内のファイルのランダムなファイル名(適切に実装されている場合)と、暗号化されていないファイル(Webにアクセスできない)の即時削除があります-これ可能な解決策のようです...
その他のリソース: http: //linux.101hacks.com/archive-compression/password-protection-for-zip-files/
ただし、読んでいくと、7zipによるAES 256ビット暗号化zip(サーバーにインストールされた後)の方がはるかに安全です。既知の平文攻撃の影響も受けません。
于 2011-11-09T00:30:03.193 に答える
1
はい、暗号化されています。マニュアルによると:
-P password
use password to encrypt zipfile entries (if any). THIS IS INSECURE! Many multi-user operating
systems provide ways for any user to see the current command line of any other user; even on
stand-alone systems there is always the threat of over-the-shoulder peeking. Storing the
plaintext password as part of a command line in an automated script is even worse. Whenever
possible, use the non-echoing, interactive prompt to enter passwords. (And where security is
truly important, use strong encryption such as Pretty Good Privacy instead of the relatively
weak encryption provided by standard zipfile utilities.)
これは、centOSマシンで「manzip」を実行することで見つかります。
手動入力の注意事項として、セキュリティを高めるために、コマンドでパスワードを使用してファイルを圧縮することはお勧めできません。他の人がプロセスリストをチェックして、パスワードが圧縮されていると見なす可能性があるためです。
これがどのような暗号化を使用しているかはわかりませんが、いくつか見回したところ、あまり良くないようです。これに対するstackoverflowについても同様の質問がいくつかあります。暗号化が本当に重要な場合は、別のzipライブラリの使用を検討してください。GPGなど、AESを許可するものを使用してください。
于 2011-11-08T03:30:01.387 に答える