web-dev-qa-db-ja.com

アーカイブされたファイルを保護するパスワードは実際にそれを暗号化しますか?

たとえば、WinRARを使用してファイルを暗号化し、アーカイブにパスワードを設定すると、どの程度安全になりますか?私は個人的な日記をつけて、これを行うことを考えていますか、それとももっと良い方法がありますか?たった1つの巨大な.docxファイル。

37
Celeritas

要約:はい。ただし、代わりに VeraCrypt を使用してください。


ドキュメント から:

WinRARは、128ビットのキーを持つAES(Advanced Encryption Standard)を使用して、業界で強力なアーカイブ暗号化の利点を提供します。

つまり、データは暗号化されています。ただし、これはセキュリティの要素の1つにすぎません。もう1つの重要な要素は、キーがパスワードからどのように導出されるかです。どのような キー強化 が実行されますか?パスワードからのキーの導出が遅いほど、攻撃者がブルートフォースでパスワード(およびキー)を見つけるのにコストがかかります。とにかく弱いパスワードは乾杯ですが、適切なキー強化は かなり複雑ですが、それでも覚えやすいパスワード の違いを生む可能性があります。 WinRARは262144ラウンドのSHA-1と64ビットソルトを使用 、これは重要な強化機能です。

学術論文がWinRARのセキュリティについて書かれています: WinRAR暗号化機能のセキュリティについて Gary S.-W.ヨーとラファエルC.-W.ファン(ISC'05)。アブストラクトから引用すると(私は全文を読んでいないので、支払わなければアクセスできないようです):

このホワイトペーパーでは、WinRAR圧縮ソフトウェアによって提供される暗号化機能に対するいくつかの攻撃について説明します。これらの攻撃は、複数の暗号化プリミティブの統合に基づくセキュリティソフトウェアの開発が巧妙であるために可能です。つまり、各プリミティブがどれほど安全に設計されていても、特に他のプリミティブと組み合わせてそれらを使用しても、常に安全なシステムが保証されるわけではありません。代わりに、そのような慣行が何度もシステムに欠陥をもたらすことが示されています。私たちの結果は、KohnoによるWinZipに対する最近の攻撃と比較して、WinRARがわずかに優れたセキュリティ機能を提供しているように見えることを示しています。

RAR形式に組み込まれている暗号化を使用する利点は、WinRAR、7Zip、またはRAR形式をサポートするその他の一般的なソフトウェアを使用するすべての人に暗号化されたRARアーカイブを配布できることです。ユースケースでは、これは関係ありません。したがって、暗号化専用のソフトウェアを使用することをお勧めします。

Windowsを使用しているため、事実上の標準は TrueCrypt でした。 TrueCryptは、暗号化されたファイルとして保存される仮想ディスクを提供します。これはWinRARよりも安全です(私はTrueCryptを信頼しています。1日目からセキュリティを念頭に置いて作成されており、暗号化が補助的な機能である製品よりもはるかに優れています)。また、より便利です。パスワードを入力すると、ディスク上のファイルを透過的に開くことができます。終了したら、暗号化されたディスクのマウントを解除します。悲しいことに、TrueCryptは現在活発に開発されていませんが、後継者 VeraCrypt です。 VeraCrypt はTrueCryptに基づいており、古いTrueCryptコンテナーと互換性があります。


好奇心から、誰かが自分の日記に書いたものを使って法廷で誰かを差別することはできますか?

これは管轄に依存しますが、一般的に、はい、彼らが映画で言うように、あなたが言ったり書いたりすることは何でもあなたに対して使用することができます。法的に暗号化キーの開示を強いられる可能性があり、拒否すると追加料金が発生する場合があります。

WinRAR特典ページ から:

WinRARは、128ビットのキーを持つAES(Advanced Encryption Standard)を使用して、業界で強力なアーカイブ暗号化の利点を提供します。

つまり、パスワード保護を使用すると、ファイルも暗号化されます。 7-Zip AES-256暗号化を使用します。ファイルを保護するもう1つの方法は、 TrueCrypt を使用して暗号化ファイル(またはディスク)を作成することです。この場合、ニーズに合った暗号化アルゴリズムを選択できます。

ブルートフォース攻撃を防ぐために強力なパスワードを使用することを忘れないでください。

8
bretik

「docx」について言及しているので、Office 2007または2010を使用していると想定します。そこで実装されている暗号化メカニズムは問題ありません。パスワードの強度が十分であることを確認する必要があります。つまり、ファイルを保護するために外部プログラムを使用する必要はありません。

A Stack Overflowの質問 は、Officeの暗号化アルゴリズムをカバーしていました。これはクローズドソースコードなので、偏執狂の場合は TrueCrypt を使用する必要があります。

質問の2番目の部分については、それはあなたがいる法制度に完全に依存します。考慮すべき2つの側面があります。

  • あなたに対してコンテンツを使用することが合法かどうか(暗号化されているかどうかに関係なく)
  • 暗号化キーを指定せず、暗号化部分が十分に強力で正しく実装されている場合、暗号化キーなしではアクセスできない場合はどうなりますか。
5
WoJ

はい、WinRARはパスワードが使用されるときにアーカイブを暗号化します。個人的には7-Zipアプリケーションをお勧めします。これは、より柔軟性があるためです。はい、裁判所が証拠としてそれを使用することが合法である限り、あなたがどこに書いたものでもあなたを害する可能性があります。裁判所はあなたに対してあなたの個人的な日記/日記を使用することができます。私は弁護士ではありません。

3
Matrix

アーカイブ形式によってセキュリティのレベルは異なりますが、すべて同じ欠陥があり、実際にファイルを抽出して暗号化を解除しないと使用できません。さらに重要なことに、これはディスク上で行われます。つまり、暗号化されていないファイルのコピーがコンピューターに残ります。 Wordのようなプログラムは、自動保存ファイルも作成する傾向があり、暗号化されていないコピーがさらに追加されます。

最善の策は、ディスク全体の暗号化ソリューションであり、その中でTrueCryptが有力な候補です。

2
tylerl

好奇心からこれを読んでいる人がおそらくいるので、私はいくつかの警告を提供せざるを得ません:

  1. OPは彼の居住国について言及していなかったので、法的な質問のために彼は米国にいると想定します。
  2. すべての暗号化は、完全なセキュリティメカニズムではなく、十分な時間と力を与えられれば誰でも侵害できるという想定の下で使用する必要があります。それは-せいぜい-克服できる一時的なハードルです。
  3. コンピュータ上であれ、他の場所であれ、電子的に保存されたものは、合法的に取得されたものであれば、法廷であなたに対して使用できます。これは、第5修正特権(「ジャーナル」でさえもない)のカテゴリに分類されず、州または地方自治体によっても異なりません。これはSCOTUSに何度も行われており、現時点では解決済みの法律と見なされています。
  4. 命令されたときに復号化パスフレーズを提供しなかった場合は、法廷の侮辱と見なされ、無期限に(それが差し控えられている限り)懲役刑が科せられます。

したがって、最初の質問は互いに無関係であると考えます。

1
Jim S.

あなたが書くものについての潜在的な法的問題を恐れているなら、WinRARは十分に安全ではありません。そこには多くのrarパスワード解読プログラムがあります。

TrueCrypt をお勧めします。ただし、Wordが現在のドキュメントのコピーを一時フォルダーに作成していないことを確認してください。

1
jmn