web-dev-qa-db-ja.com

力ずくでパスワード保護されたZipファイルを破壊できますか?

AES 128でパスワード保護するために7zで作成したZipファイルがあります。スマートな攻撃者はブルートフォースによってのみデータを抽出できますか、それとも他の攻撃に対して脆弱ですか-わからない、などパスワードをバイパスしてデータを抽出できますか?

26
Strapakowsky

ZipファイルはAES-256で暗号化され、キーはスローキー派生関数(KDF)を使用して派生されます。現在、暗号化をバイパスする既知の方法はありません。

17
Polynomial

直接的な意味で、あなたは(extracting data)と述べました、いいえ。ただし、パスワードで保護されたZipアーカイブ内のプログラム(またはユーザー)は、(パスワードを知らなくても)できることに注意してください。

  • ファイルのリストを閲覧する、
  • ファイルの種類を確認する1

Zipファイルは、「壊れている」という意味にもなる可能性があります。つまり、Zipファイル内に保存されている既存のパスワード保護ファイルを、知らないうちに同じ名前の別のファイルで上書きできます。パスワード。

これらすべての言及された操作は攻撃者にコンテンツへのアクセスを与えません(彼または彼女はまだデータを抽出することができません)、それを一覧表示するか破壊するだけです。だから私はこれを可能な副作用としてだけ言及している、あなたは気づいていないかもしれない。一部の人々はこれをセキュリティリークとして扱い、この理由によりZipファイルは安全ではないと述べていますが、他の人はこれらの「追加」があってもセキュリティに違反していないと考えています。

Zipファイルの内容はパスワードを知らなくても変更できるため、パスワードで保護されたファイルを別のファイルに置き換えることで、心理的な面(ソーシャルエンジニアリング、ハッキングなど)で完全な不安定性について話すことができます。攻撃者は、パスワードを知らなくてもZipファイルの内容を変更し、変更されていないことを被害者に要求できます。被害者は、上記の副作用を知らずに、アーカイブが変更されていないか、その内容が変更されていないと誤って想定する可能性があります。パスワードを知っている唯一の人。

ここにあります Zipファイルのセキュリティに関する簡単な質問です。多くの有用な回答とコメントがあり、非常に優れた情報であることがわかりました。

1この「動作中」を確認するには、暗号化され、パスワードで保護されたEXEファイルを含むZipをGmail経由で送信してみてください。 Gmailは、実行可能ファイルを送信していることを検出できます(送信を阻止します)。ただし、パスワードがわからないため、Zipは保護されています。補足:まったく同じファイルを別の拡張子(つまり、file.not-Zip)を付けて名前を変更すると、この「保護」メカニズムを完全に無効化して、実行可能ファイルを含むアーカイブを送信できるようになるのもおもしろくて驚きです。おかしい、Gmailは暗号化されたパスワードで保護されたZipを実行してユーザーが実行可能ファイルを送信するのを「保存」できるが、ファイル名の変更で完全に「死ぬ」ため。

18
trejder

いいえ、私が知っている限りでは、ブルートフォースパスワードを強制する以外に、現在実行可能な攻撃ベクトルはありません。

4
Xander