it-swarm-eu.dev

Skryje heslo chráněné archivovaným souborem?

Například pokud používám WinRAR k šifrování souboru a vložení hesla do archivu, jak je to bezpečné? Vedu osobní deník a přemýšlím o tom, nebo existuje lepší způsob? Je to jen jeden obrovský .docx soubor.

37
Celeritas

Shrnutí: ano, ale místo toho použijte VeraCrypt .


Z dokumentace :

WinRAR vám nabízí výhodu průmyslového šifrování archivu pomocí AES (Advanced Encryption Standard) s klíčem 128 bitů.

Takže ano, data jsou šifrována. To je však pouze jeden z prvků bezpečnosti. Dalším důležitým prvkem je, jak je klíč odvozen od hesla: jaký druh posílení klíče se provádí? Čím pomalejší je odvození klíče od hesla, tím dražší je, aby útočník našel heslo (a tedy klíč) hrubou silou. Slabým heslem je toast, ale dobré posílení klíčů může znamenat rozdíl pro rozumně složité, ale stále zapamatovatelné heslo . WinRAR používá 262144 kol SHA-1 se 64bitovou solí , to je dobré posílení klíče.

O bezpečnosti WinRARu byla napsána akademická práce: O bezpečnosti šifrovací funkce WinRAR Gary S.-W. Yeo a Raphael C.-W. Phan (ISC'05). Citace z abstraktů (celý text jsem nečetl, zdá se, že není přístupný bez placení):

V tomto článku uvádíme několik útoků na šifrovací funkci poskytovanou kompresním softwarem WinRAR. Tyto útoky jsou možné díky jemnosti při vývoji bezpečnostního softwaru založeného na integraci více kryptografických primitiv. Jinými slovy, bez ohledu na to, jak bezpečně je navržen každý primitiv, jejich použití zejména ve spojení s jinými primitivy ne vždy zaručuje bezpečné systémy. Místo toho čas od času tato praxe ukázala, že má za následek vadné systémy. Naše výsledky ve srovnání s nedávnými útoky na WinZip od Kohna ukazují, že se zdá, že WinRAR nabízí o něco lepší bezpečnostní funkce.

Výhodou použití šifrování zabudovaného do formátu RAR je to, že můžete distribuovat šifrovaný archiv RAR komukoli s WinRAR, 7Zip nebo jiným běžným softwarem, který podporuje formát RAR. Pro váš případ použití je to irelevantní. Proto doporučuji používat software, který je určen pro šifrování.

Skutečným standardem od používání systému Windows byl TrueCrypt . TrueCrypt poskytuje virtuální disk, který je uložen jako šifrovaný soubor. Nejen, že je to bezpečnější než WinRAR (důvěřuji TrueCrypt, který je psán s ohledem na bezpečnost od prvního dne, mnohem více než jakýkoli produkt, jehož šifrování je doplňkovou funkcí), je také pohodlnější: zašifrovaný disk připojíte poskytnutím své heslo, pak můžete soubory na disku otevírat transparentně a po dokončení šifrování odpojte. Bohužel TrueCrypt již není v aktivním vývoji, ale je jeho nástupcem VeraCrypt je. VeraCrypt je založeno na TrueCrypt a je kompatibilní se starými TrueCrypt kontejnery.


Není divu, že to, co někdo píše ve svém časopise, může být použito k obvinění někoho u soudu?

To záleží na jurisdikci, ale obecně, ano, jak se říká ve filmech, lze proti vám použít cokoli, co řeknete nebo píšete. Pravděpodobně budete nuceni odhalit šifrovací klíče a v případě odmítnutí vám mohou být účtovány další poplatky.

Z stránka výhod WinRAR :

WinRAR vám nabízí výhodu průmyslového šifrování archivu pomocí AES (Advanced Encryption Standard) s klíčem 128 bitů.

Ano ano, pomocí ochrany heslem šifruje také váš soubor. 7-Zip používá šifrování AES-256. Dalším přístupem k ochraně souborů může být vytvoření šifrovaného souboru (nebo disku) pomocí TrueCrypt , kde si můžete vybrat šifrovací algoritmus, který vyhovuje vašim potřebám.

Nezapomeňte použít silné heslo, abyste zabránili útoku hrubou silou.

8
bretik

Zmiňujete „docx“, takže předpokládám, že používáte Office 2007 nebo 2010. Mechanismus šifrování implementovaný je v pořádku, musíte se ujistit, že vaše heslo je dostatečně silné. Jinými slovy, k ochraně vašeho souboru nepotřebujete externí program.

Otázka přetečení zásobník pokrývala šifrovací algoritmy pro sadu Office. Toto je uzavřený zdrojový kód, takže pokud jste paranoidní, měli byste použít TrueCrypt .

Pokud jde o druhou část otázky: zcela záleží na právním systému, ve kterém se nacházíte. Je třeba vzít v úvahu dva aspekty:

  • zda je legální používat obsah proti vám (bez ohledu na to, zda je šifrován nebo ne)
  • co se stane, pokud nedáte šifrovací klíč a krypto část je dostatečně silná/správně implementovaná, takže bez ní nebude možný přístup.
5
WoJ

Ano, WinRAR šifruje archiv při použití hesla. Osobně doporučuji aplikaci 7-Zip, protože nabízí větší flexibilitu. Ano, to, co píšete kdekoli, vás může obviňovat, pokud to soud může použít jako důkaz. Soud může proti vám použít váš osobní deník/deník. Nejsem právník.

3
Matrix

Různé formáty archivů nabízejí různé úrovně zabezpečení, ale všechny trpí stejnou chybou: soubor nelze skutečně použít, aniž byste jej rozbalili a nezašifrovali. Ještě důležitější je, že se to provádí na disku, což znamená, že kopie vašeho souboru bez šifrování zůstává v počítači. Programy, jako je Word, mají tendenci vytvářet také automatické ukládání souborů, které přidávají ještě více nešifrovaných kopií.

Vaše nejlepší sázka je řešení šifrování celého disku, jehož hlavním kandidátem je TrueCrypt.

2
tylerl

Cítím se nucen nabídnout nějaké námitky, protože je pravděpodobné, že někteří čtou toto ze zvědavosti:

  1. OP neodkázal na svou zemi bydliště, takže budu předpokládat, že pro právní otázky je v USA.
  2. Jakékoli šifrování by mělo být používáno za předpokladu, že se nejedná o spolehlivý bezpečnostní mechanismus a že může být narušen kýmkoli, s dostatečným časem a silou. Je to - v nejlepším případě - dočasná překážka, kterou lze překonat.
  3. Všechno uložené elektronicky, ať už ve vašem počítači nebo kdekoli jinde, lze proti vám použít u soudu za předpokladu, že bylo získáno zákonným způsobem. Nepatří do kategorie privilegia 5. dodatku (ani „deníku“), ani se nemění podle státní či místní jurisdikce. To bylo na SCOTUSu vícekrát a v tomto bodě je považováno za ustálené právo.
  4. Neposkytnutí dešifrovací přístupové fráze, když je nařízeno, je považováno za pohrdání soudem, s trestem odnětí svobody na dobu neurčitou (pokud je zadrženo).

Proto bych považoval počáteční otázky za navzájem irelevantní.

1
Jim S.

Pokud se bojíte možných právních problémů ohledně toho, co píšete, WinRAR není dostatečně bezpečný. Existuje mnoho vzácných programů prolomení hesla.

Doporučil bych TrueCrypt . Ale ujistěte se, že aplikace Word nevytvořila žádné kopie aktuálního dokumentu ve vaší dočasné složce.

1
jmn