it-swarm-eu.dev

La password che protegge un file archiviato lo crittografa effettivamente?

Ad esempio, se uso WinRAR per crittografare un file e inserire una password nell'archivio, quanto è sicuro? Tengo un diario personale e sto pensando di farlo, o c'è un modo migliore? È solo un enorme .docx file.

37
Celeritas

Riepilogo: sì, ma usa VeraCrypt invece.


Dal documentazione :

WinRAR offre il vantaggio della crittografia degli archivi del settore con AES (Advanced Encryption Standard) con una chiave di 128 bit.

Quindi sì, i dati sono crittografati. Questo è solo uno degli elementi di sicurezza, tuttavia. Un altro elemento importante è come la chiave viene derivata dalla password: che tipo di rafforzamento della chiave viene eseguito? Più lenta è la derivazione della chiave dalla password, più costoso è per un attaccante trovare la password (e quindi la chiave) con la forza bruta. Una password debole è comunque un brindisi, ma un buon rafforzamento della chiave può fare la differenza per una password ragionevolmente complessa ma ancora memorabile . WinRAR utilizza 262144 round di SHA-1 con un sale a 64 bit , questo è un buon rafforzamento dei tasti.

È stato scritto un documento accademico sulla sicurezza di WinRAR: Sulla sicurezza della funzione di crittografia WinRAR di Gary S.-W. Yeo e Raphael C.-W. Phan (ISC'05). Citando dall'abstract (non ho letto il testo completo, non sembra accessibile senza pagare):

In questo documento, presentiamo diversi attacchi alla funzionalità di crittografia fornita dal software di compressione WinRAR. Questi attacchi sono possibili a causa della sottigliezza nello sviluppo di software di sicurezza basato sull'integrazione di più primitive crittografiche. In altre parole, non importa quanto sia progettato in modo sicuro ogni primitiva, usarli specialmente in associazione con altre primitive non garantisce sempre sistemi sicuri. Invece, tale pratica ha dimostrato più volte di avere sistemi difettosi. I nostri risultati, rispetto ai recenti attacchi a WinZip di Kohno, mostrano che WinRAR sembra offrire funzionalità di sicurezza leggermente migliori.

Il vantaggio dell'utilizzo della crittografia integrata nel formato RAR è che è possibile distribuire un archivio RAR crittografato a chiunque disponga di WinRAR, 7Zip o altri software comuni che supportano il formato RAR. Per il tuo caso d'uso, questo è irrilevante. Pertanto consiglio di utilizzare un software dedicato alla crittografia.

Lo standard di fatto poiché stai usando Windows era TrueCrypt . TrueCrypt fornisce un disco virtuale che viene archiviato come file crittografato. Non solo è più sicuro di WinRAR (mi fido di TrueCrypt, che è stato scritto pensando alla sicurezza sin dal primo giorno, molto più di qualsiasi altro prodotto la cui crittografia è una funzione accessoria), ma è anche più conveniente: monti il ​​disco crittografato fornendo la tua password, quindi puoi aprire i file sul disco in modo trasparente e quando hai finito smonta il disco crittografato. Purtroppo TrueCrypt non è più in sviluppo attivo ma è il successore VeraCrypt lo è. VeraCrypt è basato su TrueCrypt ed è compatibile con i vecchi contenitori TrueCrypt.


Per curiosità, ciò che qualcuno scrive nel loro diario può essere usato per incriminare qualcuno in tribunale?

Questo dipende dalla giurisdizione, ma in generale sì, come si dice nei film, tutto ciò che dici o scrivi può essere usato contro di te. Potresti essere legalmente obbligato a rivelare le chiavi di crittografia e potresti dover sostenere ulteriori addebiti in caso di rifiuto.

Da pagina dei vantaggi di WinRAR :

WinRAR offre il vantaggio della crittografia degli archivi del settore con AES (Advanced Encryption Standard) con una chiave di 128 bit.

Quindi sì, l'uso della protezione con password crittografa anche il tuo file. 7-Zip utilizza la crittografia AES-256. Un altro approccio per proteggere i tuoi file potrebbe essere la creazione di file (o disco) crittografati utilizzando TrueCrypt , dove puoi scegliere l'algoritmo di crittografia adatto alle tue esigenze.

Ricorda solo di usare una password complessa per prevenire attacchi di forza bruta.

8
bretik

Citi "docx", quindi suppongo che tu sia su Office 2007 o 2010. Il meccanismo di crittografia implementato è OK, devi assicurarti che la tua password sia abbastanza forte. In altre parole, non è necessario utilizzare un programma esterno per proteggere il file.

A Stack Overflow question ha coperto gli algoritmi di crittografia per Office. Questo è un codice sorgente chiuso, quindi se sei paranoico dovresti usare TrueCrypt .

Per quanto riguarda la seconda parte della domanda: dipende completamente dal sistema legale in cui ci si trova. Vi sono due aspetti da tenere in considerazione:

  • se è legale usare il contenuto contro di te (indipendentemente dal fatto che sia crittografato o meno)
  • cosa succede se non si fornisce la chiave di crittografia e la parte crittografica è abbastanza forte/correttamente implementata in modo che l'accesso non sia possibile senza di essa.
5
WoJ

Sì, WinRAR crittografa l'archivio quando viene utilizzata una password. Consiglio personalmente l'applicazione 7-Zip in quanto offre maggiore flessibilità. Sì, ciò che scrivi ovunque può incriminarti fintanto che è legale per il tribunale utilizzarlo come prova. Il tribunale può usare il tuo diario/diario personale contro di te. Non sono un avvocato però.

3
Matrix

Diversi formati di archivio offrono diversi livelli di sicurezza, ma soffrono tutti dello stesso difetto: non puoi effettivamente USARE il file senza estrarlo e decodificarlo. Ancora più importante, questo viene fatto su disco, il che significa che una copia del file senza crittografia rimane sul tuo computer. Programmi come Word tendono anche a creare file di salvataggio automatico che aggiungono ancora più copie non crittografate.

La soluzione migliore è una soluzione di crittografia dell'intero disco, di cui TrueCrypt è il principale contendente.

2
tylerl

Mi sento in dovere di offrire alcuni avvertimenti perché probabilmente ce ne sono altri che leggono questo per curiosità:

  1. Il PO non ha fatto riferimento al suo paese di residenza, quindi suppongo che sia negli Stati Uniti per le questioni legali.
  2. Qualsiasi crittografia dovrebbe essere utilizzata supponendo che non sia un meccanismo di sicurezza infallibile e che possa essere violato da chiunque, dato il tempo e la forza sufficienti. È, nella migliore delle ipotesi, un ostacolo temporaneo che può essere superato.
  3. Tutto ciò che è archiviato elettronicamente, sia sul tuo computer che altrove, può essere usato contro di te in tribunale a condizione che sia stato ottenuto legalmente. Non rientra nella categoria del privilegio del 5 ° emendamento (nemmeno un "giornale"), né varia in base allo Stato o alla giurisdizione locale. Questo è stato per lo SCOTUS più volte ed è considerato legge consolidata a questo punto.
  4. Il mancato conferimento di una passphrase di decodifica quando ordinato è considerato disprezzo del tribunale, con una pena detentiva a tempo indeterminato (purché trattenuto).

Pertanto considererei le domande iniziali irrilevanti l'una per l'altra.

1
Jim S.

Se hai paura di potenziali problemi legali su ciò che scrivi, allora WinRAR non è abbastanza sicuro. Esistono molti programmi per la password rara.

Consiglierei TrueCrypt . Ma assicurati che Word non abbia effettuato alcuna copia del documento corrente nella cartella temporanea.

1
jmn