it-swarm.com.de

Welche Verschlüsselungsmethode verwendet das Zip-Programm in macOS?

Um eine Datei sicher zu senden, werde ich eine Zip-Datei verschlüsseln/mit einem Passwort schützen. ( Warum ich das mache ). Ich verwende macOS Sierra 10.12.6 und bin durch meine Forschung zu dem Schluss gekommen, dass das Verschlüsseln einer Zip-Datei unter macOS folgendermaßen erfolgt:

Zip -e [newzip].Zip [myFile].[extension]

Dies funktioniert perfekt, aber ich möchte sicherstellen, dass der Algorithmus/die Methode zum Verschlüsseln der Zip-Datei sicher ist. Leider kann ich keine Dokumentation darüber finden, welchen Algorithmus/welche Methode der Befehl Zip zum Verschlüsseln verwendet, ob es sich um AES-256bit, AES-128bit oder etwas völlig anderes handelt.

Die man Seite von Zip ist keine Hilfe:

-e
       --encrypt
              Encrypt the contents of the Zip archive using a  password  which
              is  entered  on  the terminal in response to a Prompt (this will
              not be echoed; if standard error is not a  tty,  Zip  will  exit
              with  an  error).   The  password Prompt is repeated to save the
              user from typing errors.

Bitte geben Sie in Ihrer Antwort den verwendeten Algorithmus an, eine mögliche Quelle für diese Informationen, und wenn es sich nicht um AES-256bit/AES-128bit handelt, wie sicher der Algorithmus/die Methode ist.

12
JBis

Es wird die ursprüngliche PKZIP 2.0-Verschlüsselung (verschiedentlich als "traditionelle" oder "Legacy" -Verschlüsselung bezeichnet) verwendet, die in Abschnitt 6 von der .Zip-Dateiformatspezifikation beschrieben ist. Es basiert auf der Verwendung von CRC32, um das Kennwort, einen (hoffentlich) zufälligen Startwert und die komprimierte Datei zu mischen. Es wird nicht als sicher angesehen. Zumindest weist es schwerwiegende Sicherheitslücken für bekannte Klartextangriffe auf (eine Zusammenfassung finden Sie unter diese Antwort von crypto.se ).

Dies basiert auf: Betrachten von Apples Quellcode für Zip . Die README.CR sagt:

Der Verschlüsselungscode ist eine direkte Transkription des Algorithmus von Roger Schlafly, der von Phil Katz in der Datei appnote.txt beschrieben wird. Diese Datei wird mit dem PKZIP-Programm verteilt (auch in der Version ohne Verschlüsselungsfunktionen). Beachten Sie, dass die Verschlüsselung wahrscheinlich Angriffen von Amateuren widersteht, wenn das Passwort gut gewählt und lang genug ist (mindestens 8 Zeichen), aber wahrscheinlich Angriffen von Experten nicht widersteht. Paul Kocher hat Informationen zu einem bekannten Klartextangriff für das PKWARE-Verschlüsselungsschema zur Verfügung gestellt. Weitere Informationen finden Sie unter http://www.cryptography.com/ .) Kurze Passwörter, die nur aus Kleinbuchstaben bestehen, können auf jeder Workstation in wenigen Stunden wiederhergestellt werden. Aber für gelegentliche Kryptografie, die Ihre Mutter davon abhält, Ihre E-Mails zu lesen, ist es in Ordnung.

Beachten Sie, dass in der Datei angegeben wurde, dass sie zuletzt im Jahr 2008 aktualisiert wurde. Wenn es sich also um die Kennwortwiederherstellung "in wenigen Stunden auf einer beliebigen Workstation" handelt, handelt es sich um jahrzehntealte Hardware. Ich bin etwas verwirrt darüber, welche Version von Zip Apple tatsächlich verwendet. README.CR scheint darauf hinzudeuten, dass es sich um Version 2.31 handelt, aber WHATSNEW listet neue Funktionen in Zip v3.0 Beta auf (und sagt AES) ist für v3.1 geplant). Auf jeden Fall ist es ziemlich alt.

Als weitere Unterstützung verwendet die Datei crypto.c (obwohl etwas schwer zu verfolgen) eindeutig CRC32 für die Verschlüsselungs-/Entschlüsselungsprozesse, und die einzigen Erwähnungen von AES befinden sich in mehreren Dateien, die besagen, dass sie für eine spätere Version geplant sind.

Oh, und ich habe auch versucht, eine verschlüsselte Datei damit zu erstellen, und mir dann einen Hex-Dump angesehen. Es enthält nicht 0x0017, die Header-ID für einen "starken Verschlüsselungsheader". Es enthält zusätzlich zu jeder Datei 12 Byte Seed-Daten (Teil des "Legacy" -Formats). Das passt also zum Quellcode und zur README.

Zusammenfassung: Verwenden Sie es nicht. Ich würde nach Zip-Dienstprogrammen von Drittanbietern suchen, die eine modernere Verschlüsselung unterstützen, aber ich bin mit keinem von ihnen vertraut genug, um Empfehlungen abzugeben.

11
Gordon Davisson