Mám textový soubor, do kterého ukládám všechny své bankovní údaje. Komprimuji a šifruji to pomocí 7-Zip pomocí následujících parametrů:
Komprese parametry:
- Formát archivu : 7z
- Úroveň komprese : Ultra
- Metoda komprese : LZMA2
- Velikost slovníku : 64 MB
- Velikost pevného bloku : 4 GB
- Počet vláken CPU : 4
Parametry šifrování:
- Metoda šifrování : AES-256
- Šifrovat názvy souborů : Pravda
Heslo pro šifrování je zvoleno tak, aby nebylo nalezeno v žádném slovníku a je spíše téměř náhodným řetězcem (složeným z 15 -20 velká a malá písmena, číslice a symboly). Toto heslo nikde neukládám.
Také název souboru textového souboru je zachován tak, aby nikdo nemohl říci, že soubor souvisí s banka detai vůbec.
Je to podle následujících scénářů dostatečně bezpečné?
- Útočník převezme plnou kontrolu nad systémem, ale neví, že tento konkrétní soubor má pro něj nějaký význam.
- Útočník má soubor v držení, a aktivně se to pokouší dešifrovat, protože věděl, že má bankovní údaje.
Komentáře
- V otázce 1, pokud může útočník najít nezašifrovanou verzi souboru (tj. původní textový soubor nevymazaný z paměťového média), jeho práce je docela jednoduchá!
- Nyní, když internet ví o existenci tohoto souboru, myslím, že můžeme vládnout scénář 1;)
- @AnmolSinghJaggi: Ano, ne nešifrovaný soubor nikde neukládáte, ale 7-zip to dělá automaticky za vás (jak pohodlné, není ' t?;)) V adresáři Windows Temp, takže soubor je přístupný a lze jej otevřít pomocí externího softwaru pro textový editor. Horší případ je, že taková aplikace se pak často ani nepostará o smazání souboru a spoléhá na automatické čištění systému Windows, které to někdy v budoucnu provede … (adresář Windows Temp, jako je prohlížeč ' adresář mezipaměti, může být pro útočníky skutečnou jeskyní zázraků!)
- @WhiteWinterWolf Máte pravdu. Když jsem otevřel zašifrovaný soubor, všiml jsem si dočasného souboru. Po dokončení přístupu k zašifrovanému souboru také 7-Zip dočasný soubor smaže.
- @AnmolSinghJaggi: Ano (snaží se dělat věci správně :)), ale bude to pravda, pouze pokud zavřete textový editor před 7zip. Pokud je z nějakého důvodu 7zip zavřený, zatímco je soubor stále otevřený, soubor zde zůstane až do vyčištění dalšího obecného dočasného souboru.
Odpovědět
Šifrování 7-zip (nebo jiné podobné nástroje) slouží k ochraně archivovaných souborů. Pokud tedy návrháři nástrojů odvedli svou práci dobře, jste v bezpečí pro druhý případ (někdo dostane ruku na zašifrovaný soubor a pokusí se jej prolomit).
Takový nástroj však není navržen abychom vás ochránili před prvním zmíněným případem (někdo, kdo ve vašem přístroji získal přístup k datům vašeho účtu a / nebo pravidelně přistupujete k obsahu souboru). Někdo, kdo získal úplný (nebo dokonce minimální přístup bez nutnosti zvyšovat oprávnění) do vašeho systému, uvidí, že tento soubor používáte, a bude také schopen zaznamenávat stisknutí kláves při zadávání hesla. Ještě horší: útočník se s tím ve skutečnosti ani nebude muset obtěžovat, protože soubor bude s největší pravděpodobností přítomen v jasné formě ve vašem dočasném adresáři Windows.
Takže pro vaši první hrozbu bych s konečnou platností doporučil můžete použít nástroj určený pro toto použití, například KeePass , který zabrání ukládání dešifrovaných dat do dočasných souborů a při zadávání hesla poskytne minimální ochranu .
Komentáře
- Bylo by lepší ponechat software na přenosném úložném zařízení (aby bylo vyžadováno fyzický přístup)?
- @ Alpha3031: I ' m nevím, jestli pod " softwarem " máte na mysli 7zip nebo KeePass. Osobně bych měl sklon dávat přednost tomu, aby byly spustitelné soubory nainstalovány ve správném adresáři, aby operační systém mohl zabránit jakékoli neočekávané změně jejich souborů, což u externího paměťového zařízení neplatí. Pokud používám externí zařízení, vložil bych na něj buď šifrovaná data, nebo bylo třeba k heslu přidružit další soubor klíčů, aby bylo možné data dešifrovat (funkce nabízená KeyPassem).
Odpověď
Pokračovat v agresivním scénáři.
Dalo by se předpokládat, že původní textový soubor je smazán a se znalostí dočasného souboru může být také smazán.
Existuje však několik nástrojů, které najdou odstraněné soubory a lze je snadno obnovit, pokud nepoužíváte program „skartace“, který vyplňuje „prázdná“ místa na disku náhodnými bity, které přepisují původní informace.
Ačkoli by vaše metoda skrytí zipu byla užitečná pro běžného uživatele počítače, vážný pachatel by mohl tento software využít, obnovit smazané informace a získat přístup k citlivému souboru.
I když máte zavádějící jména ve vašem textovém souboru by „hacker“ pravděpodobně obnovil všechny smazané soubory, které by našel, a pomocí nástroje by mohl rychle vyhledat klíčová slova nebo čísla týkající se bankovnictví v libovolných textových souborech.
Odpověď
Problém s používáním 7z nebo jiného takového softwaru k ukládání šifrovaného textového souboru s podrobnostmi banky spočívá v tom, že když potřebujete data, budete muset soubor otevřít a rozbalit. V té době 7z vypíše jeho nezašifrovanou kopii do dočasného adresáře Windows. Vy (nebo software 7z) budete muset dočasně vymazat dočasný adresář při každém otevření souboru.
Toto není nejlepší řešení pro ukládání bankovních údajů. Použijte k tomu speciálně navržený software. Navrhoval bych místo toho použít Keepass. Nebudete muset řešit vše, co se nešifrované ukládá do dočasného adresáře Windows.
Komentáře
- 7zip má pro tuto chybu již léta a vlastník ' t Zdá se, že si myslí, že je to problém, dokonce i mnoho lidí se přihlásilo o tom, jak obrovský bezpečnostní problém je. sourceforge.net/p/sevenzip/bugs/1448
Odpovědět
Podrobnosti o několika chybách, které byly nahlášeny v roce 2019 a které se týkají slabého generování náhodných čísel, a chyby ve způsobu generování kódu IV, naleznete v níže uvedených odkazech ve verzích 7zip v té době:
https://threadreaderapp.com/thread/1087848040583626753.html
https://sourceforge.net/p/sevenzip/bugs/2176/
Zdá se, že tyto chyby byly opraveny v novějších verzích 7zip.