Settembre 21, 2020
Articles
Nessun commento

Quanto è sicura la crittografia 7z?

Ho un file di testo in cui memorizzo tutti i miei dati bancari. Lo comprimo e lo crittografo con 7-Zip utilizzando i seguenti parametri:

Compressione parametri:

  • Formato archivio : 7z
  • Livello di compressione : Ultra
  • Metodo di compressione : LZMA2
  • Dimensione dizionario : 64 MB
  • Dimensione blocco solido : 4 GB
  • Numero di thread CPU : 4

Parametri di crittografia:

  • Metodo di crittografia : AES-256
  • Crittografa nomi di file : True

La password per la crittografia è scelta in modo tale da non essere trovata in nessun dizionario ed è piuttosto una stringa quasi casuale (composta da 15 -20 lettere maiuscole e minuscole, numeri e simboli). Non memorizzo questa password da nessuna parte.
Inoltre, il nome del file di testo viene mantenuto in modo tale che nessuno sia in grado di dire che il file è correlato a banca detai Assolutamente.

È abbastanza sicuro, nelle seguenti situazioni?

  1. Laggressore assume il pieno controllo del sistema, ma non sa che questo particolare file è di alcuna importanza per lui.
  2. Laggressore è in possesso del file, e sta attivamente cercando di decrittografarlo, sapendo che ha i dettagli bancari.

Commenti

  • Nella domanda 1, se laggressore può trova la versione non crittografata del file (cioè, il file di testo originale non è stato cancellato dal supporto di memorizzazione), il suo lavoro è piuttosto semplice!
  • Ora che Internet sa dellesistenza di questo file, penso che possiamo governare out scenario 1;)
  • @AnmolSinghJaggi: Sì, tu non archivi il file non crittografato da nessuna parte, ma 7-zip lo fa automaticamente per te (comè conveniente, non è ‘ t it?;)) Nella directory Temp di Windows in modo che il file sia accessibile e possa essere aperto da un software di editor di testo esterno. Il caso peggiore è che molto spesso tale applicazione non si prenderà nemmeno cura di eliminare il file, affidandosi alla pulizia automatica di Windows per farlo in futuro … (directory Temp di Windows, come il browser ‘ la directory della cache, può essere una vera e propria caverna delle meraviglie per gli aggressori!)
  • @WhiteWinterWolf Hai ragione. Ho notato il file temporaneo quando ho aperto il file crittografato. Inoltre, 7-Zip elimina il file temporaneo dopo che ho finito di accedere al file crittografato.
  • @AnmolSinghJaggi: Sì (provano a fare le cose correttamente :)), ma questo sarà vero solo se chiudi leditor di testo prima di 7zip. Se, per qualche motivo, 7zip viene chiuso mentre il file è ancora aperto, il file rimarrà qui fino alla successiva pulizia generale dei file temporanei.

Risposta

La crittografia 7-zip (o qualsiasi altra utilità simile) è progettata per proteggere i file archiviati. Quindi, fintanto che i progettisti degli strumenti hanno svolto bene il loro lavoro, sei al sicuro per il secondo caso (qualcuno che metta le mani sul file crittografato e provi a decifrarlo).

Tuttavia, tale utilità non è progettata per proteggerti dal tuo primo caso menzionato (qualcuno che accede ai dati del tuo account sulla tua macchina e / o tu che accede regolarmente al contenuto del file). In effetti, qualcuno che ha ottenuto un accesso completo (o anche solo minimo, senza bisogno di aumentare i privilegi) al tuo sistema vedrà che utilizzi questo file e sarà anche in grado di catturare le tue sequenze di tasti mentre digiti la tua password. Ancora peggio: un utente malintenzionato in realtà non dovrà nemmeno preoccuparsi di questo poiché il file sarà molto probabilmente presente in forma chiara nella directory Temp di Windows.

Quindi, per la tua prima minaccia, lo consiglio vivamente di utilizzare uno strumento progettato per questo utilizzo, come KeePass che eviterà di memorizzare i dati decrittografati in file temporanei e fornirà una protezione minima durante la digitazione della password .

Commenti

  • Sarebbe meglio mantenere il software su un dispositivo di archiviazione portatile (in modo da richiedere laccesso fisico)?
  • @ Alpha3031: I ‘ m non sono sicuro se con ” il software ” intendi 7zip o KeePass. Personalmente, tenderei a preferire che i file eseguibili siano installati nella directory corretta in modo che il sistema operativo possa impedire qualsiasi modifica inaspettata dei loro file, cosa che non è il caso del dispositivo di archiviazione esterno. Se si utilizza un dispositivo esterno, ci metterei i dati crittografati o un file chiave aggiuntivo da associare alla password per decrittografare i dati (una funzionalità offerta da KeyPass).

Risposta

Per continuare con lo scenario aggressivo.

Si potrebbe presumere che il file di testo originale sia stato eliminato e con la conoscenza del file temporaneo anchesso può essere eliminato.

Tuttavia ci sono alcuni strumenti che trovano i file eliminati e possono recuperarli facilmente a meno che non si utilizzi un programma di “distruzione” che riempia gli spazi “vuoti” sullunità con bit casuali sovrascrivendo le informazioni originali.

Mentre il tuo metodo per nascondere la zip sarebbe utile contro lutente occasionale del computer, un autore serio potrebbe utilizzare questo software, recuperare le informazioni cancellate e accedere al file sensibile.

Anche se hai nomi fuorvianti sul tuo file di testo l “hacker” probabilmente recupererebbe tutti i file eliminati che poteva trovare e userebbe uno strumento per cercare rapidamente qualsiasi file di testo semplice per parole chiave o numeri relativi al settore bancario.

Risposta

Il problema con lutilizzo di 7z o altro software simile per salvare file di testo crittografato con dettagli bancari è che quando hai bisogno del dati, dovrai aprire il file e decomprimerlo. A quel punto 7z ne scaricherà una copia non crittografata nella directory temporanea di Windows. Tu (o il software 7z) dovrai cancellare correttamente la directory temporanea ogni volta che apri il file.

Questa non è la soluzione migliore per salvare i dettagli bancari. Utilizza un software progettato appositamente per questo. Suggerirei invece di utilizzare Keepass. Non dovrai occuparti di nulla di non crittografato che viene scaricato nella directory temporanea di Windows.

Commenti

  • 7zip ha riscontrato un bug per questo per anni e il proprietario non ‘ sembra che sia un problema, anche se molte persone si sono fatte avanti parlando di quanto sia enorme il problema di sicurezza. sourceforge.net/p/sevenzip/bugs/1448

Risposta

Vedi i link sottostanti per i dettagli su diversi bug segnalati nel 2019 riguardanti la generazione di numeri casuali deboli e un difetto nel modo in cui viene generato lIV, nelle versioni di 7zip in quel momento:

https://threadreaderapp.com/thread/1087848040583626753.html

https://sourceforge.net/p/sevenzip/bugs/2176/

Sembra che questi bug siano stati corretti nelle versioni successive di 7zip.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *