21 września, 2020
Articles
Brak komentarzy

Jak bezpieczne jest szyfrowanie 7z?

Mam plik tekstowy, w którym przechowuję wszystkie moje dane bankowe. Kompresuję i szyfruję za pomocą 7-Zip , używając następujących parametrów:

Kompresja parametry:

  • Format archiwum : 7z
  • Poziom kompresji : Ultra
  • Metoda kompresji : LZMA2
  • Rozmiar słownika : 64 MB
  • Rozmiar bloku pełnego : 4 GB
  • Liczba wątków procesora : 4

Parametry szyfrowania:

  • Metoda szyfrowania : AES-256
  • Zaszyfruj nazwy plików : Prawda

Hasło do szyfrowania jest wybrane w taki sposób, że nie można go znaleźć w żadnym słowniku i jest to raczej prawie losowy ciąg (złożony z 15 -20 dużych i małych liter, cyfr i symboli). Nigdzie nie przechowuję tego hasła.
Ponadto nazwa pliku tekstowego jest przechowywana w taki sposób, że nikt nie będzie w stanie stwierdzić, że plik jest powiązany bank detai w ogóle.

Czy jest to wystarczająco bezpieczne w następujących scenariuszach?

  1. Atakujący przejmuje pełną kontrolę nad systemem, ale nie wie, że ten konkretny plik ma dla niego jakiekolwiek znaczenie.
  2. Atakujący jest w posiadaniu pliku, i aktywnie próbuje go odszyfrować, wiedząc, że ma dane bankowe.

Komentarze

  • W pytaniu 1, jeśli atakujący może znaleźć niezaszyfrowaną wersję pliku (tj. oryginalny plik tekstowy nieusunięty z nośnika pamięci), jego zadanie jest dość proste!
  • Teraz, gdy internet wie o istnieniu tego pliku, myślę, że możemy rządzić out scenariusz 1;)
  • @AnmolSinghJaggi: Tak, Ty nie przechowujesz niezaszyfrowanego pliku nigdzie, ale 7-zip robi to automatycznie (jak wygodnie, czy nie ' t it?;)) W katalogu Windows Temp, dzięki czemu plik jest dostępny i można go otworzyć za pomocą zewnętrznego oprogramowania do edycji tekstu. Najgorszym przypadkiem jest to, że bardzo często taka aplikacja nawet nie zadba o usunięcie pliku, polegając na automatycznym czyszczeniu systemu Windows, aby zrobić to w pewnym momencie w przyszłości … (katalog Windows Temp, jak przeglądarka ' s katalogu pamięci podręcznej, może być prawdziwą jaskinią cudów dla napastników!)
  • @WhiteWinterWolf Masz rację. Zauważyłem plik tymczasowy, kiedy otworzyłem zaszyfrowany plik. Ponadto 7-Zip usuwa plik tymczasowy po tym, jak skończę uzyskiwać dostęp do zaszyfrowanego pliku.
  • @AnmolSinghJaggi: Tak (starają się zrobić wszystko poprawnie :)), ale będzie to prawda tylko wtedy, gdy zamkniesz edytor tekstu przed 7zip. Jeśli z jakiegoś powodu 7zip zostanie zamknięty, gdy plik jest nadal otwarty, plik pozostanie tutaj do następnego ogólnego czyszczenia plików tymczasowych.

Odpowiedź

Szyfrowanie 7-zip (lub inne podobne narzędzia) jest przeznaczone do ochrony zarchiwizowanych plików. Tak więc, jeśli projektanci narzędzi wykonali swoją pracę dobrze, jesteś bezpieczny w drugim przypadku (ktoś złapie zaszyfrowany plik i spróbuje go złamać).

Jednak takie narzędzie nie jest zaprojektowane aby chronić Cię przed pierwszym z wymienionych przypadków (ktoś uzyskuje dostęp do danych Twojego konta na Twoim komputerze i / lub regularnie uzyskujesz dostęp do zawartości pliku). Rzeczywiście, ktoś, kto uzyskał pełny (lub nawet minimalny, bez potrzeby zwiększania uprawnień) dostęp do twojego systemu, zobaczy, że używasz tego pliku, a także będzie w stanie przechwytywać naciśnięcia klawiszy podczas wpisywania hasła. Co gorsza: osoba atakująca nie będzie nawet musiała się tym przejmować, ponieważ plik najprawdopodobniej będzie obecny w przejrzystej formie w katalogu Temp systemu Windows.

W przypadku pierwszego zagrożenia zdecydowanie polecam użyj narzędzia zaprojektowanego do tego celu, takiego jak KeePass , które pozwoli uniknąć przechowywania odszyfrowanych danych w plikach tymczasowych i zapewni minimalne zabezpieczenie podczas wpisywania hasła .

Komentarze

  • Czy lepiej byłoby przechowywać oprogramowanie na przenośnym urządzeniu pamięci masowej (tak, aby wymagało fizycznego dostępu)?
  • @ Alpha3031: I ' m nie jestem pewien, czy ” oprogramowanie ” masz na myśli 7zip czy KeePass. Osobiście wolałbym mieć pliki wykonywalne instalowane w odpowiednim katalogu, aby system operacyjny mógł zapobiec nieoczekiwanej modyfikacji ich plików, co nie ma miejsca w przypadku zewnętrznego urządzenia pamięci masowej. Jeśli korzystam z urządzenia zewnętrznego, umieściłbym na nim zaszyfrowane dane lub dodatkowy plik klucza, który musiałby być powiązany z hasłem w celu odszyfrowania danych (funkcja oferowana przez KeyPass).

Odpowiedź

Kontynuacja agresywnego scenariusza.

Można założyć, że oryginalny plik tekstowy jest usuwany i znając plik tymczasowy, można go również usunąć.

Jest jednak kilka narzędzi, które znajdują usunięte pliki i mogą je łatwo odzyskać, chyba że używasz programu „niszczącego”, który wypełni „puste” przestrzenie na dysku losowymi bitami nadpisującymi oryginalne informacje.

Chociaż twoja metoda ukrywania plików ZIP byłaby użyteczna dla zwykłego użytkownika komputera, poważny sprawca mógłby użyć tego oprogramowania, odzyskać usunięte informacje i uzyskać dostęp do poufnego pliku.

Nawet jeśli masz mylące nazwy w Twoim pliku tekstowym „haker” prawdopodobnie odzyskałby wszystkie usunięte pliki, które mógł znaleźć, i użył narzędzia do szybkiego przeszukiwania dowolnych zwykłych plików tekstowych pod kątem słów kluczowych lub liczb związanych z bankowością.

Odpowiedź

Problem z użyciem 7z lub innego podobnego oprogramowania do zapisania zaszyfrowanego pliku tekstowego ze szczegółami banku polega na tym, że kiedy potrzebujesz danych, będziesz musiał otworzyć plik i rozpakować go. W tym czasie 7z zrzuci jego niezaszyfrowaną kopię do katalogu tymczasowego systemu Windows. Ty (lub oprogramowanie 7z) będziesz musiał poprawnie wyczyścić katalog tymczasowy za każdym razem, gdy otwierasz plik.

To nie jest najlepsze rozwiązanie do zapisywania danych bankowych. Użyj oprogramowania specjalnie do tego zaprojektowanego. Zamiast tego sugerowałbym użycie Keepass. Nie będziesz musiał radzić sobie z niczym niezaszyfrowanym, który zostanie zrzucony do katalogu tymczasowego systemu Windows.

Komentarze

  • 7zip od lat ma błąd, a właściciel nie ' t wydaje się, że to problem, nawet jeśli wiele osób zgłosiło się, mówiąc o tym, jak ogromny jest to problem z bezpieczeństwem. sourceforge.net/p/sevenzip/bugs/1448

Odpowiedź

Zobacz poniższe linki, aby uzyskać szczegółowe informacje na temat kilku błędów, które zostały zgłoszone w 2019 r., dotyczących słabego generowania liczb losowych oraz usterki w sposobie generowania IV w ówczesnych wersjach 7zip:

https://threadreaderapp.com/thread/1087848040583626753.html

https://sourceforge.net/p/sevenzip/bugs/2176/

Wygląda na to, że te błędy zostały naprawione w późniejszych wersjach 7zip.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *