septiembre 21, 2020
Articles
No hay comentarios

¿Qué tan seguro es el cifrado 7z?

Tengo un archivo de texto en el que guardo todos mis datos bancarios. Lo comprimo y encripto con 7-Zip usando los siguientes parámetros:

Compresión parámetros:

  • Formato de archivo : 7z
  • Nivel de compresión : Ultra
  • Método de compresión : LZMA2
  • Tamaño del diccionario : 64 MB
  • Tamaño de bloque sólido : 4 GB
  • Número de subprocesos de CPU : 4

Parámetros de cifrado:

  • Método de cifrado : AES-256
  • Encriptar nombres de archivos : Verdadero

La contraseña para el cifrado se elige de tal manera que no se encuentre en ningún diccionario y sea más bien una cadena casi aleatoria (compuesta de 15 -20 letras mayúsculas y minúsculas, números y símbolos). No guardo esta contraseña en ningún lugar.
Además, el nombre de archivo del archivo de texto se mantiene de tal manera que nadie pueda decir que el archivo está relacionado con detalles bancarios En absoluto.

¿Es esto lo suficientemente seguro en los siguientes escenarios?

  1. El atacante toma el control total del sistema, pero no sabe que este archivo en particular es de importancia para él.
  2. El atacante está en posesión del archivo, y está tratando activamente de descifrarlo, sabiendo que tiene los datos bancarios.

Comentarios

  • En la pregunta 1, si el atacante puede encontrar la versión no cifrada del archivo (es decir, el archivo de texto original no borrado de los medios de almacenamiento), ¡su trabajo es bastante simple!
  • Ahora que Internet conoce la existencia de este archivo, creo que podemos descartar fuera del escenario 1;)
  • @AnmolSinghJaggi: Sí, usted no almacena el archivo sin cifrar en ningún lugar, pero 7-zip lo hace automáticamente por usted (qué conveniente, no es ‘ t it?;)) En el directorio Temp de Windows para que el archivo sea accesible y pueda abrirse con un software de edición de texto externo. El peor caso es que, muy a menudo, dicha aplicación ni siquiera se encargará de eliminar el archivo, confiando en la limpieza automática de Windows para hacer esto en algún momento en el futuro … (directorio temporal de Windows, como el navegador ‘ s directorio de caché, ¡puede ser una verdadera cueva de maravillas para los atacantes!)
  • @WhiteWinterWolf Tienes razón. Noté el archivo temporal cuando abrí el archivo cifrado. Además, 7-Zip elimina el archivo temporal después de que termine de acceder al archivo cifrado.
  • @AnmolSinghJaggi: Sí (intentan hacer las cosas correctamente :)), pero esto será cierto solo si cierras el editor de texto antes de 7zip. Si, por alguna razón, 7zip se cierra mientras el archivo aún está abierto, el archivo permanecerá aquí hasta la próxima limpieza general de archivos temporales.

Respuesta

El cifrado 7-zip (o cualquier otra utilidad similar) está diseñado para proteger los archivos archivados. Por lo tanto, siempre que los diseñadores de herramientas hayan hecho bien su trabajo, usted está a salvo para el segundo caso (alguien agarra el archivo cifrado e intenta descifrarlo).

Sin embargo, dicha utilidad no está diseñada para protegerlo contra su primer caso mencionado (alguien que tenga acceso a los datos de su cuenta en su máquina y / o usted acceda al contenido del archivo con regularidad). De hecho, alguien que haya obtenido un acceso completo (o incluso mínimo, sin necesidad de escalar privilegios) a su sistema verá que usa este archivo y también podrá capturar sus pulsaciones de teclas mientras escribe su contraseña. Peor aún: un atacante en realidad ni siquiera tendrá que molestarse con esto, ya que el archivo probablemente estará presente en forma clara en su directorio temporal de Windows.

Entonces, para su primera amenaza, definitivamente recomendaría debe utilizar una herramienta diseñada para este uso, como KeePass que evitará almacenar datos descifrados en archivos temporales y proporcionará una protección mínima al escribir la contraseña .

Comentarios

  • ¿Sería mejor mantener el software en un dispositivo de almacenamiento portátil (para requerir acceso físico)?
  • @ Alpha3031: I ‘ m No estoy seguro si por » el software » te refieres a 7zip o KeePass. Personalmente, preferiría tener los archivos ejecutables instalados en el directorio adecuado para que el sistema operativo pueda evitar cualquier modificación inesperada de sus archivos, lo cual no es el caso con el dispositivo de almacenamiento externo. Si utilizo un dispositivo externo, pondría en él los datos cifrados o un archivo de claves adicional que se debe asociar a la contraseña para poder descifrar los datos (una función que ofrece KeyPass).

Respuesta

Para continuar con el escenario agresivo.

Se podría suponer que el archivo de texto original se elimina y, con conocimiento del archivo temporal, también se puede eliminar.

Sin embargo, hay algunas herramientas que encuentran archivos eliminados y pueden recuperarlos fácilmente a menos que use un programa de «trituración» que llena los espacios «en blanco» en la unidad con bits aleatorios que sobrescriben la información original.

Si bien su método de ocultación de zip sería útil contra el usuario ocasional de la computadora, un perpetrador serio podría utilizar este software, recuperar la información eliminada y acceder al archivo confidencial.

Aunque tenga nombres engañosos en su archivo de texto, el «pirata informático» probablemente recuperaría todos los archivos eliminados que pudiera encontrar y usaría una herramienta para buscar rápidamente cualquier archivo de texto sin formato en busca de palabras clave o números relacionados con la banca.

Respuesta

El problema con el uso de 7z u otro software similar para guardar un archivo de texto cifrado con detalles bancarios es que cuando necesita el datos, tendrá que abrir el archivo y descomprimirlo. En ese momento, 7z volcará una copia no cifrada en el directorio temporal de Windows. Usted (o el software 7z) deberá borrar el directorio temporal correctamente cada vez que abra el archivo.

Esta no es la mejor solución para guardar datos bancarios. Utilice un software especialmente diseñado para esto. Sugeriría utilizar Keepass en su lugar. No tendrá que lidiar con nada que no esté encriptado y que se descargue en el directorio temporal de Windows.

Comentarios

  • 7zip ha tenido un error durante años y el propietario no ‘ t parece pensar que es un problema, aunque muchas personas se han presentado hablando de lo enorme que es el problema de seguridad. sourceforge.net/p/sevenzip/bugs/1448

Responder

Consulte los enlaces a continuación para obtener detalles sobre varios errores que se informaron en 2019 con respecto a la generación débil de números aleatorios y una falla en la forma en que se genera el IV, en versiones de 7zip en ese momento:

https://threadreaderapp.com/thread/1087848040583626753.html

https://sourceforge.net/p/sevenzip/bugs/2176/

Parece que estos errores se han corregido en versiones posteriores de 7zip.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *