首页
论坛
专栏
课程

winrar文件加密的安全性

2019-1-13 22:14 3598

winrar文件加密的安全性

2019-1-13 22:14
3598
  winrar是一款优秀的文件压缩软件,同时它又可以对文件加密,但是这种加密却是不安全的,而这种不安全是出于软件设计问题,简单举例如规定只用3个字符的密码并且字符都是数字,那你用穷举攻击很快就可以攻破,它是这样处理的,如果你的密码错误,它将告诉你错误,只有密码正确时才能完成解密和解压缩,也就是说,软件帮你审查用户密码的真伪,你的工作就是组织符合条件的数据在软件上试验,碰到合适的数据就得解了。较深层次的原因是软件提取了明文或用户密码的信息,加以处理后置于密文中,解密时做解密运算并取出信息加以比对,只有信息一致时才能得到明文,所以无形中帮了破解者的忙,保存原始信息是危险的,信息概况的越细致就越危险,所以即使你用真随机数这样的乱码组成一个文件,在winrar那里依然能够被破解。
  如何解决这个问题呢?其实只要不做判断即可,判断由用户自己去解决,如果是文本将可以看懂了、mp3则可以听了、可执行文件可以运行了,如果是乱码文件则不好说是否解密了,只有看原文件或两者的CRC值是否一致,这样将极大的提高安全性,你也不必愚蠢的为破解提供服务,因为数据量大时这样的工作量很大。这样虽然很有效但似乎人机交互性上有些冷漠,且看下面。
  为了提供较好的人性化服务,可以局部的检测原文件的数据,举个简单例子,例如原文件或用户密码第一个字符和最后一个字符的和模3等于2,将2存于密文中,这样程序做完解密运算后,衡量是否原文件或用户密码第一个字符和最后一个字符的和模3等于2,如果不是则告诉你密码错误,如果碰对了也不能解密成功因为大量的其它数据并不一定一致,除非所有数据都一致了,而程序并不做这样的工作。也就是说密码错误能被筛选出来,即使符合了判断标准,也不代表你完成了解密,你需要做进一步的判断,如果不知道文件的性质那就麻烦了,你需要判断各种可能性,做的细致工作量很大耗时很长,做的粗些就可能漏网,一旦漏网所有工作都白做了。这样才能很好的遏制穷举攻击。
  虽然如果将穷举做的无遗漏都能碰到正解,但是碰上就成功和需要自己判断差别太大了,后者成功的可能性很小。
  本来乱码加密是不能破解的,winrar却让其能破解,真的大开方便之门出卖自己,为破解者服务到家了,完全背离了文件安全。


[推荐]看雪企服平台,提供安全分析、定制项目开发、APP等级保护、渗透测试等安全服务!

上一主题 下一主题
最新回复 (13)
冰雄 2019-1-14 07:05
2
0
如果密码较复杂你了就没办法暴力了。目前还有其他加密比这个牛?
webappsec 2019-1-14 09:06
3
1
说的不现实,一款产品开发出来是让用户用的。安全和产品的易用性本身就存在对立性,WinRAR作为大众化的软件要考虑大多数人并不都对计算机方面的比较精通,目前这种模式可以满足加密和易用性的要求
sjdkx 2019-1-14 11:35
4
0
加密软件第一是安全,第二才是好用,不安全适用性毫无价值。
云才哥 2019-1-14 16:47
5
0
WinRAR作为大众化 简单方便!非要上RSA2084才安全?
xinfor 2019-1-14 17:25
6
0
大佬   写个基于winrar的压缩包破解脚本吧
pureGavin 2019-1-14 18:13
7
0
LZ,想问个奇怪的问题,压缩文件只能像你说的那样从密码上下手么??能不能直接从密文中还原出原文??或者说能不能从密文中得到加密的规律从而得到密码??(感觉这么问要被人喷了(⊙﹏⊙))
白菜大哥 2019-1-16 13:39
8
1
sjdkx 加密软件第一是安全,第二才是好用,不安全适用性毫无价值。
第一是有人用,第二才是安全,比如你设计一个加密软件,纯粹为了加密,你还不如直接xor加密,2的9999次方xor以后,对应2的9999次方个不同的密钥,看看谁能破解,你就是给他密钥也没人去破解
sjdkx 2019-1-16 20:00
9
0
据说winrar使用16字节的AES加密,还没听说能被分析破解,但如果用户密码位数少被穷举攻击击破是没问题的。
认为安全第一,方便性第二,否则你加密干什么。
petersonhz 2019-2-12 10:50
10
0
云才哥 WinRAR作为大众化 简单方便!非要上RSA2084才安全?
RSA2084加密速度太慢?
瀚海云烟 1 2019-2-12 11:17
11
0
sjdkx 据说winrar使用16字节的AES加密,还没听说能被分析破解,但如果用户密码位数少被穷举攻击击破是没问题的。 认为安全第一,方便性第二,否则你加密干什么。
你说的理由跟吃东西一个道理,吃饱第一,好吃第二,吃不饱你吃它干嘛?
最后于 2019-2-12 11:17 被瀚海云烟编辑 ,原因:
sjdkx 2019-2-12 22:32
12
0
实际通过一些技巧实现既安全又有较好的人机交互是容易实现的。
宇宙钝胎 2019-2-17 15:36
13
0
sjdkx 据说winrar使用16字节的AES加密,还没听说能被分析破解,但如果用户密码位数少被穷举攻击击破是没问题的。 认为安全第一,方便性第二,否则你加密干什么。
赞同你的观点,我也据闻旧版winrar是AES128位加密标准,我准备破解AES128位加密标准。
sjdkx 2019-2-17 19:02
14
0
,破解不易估计不行。
游客
登录 | 注册 方可回帖
返回