Archivo zip con dos contraseñas

12

Utilicé este comando para proteger con contraseña un archivo zip en Linux:

zip -P 9000 hash.zip hash.py

y crea el archivo zip muy bien, luego escribí un programa para probar todas las contraseñas posibles desde 1 hasta 100000, el problema es que el programa encuentra dos contraseñas, primero es: 9000 y el segundo es: 79095 , y ambas contraseñas, descomprimir el archivo, ¿existe alguna vulnerabilidad de seguridad en el comando zip de Linux?

    
pregunta Adi 22.03.2013 - 21:31
fuente

2 respuestas

8

Ambas contraseñas pueden descifrar el archivo, pero solo una contraseña proporcionará el texto sin formato correcto. El formato de cifrado zip es solo verificar si el relleno es correcto para verificar que se usó la clave correcta. La contraseña 79095 produjo un relleno válido, sin embargo, el mensaje resultante es basura.

    
respondido por el rook 22.03.2013 - 23:57
fuente
2

Consulte enlace .

Vale la pena mencionar que el problema es con los estándares de cifrado del formato zip, no con el comando zip .

Además, la página de manual de zip señala este problema.

    -P password
       --password password
              Use  password  to  encrypt zipfile entries (if any).  THIS IS
              INSECURE!  Many multi-user operating systems provide ways for
              any  user  to see the current command line of any other user;
              even on stand-alone systems there is  always  the  threat  of
              over-the-shoulder peeking.  Storing the plaintext password as
              part of a command line in an automated script is even  worse.
              Whenever possible, use the non-echoing, interactive prompt to
              enter passwords.  (And where security is truly important, use
              strong  encryption such as Pretty Good Privacy instead of the
              relatively weak standard encryption provided by zipfile util‐
              ities.)

Para obtener documentación más completa sobre este tema, eche un vistazo a este documento (escrito por un profesor de mi universidad :)) enlace

    
respondido por el David Mah 22.03.2013 - 23:10
fuente

Lea otras preguntas en las etiquetas