¿La contraseña que protege un archivo archivado realmente lo cifra?

30

Por ejemplo, si uso WinRAR para cifrar un archivo y poner una contraseña en el archivo, ¿qué tan seguro es? Mantengo un diario personal y estoy pensando en hacer esto, ¿o hay una mejor manera? Es solo un enorme archivo .docx .

    
pregunta Celeritas 08.08.2012 - 11:05
fuente

7 respuestas

27

Resumen: sí, pero usa VeraCrypt .

De la documentación :

  

WinRAR le ofrece el beneficio de la encriptación de archivos de la industria utilizando AES (Advanced Encryption Standard) con una clave de 128 bits.

Así que sí, los datos están encriptados. Sin embargo, este es solo uno de los elementos de seguridad. Otro elemento importante es cómo se deriva la clave de la contraseña: qué tipo de el fortalecimiento de la clave se realiza? Cuanto más lenta sea la derivación de la clave de la contraseña, más costoso será para un atacante encontrar la contraseña (y, por lo tanto, la clave) por fuerza bruta. De todos modos, una contraseña débil es un brindis, pero un buen fortalecimiento de la clave puede marcar la diferencia para una contraseña bastante compleja pero aún memorable . WinRAR usa 262144 rondas de SHA-1 con una sal de 64 bits , eso es un buen fortalecimiento de la clave.

Se ha escrito un documento académico sobre la seguridad de WinRAR: Sobre la seguridad de la función de cifrado de WinRAR por Gary SO. Yeo y Rafael C.-W. Phan (ISC'05). Citando el resumen (no he leído el texto completo, no parece ser accesible sin pagar):

  

En este documento, presentamos varios ataques a la función de cifrado proporcionada por el software de compresión WinRAR. Estos ataques son posibles debido a la sutileza en el desarrollo de software de seguridad basado en la integración de múltiples primitivas criptográficas. En otras palabras, no importa lo seguro que esté el diseño de cada primitiva, su uso especialmente en asociación con otras primitivas no siempre garantiza sistemas seguros. En cambio, una y otra vez esta práctica ha demostrado dar como resultado sistemas defectuosos. Nuestros resultados, en comparación con los ataques recientes en WinZip por Kohno, muestran que WinRAR parece ofrecer características de seguridad ligeramente mejores.

La ventaja de usar el cifrado incorporado en el formato RAR es que puede distribuir un archivo RAR cifrado a cualquier persona con WinRAR, 7zip u otro software común que admita el formato RAR. Para su caso de uso, esto es irrelevante. Por lo tanto, recomiendo usar un software que esté dedicado al cifrado.

El estándar de facto desde que usas Windows era TrueCrypt . TrueCrypt proporciona un disco virtual que se almacena como un archivo cifrado. Esto no solo es más seguro que WinRAR (confío en TrueCrypt, que se escribe teniendo en cuenta la seguridad desde el primer día, mucho más que cualquier producto cuyo cifrado sea una característica auxiliar), también es más conveniente: monta el disco cifrado al proporcionar su contraseña, entonces puede abrir los archivos en el disco de forma transparente, y cuando haya terminado, desmonte el disco cifrado. Lamentablemente, TrueCrypt ya no está en desarrollo activo, pero su sucesor VeraCrypt es. VeraCrypt se basa en TrueCrypt y es compatible con los antiguos contenedores TrueCrypt.

  

Por curiosidad, ¿se puede usar lo que alguien escribe en su diario para incriminar a alguien en el tribunal?

Esto depende de la jurisdicción, pero en general, sí, como dicen en las películas, cualquier cosa que digas o escribas se puede usar en tu contra. Puede ser obligado legalmente a revelar claves de cifrado, y puede enfrentar cargos adicionales si se niega.

    
respondido por el Gilles 08.08.2012 - 11:49
fuente
7

Desde página de beneficios de WinRAR :

  

WinRAR le ofrece el beneficio de la encriptación de archivos de la industria utilizando AES (Advanced Encryption Standard) con una clave de 128 bits.

Así que sí, el uso de la protección con contraseña encripta tu archivo también. 7-Zip utiliza el cifrado AES-256. Otro método para proteger sus archivos podría ser crear un archivo (o disco) encriptado usando TrueCrypt , donde puede elegir el algoritmo de encriptación que se adapte a sus necesidades.

Solo recuerda usar una contraseña segura para prevenir ataques de fuerza bruta.

    
respondido por el bretik 08.08.2012 - 11:27
fuente
5

Mencionas "docx", por lo que asumo que estás en Office 2007 o 2010. El mecanismo de cifrado implementado allí está bien, debes asegurarte de que tu contraseña sea lo suficientemente segura. En otras palabras, no necesita utilizar un programa externo para proteger su archivo.

Una pregunta de desbordamiento de pila cubrió el cifrado algoritmos para la oficina. Este es un código de código cerrado, por lo que si está paranoico, debe usar TrueCrypt .

En cuanto a la segunda parte de la pregunta: depende completamente del sistema legal en el que se encuentre. Hay dos aspectos a tener en cuenta:

  • si es legal usar el contenido en tu contra (no importa si está cifrado o no)
  • qué sucede si no proporciona la clave de cifrado y la parte criptográfica es lo suficientemente fuerte / implementada correctamente para que el acceso no sea posible sin ella.
respondido por el WoJ 08.08.2012 - 15:59
fuente
3

Sí, WinRAR cifra el archivo cuando se usa una contraseña. Personalmente recomiendo la aplicación 7-Zip ya que ofrece más flexibilidad. Sí, lo que escriba en cualquier lugar puede incriminarlo, siempre y cuando sea legal para que el tribunal lo utilice como prueba. El tribunal puede usar su diario personal / diario en su contra. Aunque no soy abogado.

    
respondido por el Matrix 08.08.2012 - 11:25
fuente
3

Los diferentes formatos de archivo ofrecen diferentes niveles de seguridad, pero todos tienen el mismo defecto: no se puede UTILIZAR el archivo sin extraerlo y desencriptarlo. Más importante aún, esto se hace en el disco, lo que significa que una copia de su archivo sin cifrado permanece en su computadora. Los programas como word tienden también a crear archivos de guardado automático que agregan aún más copias sin cifrar.

Su mejor apuesta es una solución de cifrado de todo el disco, de la que TrueCrypt es el principal contendiente.

    
respondido por el tylerl 09.08.2012 - 02:54
fuente
2

Si tiene miedo de posibles problemas legales sobre lo que escribe, WinRAR no es lo suficientemente seguro. Hay muchos programas raros para romper contraseñas por ahí.

Recomendaría TrueCrypt . Pero asegúrese de que Word no hizo ninguna copia de su documento actual en su carpeta temporal.

    
respondido por el jmn 08.08.2012 - 14:06
fuente
0

Me siento obligado a ofrecer algunas advertencias porque probablemente hay otros que leen esto por curiosidad:

  1. El OP no hizo referencia a su país de residencia, por lo que asumiré que está en los EE. UU. para las cuestiones legales.
  2. Cualquier cifrado debe usarse bajo el supuesto de que no es un mecanismo de seguridad infalible y puede ser violado por cualquiera, con suficiente tiempo y fuerza. Es, en el mejor de los casos, un obstáculo temporal que se puede superar.
  3. Cualquier cosa almacenada electrónicamente, ya sea en su computadora o en otro lugar, puede ser usada en su contra en la corte siempre que se haya obtenido legalmente. No se incluye en la categoría de privilegio de la Quinta Enmienda (ni siquiera un "diario"), ni varía según la jurisdicción estatal o local. Esto ha estado en SCOTUS varias veces y se considera una ley establecida en este punto.
  4. El no proporcionar una frase de contraseña de descifrado cuando se ordena se considera desacato al tribunal, con una pena de prisión indefinida (siempre que se retenga).

Por lo tanto, consideraría que las preguntas iniciales son irrelevantes entre sí.

    
respondido por el Jim S. 09.06.2015 - 19:39
fuente

Lea otras preguntas en las etiquetas