¿Cómo puedo seleccionar una utilidad de compresión que sea lo suficientemente popular y segura?

Navega tus respuestas
0

En una publicación anterior en ¿Cuál es una forma segura de transferir una copia de un documento confidencial? , recibí sugerencias para comprimir y cifrar un archivo adjunto usando las opciones de utilidades como zip, rar, 7zip y similares.

Aunque los detalles no son importantes aquí, la página del manual de zip me alertó de que hay mucho más que elegir una utilidad de compresión y enviar. Muy en serio, la página zip es cautelosa hasta el punto de sugerir que no está recibiendo ningún cifrado serio (énfasis añadido)

  

-P contraseña      - contraseña de contraseña

     

Use la contraseña para cifrar las entradas del archivo zip (si corresponde). ESTO ES INSEGURO ! Muchos multiusuario                 Los sistemas operativos proporcionan formas para que cualquier usuario vea la línea de comando actual de cualquier                 otro usuario incluso en sistemas autónomos, siempre existe la amenaza de sobre el hombro                 mirando a escondidas Almacenar la contraseña de texto sin formato como parte de una línea de comando de forma automatizada.                 guión es aún peor. Siempre que sea posible, utilice el indicador interactivo sin eco para                 introducir contraseñas (Y donde la seguridad es realmente importante, use un cifrado fuerte como                 Pretty Good Privacy en lugar del cifrado estándar relativamente débil proporcionado por zip-                 utilidades de archivo .)

Forewarned está prevenido. He navegado / escaneado varias publicaciones en esta comunidad, como

Es mucha información (interesante, bien presentada), y el problema tiene muchas dimensiones: utilidad de compresión, algoritmos de cifrado, manejador de archivos, quizás muchos más. El inconveniente es que soy un usuario lego y moderadamente experto en informática, que se enfrenta al problema de elegir una utilidad de compresión que debería tener las siguientes características:

  • sea OS-agnóstico. Principalmente soy un usuario de Linux, pero no puedo permitirme hacer suposiciones sobre el sistema operativo que usa el destinatario del correo. Probablemente será un miembro de la familia de Windows, aunque no necesariamente. Es posible que desee realizar un arranque dual en Windows de una sola vez. para cerrar esta brecha;
  • produce un archivo cifrado que es agnóstico al manejador de archivos. Del mismo modo, no sé qué controlador de archivo está utilizando el destinatario, probablemente será una especie de Explorador de Windows, pero no necesariamente;
  • proporcionar seguridad seria; cualquier mezcla superficial o placebo es obviamente una pérdida de tiempo;
  • producir un archivo que sea relativamente útil para descomprimir y descifrar; No puedo hacer suposiciones sobre la disposición y el conocimiento de la computadora del destinatario. Incluso podría ser alguien para quien la instalación de un nuevo programa puede ser gravosa, suponiendo que su empleador lo permita en primer lugar.

Aparentemente, necesito algunas pautas para navegar este problema y elegir qué hacer para una suposición informada.

¿Hay algún recurso wiki de "autoayuda" que recomendarías para saber a qué se dirige uno al usar esta o aquella utilidad? ¿Alguna otra sugerencia de ideas que alivie este tipo de dolor de cabeza?

    
pregunta XavierStuvw 24.09.2017 - 22:36
fuente

2 respuestas

1

WinZip ofrece AES 256 y usa PBKDF2 para generar la clave. Solo utiliza 1.000 iteraciones, pero con una contraseña suficientemente larga debería proporcionar una buena seguridad.

enlace

Para ser honesto, creo que Zip simple con PGP sería mejor, pero si tienes personas no técnicas a las que quieres acceder, las contraseñas son más fáciles.

    
respondido por el Swashbuckler 25.09.2017 - 01:05
fuente
-1

Aquí está mi matriz de decisión:

  1. Si sabe que el destinatario solo usará sistemas similares a Unix (por ejemplo, Linux, Mac) y no instalará software adicional, o si desea conservar los propietarios de los archivos, los permisos y otros atributos del archivo, entonces utilizar tar.bz2 con gpg. Asegúrese de usar los indicadores apropiados al crear el archivo tar para conservar los metadatos que desea conservar. tar puede conservar muchos metadatos que otros formatos de archivo no pueden.

  2. Si no sabe el sistema operativo que está usando el usuario, pero espera que los usuarios instalen software adicional, use el formato 7z. El programa 7zip es un programa multiplataforma de código abierto; 7z es el formato nativo de 7zip, y es un formato de archivo muy bien diseñado, sin embargo, el mismo programa 7zip también es compatible con todos los formatos de compresión principales. Es probable que muchas personas con conocimientos moderados de computadoras ya lo tengan instalado.

  3. Si no conoce el sistema operativo que usará el destinatario y asumirá que el destinatario no instalará software adicional, entonces la única opción segura aquí es el formato zip. Sin embargo, tenga en cuenta que la especificación de formato de archivo zip original admite un cifrado débil y hecho en casa, que ofrece muy poca seguridad. El nuevo formato de archivo zip también admite el cifrado AES, que es seguro; desafortunadamente, la versión anterior del Explorador de Windows (XP) no es compatible con AES zip cifrado. Si está seguro de que ninguno de sus usuarios está usando Windows XP o sistemas más antiguos, entonces asegúrese de usar el archivo zip cifrado con AES (muchos programas recientes todavía producen el cifrado antiguo hecho de forma predeterminada, asegúrese de elegir explícitamente AES). Los usuarios con Windows XP o mayores aún pueden usar AES zip encriptado al instalar software adicional, como 7zip.

respondido por el Lie Ryan 25.09.2017 - 06:04
fuente

Lea otras preguntas en las etiquetas

¿Es posible transferir un virus conectando un iPhone a un macbook? File Integrity Manager vs OS ACL + Auditing + MD5 Hash