Quão seguros são os arquivos WinRAR protegidos por senha?

8

A web parece estar inundada por removedores de senha. No entanto, estou do outro lado. Estou interessado na segurança dos meus arquivos.

Se eu tiver um arquivo WinRAR (> 1 Mbyte) e usar uma senha (> 6 caracteres com caracteres não alfanuméricos), qual a segurança do meu arquivo?

— Mastermind
fonte

9

O que estou vendo ( http://en.wikipedia.org/wiki/RAR ) diz que os arquivos no formato RAR3 usam AES para o algoritmo de criptografia. Não está claro para mim, à primeira vista, se o formato do arquivo RAR3 foi publicado ou se há implementações de código aberto do algoritmo de descriptografia / descompactação. Se o formato não for publicado / ou não houver implementações gratuitas do algoritmo de descriptografia / descompactação, acho que ficaria muito cauteloso com a "segurança", pois sempre há a possibilidade de truques como colocar um texto simples conhecido no cabeçalho de todos os arquivos criptografados, pedaços vazados da chave etc. podem estar em jogo.

Os formatos RAR mais antigos usavam um "algoritmo de criptografia proprietário". Você deve sempre ter muito cuidado com os programas que usam "algoritmos de criptografia proprietários". A frase "algoritmo de criptografia proprietário" é frequentemente o código para "algo batido em um porão por um codificador que realmente não sabe muito sobre criptografia", ou mais vagamente como "não foi revisado por pares".

Edit: Estou vendo o que parecem ser implementações gratuitas de pelo menos a parte de descompactação do RAR3 ( http://sourceforge.net/projects/java-unrar , por exemplo). Enquanto o formato do arquivo estiver aberto, deve ser difícil vazar uma grande quantidade de bits da sua chave por uma implementação não confiável. Ainda assim, me sentiria melhor com algo que foi revisado ou certificado por pares (FIPS, etc.).

— Evan Anderson
fonte

É claro que ter o código-fonte aberto (mas não certificado) significa que alguém pode quebrar uma implementação de código-fonte aberto. É interessante que na edição você mencione implementações não confiáveis; se não for certificado, como você sabe o que é confiável? Não estou muito preocupado com as especificações de criptografia aberta, as especificações de cifra são publicadas e revisadas regularmente. A publicação da implementação faz. A criptografia proprietária é ótima se comparada a uma cifra "aberta", desde que seja certificada. O Novell Groupwise é um exemplo de criptografia proprietária certificada pelo Departamento de Comércio dos EUA.

— Jim B

3

@ JimB: Eu não considero o software de código aberto inerentemente "mais seguro" do que o código fechado, mas eu definitivamente gostaria de ter a opção de analisar o código-fonte (ou pagar alguém para isso). Por fim, é necessário traçar uma linha em algum lugar em que confiança: (compiladores trojanizados, microprocessadores, etc., podem existir). Prefiro ter uma cifra revisada por pares do que uma cifra proprietária "certificada" não revisada em qualquer dia da semana. Também concordarei alegremente que uma implementação de cifra não é necessariamente correta apenas porque é baseada em uma especificação disponível abertamente.

— Evan Anderson

3

Como você afirmou, existem crackers / removedores de senha por aí. Eu não confiaria meus arquivos em um arquivo protegido por senha. Eu sugeriria algum tipo de criptografia no nível do arquivo, como o GnuPG ou o AES Crypt

— Adão
fonte

2

Concordo. Use um arquivador para suas necessidades de arquivamento e use um programa de criptografia bem testado para suas necessidades de criptografia.

— 9133 Geoff Fritz

0

Se bem me lembro, usar a senha em um arquivo não inclui criptografia (é uma opção separada).

A resposta de Evan é muito mais informativa quando se trata do algoritmo :)

— pauska
fonte