Security 具有passwd安全性的Zip文件?
我们有基于客户端服务器的应用程序,它将用户相关数据保存到zip文件中,并通过编程将passwd设置为zip文件。只是想知道它是否可以被认为是安全的。 谢谢Security 具有passwd安全性的Zip文件?,security,Security,我们有基于客户端服务器的应用程序,它将用户相关数据保存到zip文件中,并通过编程将passwd设置为zip文件。只是想知道它是否可以被认为是安全的。 谢谢 N安全到什么级别?有一些程序可以很快破解zip文件上的密码加密,所以如果它必须承受任何努力,那么就没有了 如果只是为了确保有人能用密码打开它,并避开随意窥探的眼睛,那么也许吧 如果你想获得某种安全性,我会研究压缩数据,然后通过适当的加密软件(如gpg)运行数据。你应该问自己几个问题 您将zip文件存储在哪里 哪些权限与zip文件关联 密码是
N安全到什么级别?有一些程序可以很快破解zip文件上的密码加密,所以如果它必须承受任何努力,那么就没有了 如果只是为了确保有人能用密码打开它,并避开随意窥探的眼睛,那么也许吧
如果你想获得某种安全性,我会研究压缩数据,然后通过适当的加密软件(如gpg)运行数据。你应该问自己几个问题
- 您将zip文件存储在哪里
- 哪些权限与zip文件关联
- 密码是强密码吗
using (var zip = new ZipFile())
{
zip.AddFile("MySensitiveFile.doc");
zip.Encryption = EncryptionAlgorithm.WinZipAes128;
zip.Password = "Very.Secret!";
zip.Save("MyEncryptedArchive.zip");
}
**注意:Yoshi发表了一篇题为“利用WinZip的AES加密来证明WinZip的AES加密不安全”的论文。然而,他所描述的这些成就依赖于社会工程或之前的妥协或两者兼而有之。例如,本文中描述的主要漏洞涉及攻击者拦截加密的zip文件,对其进行修改,将修改后的副本发送给其预期的收件人,让收件人尝试对其进行解密,然后将加密结果发送回攻击者,然后攻击者可以对原始文件进行解密。这种所谓的“利用”包括无数次信仰的飞跃,这是在先前截获的双向通信妥协的基础上形成的。没有人描述过Wizip AES的任何结构漏洞,与ZIP经典加密的开发相媲美。p>
使用7zip,这具有更好的密码安全性-同时勾选“加密文件名”选项我的基本情况与OP相同,我们希望确保用户无法访问机器上的zip文件,即使软件在他们的机器上运行。在这种情况下,难道他们不能简单地对可执行文件进行反编译以获得“Very.Secret!”密码吗?我们目前只使用“经典”加密的密码保护压缩,并希望开始使用DotNetZip。@PaulBrown-是的,如果您将密码硬编码到生成压缩的程序中,这是一个风险。通常这不是问题。在典型的设计中,zip创建应用程序会要求用户输入密码,仅在创建zip时使用该密码,然后丢弃密码。在这种情况下,反编译exe将无法检索密码。如果您无法向用户询问密码,那么您可以用另一个类似的步骤来代替,例如,通过REST调用“询问”远程密码生成器以获得密码,然后使用该密码。“我们希望确保用户无法访问机器上的zip文件,即使软件在他们的机器上运行。”如果文件名未加密,是否会削弱存档?(除非你能看到名称)@Julianemailde visible filename可能会提供线索,帮助对文件本身进行字典式攻击