Seberapa amankah arsip WinRAR yang dilindungi kata sandi?

8

Web tampaknya dibanjiri oleh penghilang kata sandi. Namun saya di sisi lain. Saya tertarik pada keamanan file-file saya.

Jika saya memiliki arsip WinRAR (> 1 Mbyte) dan menggunakan kata sandi (> panjang 6 karakter dengan karakter non-alfanumerik), seberapa aman arsip saya?

— Dalang
sumber

9

Apa yang saya lihat ( http://en.wikipedia.org/wiki/RAR ) mengatakan bahwa file format RAR3 menggunakan AES untuk algoritma enkripsi. Tidak jelas bagi saya pada pandangan pertama apakah format file RAR3 diterbitkan atau jika ada implementasi open source dari algoritma dekripsi / uncompresi. Jika format tidak dipublikasikan / atau tidak ada implementasi bebas dari algoritma dekripsi / uncompresi saya pikir saya akan cukup waspada terhadap "keamanan" karena selalu ada kemungkinan bahwa trik seperti menempatkan plaintext yang dikenal ke dalam header dari setiap file yang dienkripsi, kebocoran bit kunci, dll bisa dimainkan.

Format RAR yang lebih lama menggunakan "algoritma enkripsi berpemilik". Anda harus selalu SANGAT waspada terhadap program yang menggunakan "algoritma enkripsi hak milik". Ungkapan "algoritma enkripsi berpemilik" sering kode untuk "sesuatu mengetuk ke lain di ruang bawah tanah oleh seorang koder yang tidak benar-benar tahu banyak tentang kriptografi", atau lebih longgar karena "belum ditinjau oleh rekan".

Sunting: Saya melihat apa yang kelihatannya merupakan implementasi bebas dari setidaknya bagian kompresi dari RAR3 ( http://sourceforge.net/projects/java-unrar , misalnya). Selama format file di tempat terbuka seharusnya sulit untuk sejumlah besar bit kunci Anda bocor oleh implementasi yang tidak dapat dipercaya. Namun, saya merasa lebih baik dengan sesuatu yang telah ditinjau atau disertifikasi oleh rekan kerja (FIPS, dll).

— Evan Anderson
sumber

Tentu saja memiliki sumber terbuka (tetapi tidak memiliki sertifikat) berarti bahwa seseorang mungkin dapat memecahkan implementasi sumber terbuka apa pun. Sangat menarik bahwa dalam pengeditan Anda menyebutkan implementasi yang tidak dapat dipercaya; jika tidak disertifikasi bagaimana Anda tahu apa yang bisa dipercaya? Saya tidak terlalu khawatir tentang spesifikasi enkripsi terbuka, spesifikasi sandi diterbitkan dan ditinjau secara berkala. Penerbitan implementasi tidak. Enkripsi kepemilikan hanya baik-baik saja dibandingkan dengan cipher "terbuka" selama itu telah disertifikasi. Novell Groupwise adalah contoh enkripsi berpemilik yang disertifikasi oleh Departemen Perdagangan AS.

— Jim B

3

@ JimB: Saya tidak menganggap perangkat lunak sumber terbuka secara inheren "lebih aman" daripada sumber tertutup, tapi saya pasti ingin memiliki opsi untuk melihat kode sumber (atau membayar orang lain). Pada akhirnya, Anda harus menarik garis di suatu tempat kembali: kepercayaan (kompiler trojanized, mikroprosesor, dll, bisa ada). Saya lebih suka memiliki cipher peer-review daripada cipher proprietary non-peer-review setiap hari dalam seminggu. Saya juga akan dengan senang hati setuju bahwa implementasi sandi tidak selalu benar hanya karena didasarkan pada spesifikasi yang tersedia secara terbuka.

— Evan Anderson

3

Seperti yang telah Anda nyatakan ada cracker / penghapus kata sandi di luar sana. Saya tidak akan mempercayai file saya ke file arsip yang dilindungi kata sandi. Saya akan menyarankan beberapa jenis enkripsi tingkat file seperti GnuPG atau AES Crypt

— Adam
sumber

2

Saya setuju. Gunakan pengarsip untuk kebutuhan pengarsipan Anda, dan gunakan program enkripsi yang teruji dengan baik untuk kebutuhan enkripsi Anda.

— Geoff Fritz

0

Jika saya ingat dengan benar maka menggunakan kata sandi pada arsip tidak perlu menyertakan enkripsi (ini pilihan terpisah).

Jawaban Evan jauh lebih informatif ketika datang ke algoritm :)

— pauska
sumber