ZIP supports a simple password-based symmetric encryption system, which is documented in the ZIP specification, and known to be seriously flawed. In particular, it is vulnerable to known-plaintext attacks, which are in some cases made worse by poor implementations of random-number generators.
そもそもこの運用の問題は (スコア:0)
暗号化の方法が「パスワード付きZIP」であるのがほとんどってことだよね。
GPGPU使えるPCだったら総当たりでも一日二日レベルで解除されちゃう訳で、パスワードを分けようが全く無意味。
16桁以上のランダムなパスワードなら今でも安全 (スコア:1)
2012年12月に市販のPC1台で解析した場合の結果
http://www.dit.co.jp/service/security/report/03.html [dit.co.jp]
例えば、10桁の英小文字のパスワードなら9時間で解析できてしまいます
英大小文字+数字+記号(93字)全部使った10桁のパスワードなら、341年という結果でした
しかし、今の分散型解析ならこれもあっという間に破れます
でも、16桁以上のランダムなパスワードなら今でも現実的な時間では解析不可で安全 です。
Re: (スコア:0)
それ、ブルートフォースでしか攻撃されない、という前提の場合ですね。
AESなどの安全性が評価された暗号でない場合、その前提は使えないかと。
Re: (スコア:0)
ZipCryptにブルートフォース以外で攻撃される脆弱性が見つかったのですか?
安全性の評価といっても脆弱性が無いことの証明は無理なので、
長く使われている暗号なら既知の脆弱性が無ければよしとするしかありません
Re: (スコア:0)
暗号の安全性に関しては話は逆で、評価が確立していないものは弱い前提で考えるべき。
という話はさておき、こちらでも読めばどうでしょうか?
https://en.wikipedia.org/wiki/Zip_(file_format)#Encryption [wikipedia.org]
ZIP supports a simple password-based symmetric encryption system, which is documented in the ZIP specification, and known to be seriously flawed. In particular, it is vulnerable to known-plaintext attacks, which are in some cases made worse by poor implementations of random-number generators.
(ZIPは単純なパスワードベース
Re: (スコア:1)
うーん、でも、ZIPを暗号化する鍵が毎回別だとすると、
実際問題としては既知平文攻撃では厳しいね。
Re:16桁以上のランダムなパスワードなら今でも安全 (スコア:0)
いずれにせよ、素人が解読談義できるレベルの暗号ということだよなぁ。
カジュアルハックを防ぐため、くらいの強度と思っておくのが良い。