12月 15, 2021

なぜネイティブを使うべきではないのか。WindowsのZip Crypto

ITセキュリティで作業するとき、いくつかの質問が出てきますが、これは一度だけ答えられるに値すると思いました:パスワードで保護された

私たち全員が、私たちのファイルが割れないことを絶対に確信し、安心したいと思っていることを理解しています—今ではなく、今までではありません! 今のいくつかの時間のために、.zip形式は、追加機能として暗号化を提供しています。 しかし、それが提供する暗号化の種類は、zipファイルを作成して開くために使用するプログラムによって異なります。

のいずれか。zipパスワード保護アルゴリズムは、ZipCryptoと呼ばれています。 ZipCryptoはwindows上でネイティブにサポートされていますが、完全に壊れており、欠陥があり、比較的割れやすいため、決して使用しないでください。 すべてのハッカーは、プレーンテキストの12バイトであり、それはすぐにアーカイブの内容全体を復号化するために、(簡単に見つけることができる)zipに配置されている場所を知っておく必要があります。 あなたのアイデアを与えるために、ほとんどのラップトップ上で、それは通常、zipファイルの内容全体を復号化するために分未満かかります。

zipcryptoを悪用する

広く知られているプレーンテキスト攻撃を通じてZipCryptoを悪用することは簡単であり、高度な技術的スキルを必要としません。 私はあなたに手順を説明しますが、私は明らかに外に出て誰かをハックするのを助けるためにそうしていません。 私は単にこの悪用が実際にどのように基本的で簡単であるかをお見せしたいと思います。

要件

  • GitHubからbkcrackをダウンロード
  • 暗号化されたダウンロード。zip
  • (オプション)ダウンロードプレーン.zip

zipファイルを開くと、SomeXmlFileというXMLファイルが表示されます。xml。

通常、XMLファイルの先頭には次のヘッダーが含まれています:

<?xml version="1.0" encoding="UTF-8"?>

手順

手順自体は非常に簡単です:

  1. plainという名前のファイルを作成します。txt。

  2. 次のテキストをplainに追加します。<xmlバージョン=”1.0″エンコーディング=”UTF-8″?>

  3. ファイルを圧縮し、それをプレーンと呼びます。ジップ パスワードを使用せず、暗号化されたアーカイブと同じ圧縮アルゴリズムを使用しないでください。 (ご希望の場合は、plainをダウンロードすることができます。既に平野を持っている上で供給されたリンクを使用してzipして下さい。その中のtxtファイル。)

  4. 次のコマンドラインを使用して、両方のファイルをbkcrackに送ります。

    bkcrack-c encrypted。zip-c SomeXmlFile.xml-Pプレーン。ジップ-pプレーン…txt

最終的なツール出力は次のようになります:

Generated 4194304 Z values. Z reduction using 30 bytes of known plaintext100.0 % (30 / 30)260948 values remaining. Attack on 260948 Z values at index7 88.3 % (230335 / 260948) Keys c072e51c a36b7996 b6f8d312

キーが取得されると、次のコマンドラインを使用してzip内のすべてのファイルを解読できます:

bkcrack -C encrypted.zip -c Tux_ecb.jpg -k c072e51c a36b7996 b6f8d312 -d Tux_ecb.jpg

この例では、Tux_Ecbを抽出しました。jpgファイル。 結果の画像は次のようになります:

Picture1

おめでとう、あなたは正常にzipファイルを復号化しました!

さらに

暗号化に複数のファイルを含めました。zip(MITライセンス、HTMLファイル)、あなたが練習し、人里離れて行くことができるように!

AES-256

今ではおそらく疑問に思っています:ZipCryptoを使用しない場合、代替手段は何ですか? AES-256はzip暗号化の業界標準であり、非常に強力で安全であることが証明されています。 残念ながら、Windowsはこのためのネイティブサポートを持っていません。 しかし、7zip、Winrar、Winzipなどのほとんどのサードパーティのアーカイバはそれをサポートしています。

コメントを残す

メールアドレスが公開されることはありません。