winrar文件加密的安全性-密码应用-看雪-安全社区|安全招聘|kanxue.com

winrar文件加密的安全性

发表于: 2019-1-13 22:14 15049

winrar文件加密的安全性

sjdkx

2019-1-13 22:14

15049

　　winrar是一款优秀的文件压缩软件，同时它又可以对文件加密，但是这种加密却是不安全的，而这种不安全是出于软件设计问题，简单举例如规定只用3个字符的密码并且字符都是数字，那你用穷举攻击很快就可以攻破，它是这样处理的，如果你的密码错误，它将告诉你错误，只有密码正确时才能完成解密和解压缩，也就是说，软件帮你审查用户密码的真伪，你的工作就是组织符合条件的数据在软件上试验，碰到合适的数据就得解了。较深层次的原因是软件提取了明文或用户密码的信息，加以处理后置于密文中，解密时做解密运算并取出信息加以比对，只有信息一致时才能得到明文，所以无形中帮了破解者的忙，保存原始信息是危险的，信息概况的越细致就越危险，所以即使你用真随机数这样的乱码组成一个文件，在winrar那里依然能够被破解。

　　如何解决这个问题呢？其实只要不做判断即可，判断由用户自己去解决，如果是文本将可以看懂了、mp3则可以听了、可执行文件可以运行了，如果是乱码文件则不好说是否解密了，只有看原文件或两者的CRC值是否一致，这样将极大的提高安全性，你也不必愚蠢的为破解提供服务，因为数据量大时这样的工作量很大。这样虽然很有效但似乎人机交互性上有些冷漠，且看下面。

　　为了提供较好的人性化服务，可以局部的检测原文件的数据，举个简单例子，例如原文件或用户密码第一个字符和最后一个字符的和模3等于2，将2存于密文中，这样程序做完解密运算后，衡量是否原文件或用户密码第一个字符和最后一个字符的和模3等于2，如果不是则告诉你密码错误，如果碰对了也不能解密成功因为大量的其它数据并不一定一致，除非所有数据都一致了，而程序并不做这样的工作。也就是说密码错误能被筛选出来，即使符合了判断标准，也不代表你完成了解密，你需要做进一步的判断，如果不知道文件的性质那就麻烦了，你需要判断各种可能性，做的细致工作量很大耗时很长，做的粗些就可能漏网，一旦漏网所有工作都白做了。这样才能很好的遏制穷举攻击。

　　虽然如果将穷举做的无遗漏都能碰到正解，但是碰上就成功和需要自己判断差别太大了，后者成功的可能性很小。

　　本来乱码加密是不能破解的，winrar却让其能破解，真的大开方便之门出卖自己，为破解者服务到家了，完全背离了文件安全。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・1

免费・0

支持

最新回复 (13)
冰雄雪币： 1485 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 224 粉丝 52 关注私信	冰雄 2 楼如果密码较复杂你了就没办法暴力了。目前还有其他加密比这个牛？ 2019-1-14 07:05 0
webappsec 雪币： 1217 活跃值： (621) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 93 粉丝 11 关注私信	webappsec 3 楼说的不现实，一款产品开发出来是让用户用的。安全和产品的易用性本身就存在对立性，WinRAR作为大众化的软件要考虑大多数人并不都对计算机方面的比较精通，目前这种模式可以满足加密和易用性的要求 2019-1-14 09:06 1
sjdkx 雪币： 10014 活跃值： (2012) 能力值： ( LV4，RANK：40 ) 在线值：发帖 154 回帖 834 粉丝 10 关注私信	sjdkx 4 楼加密软件第一是安全，第二才是好用，不安全适用性毫无价值。 2019-1-14 11:35 0
云才哥雪币： 222 活跃值： (185) 能力值： ( LV2，RANK：15 ) 在线值：发帖 9 回帖 279 粉丝 3 关注私信	云才哥 5 楼 WinRAR作为大众化简单方便！非要上RSA2084才安全？ 2019-1-14 16:47 0
xinfor 雪币： 2494 活跃值： (2920) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 29 粉丝 0 关注私信	xinfor 6 楼大佬写个基于winrar的压缩包破解脚本吧 2019-1-14 17:25 0
pureGavin 雪币： 14530 活跃值： (17548) 能力值： ( LV12，RANK：290 ) 在线值：发帖 84 回帖 1418 粉丝 259 关注私信	pureGavin 3 7 楼 LZ，想问个奇怪的问题，压缩文件只能像你说的那样从密码上下手么？？能不能直接从密文中还原出原文？？或者说能不能从密文中得到加密的规律从而得到密码？？（感觉这么问要被人喷了(⊙﹏⊙)） 2019-1-14 18:13 0
白菜大哥雪币： 12502 活跃值： (3053) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 8 楼 sjdkx 加密软件第一是安全，第二才是好用，不安全适用性毫无价值。第一是有人用，第二才是安全，比如你设计一个加密软件，纯粹为了加密，你还不如直接xor加密，2的9999次方xor以后，对应2的9999次方个不同的密钥，看看谁能破解，你就是给他密钥也没人去破解 2019-1-16 13:39 1
sjdkx 雪币： 10014 活跃值： (2012) 能力值： ( LV4，RANK：40 ) 在线值：发帖 154 回帖 834 粉丝 10 关注私信	sjdkx 9 楼据说winrar使用16字节的AES加密，还没听说能被分析破解，但如果用户密码位数少被穷举攻击击破是没问题的。认为安全第一，方便性第二，否则你加密干什么。 2019-1-16 20:00 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 10 楼云才哥 WinRAR作为大众化简单方便！非要上RSA2084才安全？ RSA2084加密速度太慢？ 2019-2-12 10:50 0
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 11 楼 sjdkx 据说winrar使用16字节的AES加密，还没听说能被分析破解，但如果用户密码位数少被穷举攻击击破是没问题的。认为安全第一，方便性第二，否则你加密干什么。你说的理由跟吃东西一个道理，吃饱第一，好吃第二，吃不饱你吃它干嘛？最后于 2019-2-12 11:17 被瀚海云烟编辑，原因： 2019-2-12 11:17 0
sjdkx 雪币： 10014 活跃值： (2012) 能力值： ( LV4，RANK：40 ) 在线值：发帖 154 回帖 834 粉丝 10 关注私信	sjdkx 12 楼实际通过一些技巧实现既安全又有较好的人机交互是容易实现的。 2019-2-12 22:32 0
zx_838914 雪币： 108 活跃值： (1188) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 35 粉丝 4 关注私信	zx_838914 13 楼 sjdkx 据说winrar使用16字节的AES加密，还没听说能被分析破解，但如果用户密码位数少被穷举攻击击破是没问题的。认为安全第一，方便性第二，否则你加密干什么。赞同你的观点，我也据闻旧版winrar是AES128位加密标准，我准备破解AES128位加密标准。 2019-2-17 15:36 0
sjdkx 雪币： 10014 活跃值： (2012) 能力值： ( LV4，RANK：40 ) 在线值：发帖 154 回帖 834 粉丝 10 关注私信	sjdkx 14 楼，破解不易估计不行。 2019-2-17 19:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

sjdkx

154

发帖

834

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (13)
冰雄雪币： 1485 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 224 粉丝 52 关注私信	冰雄 2 楼如果密码较复杂你了就没办法暴力了。目前还有其他加密比这个牛？ 2019-1-14 07:05 0
webappsec 雪币： 1217 活跃值： (621) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 93 粉丝 11 关注私信	webappsec 3 楼说的不现实，一款产品开发出来是让用户用的。安全和产品的易用性本身就存在对立性，WinRAR作为大众化的软件要考虑大多数人并不都对计算机方面的比较精通，目前这种模式可以满足加密和易用性的要求 2019-1-14 09:06 1
sjdkx 雪币： 10014 活跃值： (2012) 能力值： ( LV4，RANK：40 ) 在线值：发帖 154 回帖 834 粉丝 10 关注私信	sjdkx 4 楼加密软件第一是安全，第二才是好用，不安全适用性毫无价值。 2019-1-14 11:35 0
云才哥雪币： 222 活跃值： (185) 能力值： ( LV2，RANK：15 ) 在线值：发帖 9 回帖 279 粉丝 3 关注私信	云才哥 5 楼 WinRAR作为大众化简单方便！非要上RSA2084才安全？ 2019-1-14 16:47 0
xinfor 雪币： 2494 活跃值： (2920) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 29 粉丝 0 关注私信	xinfor 6 楼大佬写个基于winrar的压缩包破解脚本吧 2019-1-14 17:25 0
pureGavin 雪币： 14530 活跃值： (17548) 能力值： ( LV12，RANK：290 ) 在线值：发帖 84 回帖 1418 粉丝 259 关注私信	pureGavin 3 7 楼 LZ，想问个奇怪的问题，压缩文件只能像你说的那样从密码上下手么？？能不能直接从密文中还原出原文？？或者说能不能从密文中得到加密的规律从而得到密码？？（感觉这么问要被人喷了(⊙﹏⊙)） 2019-1-14 18:13 0
白菜大哥雪币： 12502 活跃值： (3053) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 8 楼 sjdkx 加密软件第一是安全，第二才是好用，不安全适用性毫无价值。第一是有人用，第二才是安全，比如你设计一个加密软件，纯粹为了加密，你还不如直接xor加密，2的9999次方xor以后，对应2的9999次方个不同的密钥，看看谁能破解，你就是给他密钥也没人去破解 2019-1-16 13:39 1
sjdkx 雪币： 10014 活跃值： (2012) 能力值： ( LV4，RANK：40 ) 在线值：发帖 154 回帖 834 粉丝 10 关注私信	sjdkx 9 楼据说winrar使用16字节的AES加密，还没听说能被分析破解，但如果用户密码位数少被穷举攻击击破是没问题的。认为安全第一，方便性第二，否则你加密干什么。 2019-1-16 20:00 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 10 楼云才哥 WinRAR作为大众化简单方便！非要上RSA2084才安全？ RSA2084加密速度太慢？ 2019-2-12 10:50 0
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 11 楼 sjdkx 据说winrar使用16字节的AES加密，还没听说能被分析破解，但如果用户密码位数少被穷举攻击击破是没问题的。认为安全第一，方便性第二，否则你加密干什么。你说的理由跟吃东西一个道理，吃饱第一，好吃第二，吃不饱你吃它干嘛？最后于 2019-2-12 11:17 被瀚海云烟编辑，原因： 2019-2-12 11:17 0
sjdkx 雪币： 10014 活跃值： (2012) 能力值： ( LV4，RANK：40 ) 在线值：发帖 154 回帖 834 粉丝 10 关注私信	sjdkx 12 楼实际通过一些技巧实现既安全又有较好的人机交互是容易实现的。 2019-2-12 22:32 0
zx_838914 雪币： 108 活跃值： (1188) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 35 粉丝 4 关注私信	zx_838914 13 楼 sjdkx 据说winrar使用16字节的AES加密，还没听说能被分析破解，但如果用户密码位数少被穷举攻击击破是没问题的。认为安全第一，方便性第二，否则你加密干什么。赞同你的观点，我也据闻旧版winrar是AES128位加密标准，我准备破解AES128位加密标准。 2019-2-17 15:36 0
sjdkx 雪币： 10014 活跃值： (2012) 能力值： ( LV4，RANK：40 ) 在线值：发帖 154 回帖 834 粉丝 10 关注私信	sjdkx 14 楼，破解不易估计不行。 2019-2-17 19:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复