使用 CentOS5 中包含的 zip 实用程序(zip 命令):即/usr/bin/zip -P $ZIP_PASS ...
我还没有找到任何关于此的文档。我试图找出密码的安全性。这是加密的吗?如果不使用加密,它是如何保护的?
谢谢
问问题
3849 次
2 回答
2
好的,我找到了我正在寻找的答案......来自http://en.wikipedia.org/wiki/ZIP_%28file_format%29和http://en.wikipedia.org/wiki/Known-plaintext_attack
诸如 ZIP 之类的加密文件存档容易受到这种攻击。[需要引用] 例如,具有加密 ZIP 文件的攻击者只需要(部分)来自存档的一个未加密文件,该文件形成“已知明文”。[4] [5] 然后使用一些公开可用的软件,他们可以快速计算解密整个档案所需的密钥。为了获得这个未加密的文件,攻击者可以在网站上搜索一个合适的文件,从他们可以打开的另一个档案中找到它,或者手动尝试重建一个明文文件,该文件掌握了加密档案中的文件名。
所以...... zip 并不完全安全 - 但 zip 中的文件具有随机文件名(如果实施得当),并立即删除未加密的文件(这也是不可通过网络访问的) - 这个似乎是一个可能的解决方案......
更多资源: http: //linux.101hacks.com/archive-compression/password-protection-for-zip-files/
但是,我阅读的越多,7zip 的 AES 256 位加密 zip(一旦安装在服务器上)就更加安全。它也不易受到已知的明文攻击。
于 2011-11-09T00:30:03.193 回答
1
是的,它是加密的。根据手册:
-P password
use password to encrypt zipfile entries (if any). THIS IS INSECURE! Many multi-user operating
systems provide ways for any user to see the current command line of any other user; even on
stand-alone systems there is always the threat of over-the-shoulder peeking. Storing the
plaintext password as part of a command line in an automated script is even worse. Whenever
possible, use the non-echoing, interactive prompt to enter passwords. (And where security is
truly important, use strong encryption such as Pretty Good Privacy instead of the relatively
weak encryption provided by standard zipfile utilities.)
这是在 centOS 机器上运行“man zip”时发现的。
正如手动输入所指出的那样,为了提高安全性,在命令中使用密码来压缩文件并不好,因为其他人可能会检查进程列表并将密码视为压缩。
我不知道这使用了什么样的加密,但我环顾了一些,它似乎并不好。在 stackoverflow 上有一些与此类似的问题。如果加密真的很重要,请考虑使用不同的 zip 库,使用允许 AES 的东西,例如 GPG。
于 2011-11-08T03:30:01.387 回答