Czy to błąd szyfrowania zip?


13

Niedawno odkryłem exploita, w którym mogę (lub zakładam, że ktoś) ponownie zaszyfrować mój zaszyfrowany plik zip bez konieczności znajomości hasła:

#zip --encrypt encrypted.zip -r dir1/

Powyższe spowoduje wyświetlenie monitu o wprowadzenie nowego hasła. Czy czegoś mi brakuje, czy to znany problem?


5
Czy znalazłeś sposób na odczyt danych w oryginalnym pliku zip?
ctrl-alt-delor

@ ctrl-alt-delor tak Nie zapomniałem hasła, uświadomiłem sobie to przez przypadek
lamino

17
Przepraszam, chodziło mi o to, czy znalazłeś sposób na odczyt danych w oryginalnym pliku zip bez znajomości hasła?
ctrl-alt-delor

Odpowiedzi:


40

Archiwa zip mogą mieć wiele haseł dla różnych zawartych plików. Pliki w archiwum są zasadniczo niezależne od siebie - są kompresowane bez względu na inne pliki i są szyfrowane w ten sam sposób. Twój encrypted.zipbędzie miał dwa (lub więcej) zaszyfrowanych segmenty, jeden z oryginalnego hasła i jednego z nową.

Próba unzipuzyskania pliku wyświetli monit o podanie obu haseł:

$ unzip ../test.zip
Archive:  ../test.zip
[../test.zip] file1 password:
  inflating: file1
  inflating: file2
[../test.zip] newfile password:
  inflating: newfile

Katalog zawierający listę nazw plików nie jest szyfrowany. To nie jest błąd, choć może być mylący i nie wszystkie narzędzia zip dobrze radzą sobie z sytuacją (szczególnie narzędzia graficzne).


2
Przeciw intuicyjna, ale interesująca funkcja. Dzięki za wyjaśnienie
lamino,

14
Katalog, czyli lista nazw plików, nie jest zaszyfrowany - dlatego sytuacje, w których lista katalogów jest również wrażliwa, często powodują, że oryginalne pliki są spakowane niezaszyfrowane do pliku zip, który następnie jest spakowany i zaszyfrowany do innego pliku zip. Wtedy jedyną rzeczą, która jest widoczna bez hasła, jest nazwa wewnętrznego pliku zip.
Stobor,

2
@Stobor w powiązanej notatce, .7zformat archiwum ma opcję szyfrowania listy katalogów, a także plików.
user3490,
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.