Czy to błąd szyfrowania zip?

Niedawno odkryłem exploita, w którym mogę (lub zakładam, że ktoś) ponownie zaszyfrować mój zaszyfrowany plik zip bez konieczności znajomości hasła:

#zip --encrypt encrypted.zip -r dir1/

Powyższe spowoduje wyświetlenie monitu o wprowadzenie nowego hasła. Czy czegoś mi brakuje, czy to znany problem?

encryption zip

— Lamino
źródło

Czy znalazłeś sposób na odczyt danych w oryginalnym pliku zip?

— ctrl-alt-delor

@ ctrl-alt-delor tak Nie zapomniałem hasła, uświadomiłem sobie to przez przypadek

— lamino

Przepraszam, chodziło mi o to, czy znalazłeś sposób na odczyt danych w oryginalnym pliku zip bez znajomości hasła?

— ctrl-alt-delor

Archiwa zip mogą mieć wiele haseł dla różnych zawartych plików. Pliki w archiwum są zasadniczo niezależne od siebie - są kompresowane bez względu na inne pliki i są szyfrowane w ten sam sposób. Twój encrypted.zipbędzie miał dwa (lub więcej) zaszyfrowanych segmenty, jeden z oryginalnego hasła i jednego z nową.

Próba unzipuzyskania pliku wyświetli monit o podanie obu haseł:

$ unzip ../test.zip
Archive:  ../test.zip
[../test.zip] file1 password:
  inflating: file1
  inflating: file2
[../test.zip] newfile password:
  inflating: newfile

Katalog zawierający listę nazw plików nie jest szyfrowany. To nie jest błąd, choć może być mylący i nie wszystkie narzędzia zip dobrze radzą sobie z sytuacją (szczególnie narzędzia graficzne).

— Michael Homer
źródło

Przeciw intuicyjna, ale interesująca funkcja. Dzięki za wyjaśnienie

— lamino,

Katalog, czyli lista nazw plików, nie jest zaszyfrowany - dlatego sytuacje, w których lista katalogów jest również wrażliwa, często powodują, że oryginalne pliki są spakowane niezaszyfrowane do pliku zip, który następnie jest spakowany i zaszyfrowany do innego pliku zip. Wtedy jedyną rzeczą, która jest widoczna bez hasła, jest nazwa wewnętrznego pliku zip.

— Stobor,

@Stobor w powiązanej notatce, .7zformat archiwum ma opcję szyfrowania listy katalogów, a także plików.

— user3490,