¿Qué tan seguros son los archivos WinRAR protegidos con contraseña?

8

La web parece estar inundada por eliminadores de contraseñas. Sin embargo, estoy del otro lado. Estoy interesado en la seguridad de mis archivos.

Si tengo un archivo WinRAR (> 1 Mbyte) y uso una contraseña (> 6 caracteres de longitud con caracteres no alfanuméricos), ¿qué tan seguro será mi archivo?

Cerebro
fuente

Respuestas:

9

Lo que estoy viendo ( http://en.wikipedia.org/wiki/RAR ) dice que los archivos con formato RAR3 usan AES para el algoritmo de cifrado. A primera vista no me queda claro si el formato de archivo RAR3 está publicado o si hay implementaciones de código abierto del algoritmo de descifrado / descompresión. Si el formato no se publica / o no hay implementaciones gratuitas del algoritmo de descifrado / descompresión, creo que desconfiaría de la "seguridad" ya que siempre existe la posibilidad de que trucos como colocar un texto plano conocido en el encabezado de cada archivo cifrado, fugas de bits de la clave, etc. podrían estar en juego.

Los formatos RAR más antiguos usaban un "algoritmo de cifrado patentado". Siempre debe ser MUY cauteloso con los programas que usan "algoritmos de cifrado patentados". La frase "algoritmo de cifrado patentado" a menudo es el código para "algo golpeado en un sótano por un codificador que realmente no sabe mucho sobre criptografía", o más libremente como "no ha sido revisado por pares".

Editar: Estoy viendo lo que parecen ser implementaciones gratuitas de al menos la parte de descompresión de RAR3 ( http://sourceforge.net/projects/java-unrar , por ejemplo). Mientras el formato de archivo esté abierto, debería ser difícil que una gran parte de los bits de su clave se filtren debido a una implementación poco confiable. Aún así, me sentiría mejor con algo que ha sido revisado o certificado por pares (FIPS, etc.).

Evan Anderson
fuente
Por supuesto, tener la fuente abierta (pero no certificada) significa que alguien podría descifrar cualquier implementación de fuente abierta. Es interesante que en la edición mencione implementaciones poco confiables; si no está certificado, ¿cómo sabes qué es confiable? No estoy demasiado preocupado por las especificaciones de cifrado abierto, las especificaciones de cifrado se publican y revisan regularmente. Publicar la implementación hace. El cifrado patentado está bien en comparación con un cifrado "abierto" siempre que haya sido certificado. Novell Groupwise es un ejemplo de cifrado patentado que está certificado por el Departamento de Comercio de EE. UU.
Jim B
3
@ JimB: no considero que el software de código abierto sea inherentemente "más seguro" que el de código cerrado, pero definitivamente me gustaría tener la opción de mirar el código fuente (o pagarle a alguien más). En última instancia, debe trazar una línea en algún lugar re: confianza (podrían existir compiladores troyanizados, microprocesadores, etc.). Prefiero tener un cifrado revisado por pares que un cifrado patentado "certificado" no revisado por pares cualquier día de la semana. También estaré feliz de aceptar que una implementación de cifrado no es necesariamente correcta solo porque se basa en una especificación abiertamente disponible.
Evan Anderson el
3

Como ha dicho, hay crackers / removedores de contraseñas por ahí. No confiaría en mis archivos a un archivo protegido por contraseña. Sugeriría algún tipo de cifrado a nivel de archivo como GnuPG o AES Crypt

Adán
fuente
2
Estoy de acuerdo. Use un archivador para sus necesidades de archivo y use un programa de cifrado bien probado para sus necesidades de cifrado.
Geoff Fritz el
0

Si recuerdo correctamente, el uso de la contraseña en un archivo no necesariamente incluye cifrado (es una opción separada).

La respuesta de Evan es mucho más informativa cuando se trata del algoritmo :)

pauska
fuente