Les archives WinRAR protégées par mot de passe sont-elles sécurisées?

8

Le Web semble être inondé de suppresseurs de mots de passe. Je suis cependant de l'autre côté. Je suis intéressé par la sécurité de mes fichiers.

Si j'ai une archive WinRAR (> 1 Mo) et que j'utilise un mot de passe (> 6 caractères de long avec des caractères non alphanumériques), à quel point mon archive sera-t-elle sécurisée?

— Cerveau
source

9

Ce que je vois ( http://en.wikipedia.org/wiki/RAR ) indique que les fichiers au format RAR3 utilisent AES pour l'algorithme de chiffrement. À première vue, je ne sais pas si le format de fichier RAR3 est publié ou s'il existe des implémentations open source de l'algorithme de décryptage / décompression. Si le format n'est pas publié / ou s'il n'y a pas d'implémentations gratuites de l'algorithme de décryptage / décompression, je pense que je me méfierais de la "sécurité" car il y a toujours la possibilité que des astuces comme placer un texte en clair connu dans l'en-tête de chaque fichier chiffré, des fuites de bits de la clé, etc. pourraient être en jeu.

Les anciens formats RAR utilisaient un "algorithme de chiffrement propriétaire". Vous devez toujours être TRÈS méfiant des programmes qui utilisent des «algorithmes de chiffrement propriétaires». L'expression "algorithme de chiffrement propriétaire" est souvent un code pour "quelque chose qui a été renversé dans un sous-sol par un codeur qui ne connaît pas grand-chose à la cryptographie", ou plus vaguement car "n'a pas été révisé par des pairs".

Edit: je vois ce qui semble être des implémentations gratuites d'au moins la partie de décompression de RAR3 ( http://sourceforge.net/projects/java-unrar , par exemple). Tant que le format de fichier est ouvert, il devrait être difficile pour une grande quantité de bits de votre clé d'être divulguée par une implémentation non fiable. Pourtant, je me sentirais mieux avec quelque chose qui a été évalué par des pairs ou certifié (FIPS, etc.).

— Evan Anderson
source

Bien sûr, avoir la source ouverte (mais non certifiée) signifie que quelqu'un pourrait être capable de pirater n'importe quelle implémentation open source. Il est intéressant de noter que dans l'édition, vous mentionnez des implémentations non fiables; s'il n'est pas certifié, comment savoir ce qui est digne de confiance? Je ne suis pas trop inquiet des spécifications de chiffrement ouvert, les spécifications de chiffrement sont régulièrement publiées et révisées. La publication de l'implémentation le fait. Le chiffrement propriétaire est très bien comparé à un chiffrement "ouvert" tant qu'il est certifié. Novell Groupwise est un exemple de chiffrement propriétaire certifié par le Département du commerce américain.

— Jim B

3

@JimB: Je ne considère pas les logiciels open source intrinsèquement "plus sûrs" que les sources fermées, mais j'aimerais vraiment avoir la possibilité de regarder le code source (ou de payer quelqu'un d'autre). En fin de compte, vous devez tracer une ligne quelque part re: trust (des compilateurs de Troie, des microprocesseurs, etc., pourraient exister). Je préfèrerais de loin avoir un chiffrement évalué par les pairs plutôt qu'un chiffrement propriétaire «certifié» non évalué par les pairs n'importe quel jour de la semaine. Je serai également heureux de constater qu'une implémentation de chiffrement n'est pas nécessairement correcte uniquement parce qu'elle est basée sur une spécification ouvertement disponible.

— Evan Anderson

3

Comme vous l'avez dit, il existe des crackers / suppresseurs de mots de passe. Je ne confierais pas mes fichiers à des fichiers d'archive protégés par mot de passe. Je suggérerais un type de cryptage au niveau des fichiers comme GnuPG ou AES Crypt

— Adam
source

2

Je suis d'accord. Utilisez un archiveur pour vos besoins d'archivage et utilisez un programme de cryptage bien testé pour vos besoins de cryptage.

— Geoff Fritz

0

Si je me souviens bien, l'utilisation du mot de passe sur une archive n'inclut pas nécessairement le cryptage (c'est une option distincte).

La réponse d'Evan est beaucoup plus informative en ce qui concerne l'algorithme :)

— pauska
source