Meilleur cryptage sécurisé pour les fichiers Zip via Linux

12

Je souhaite utiliser un cryptage hautement sécurisé pour les fichiers compressés via Linux / Ubuntu à l'aide d'un terminal de ligne de commande, quel est le meilleur outil de ligne de commande pour effectuer ce travail?

zip -e -P PASSWORD file1 file2 file3 file4

Ou

7za a file.7z *.txt -pSECRET

Quel cryptage est utilisé et dans quelle mesure est-il sécurisé?

— Daniel
source

Le chiffrement comprime quand même les fichiers. Si le chiffrement solide comme le roc est plus important que la taille du fichier, vous devriez envisager d'utiliser GPG.

— Iain

4

@Iain: c'est vrai pour GPG mais pas pour tous les outils de chiffrement. la façon dont cela fonctionne est, le chiffrement de quelque chose fait ressembler à des données aléatoires, qui ne sont pas compressibles (ou du moins pas compressibles de beaucoup, si votre chiffrement est bon). si vous voulez compresser et crypter, faites votre compression d' abord , et chiffrer les données compressées. certains outils (comme GPG) le font automatiquement pour vous, mais comprenez que c'est une caractéristique de l'outil, pas du cryptage.

— Quack Quichote

@Iain: merci; je ne savais pas que GPG a fait la compression pour vous automatiquement. trouvé dans cet article sur GPG (voir la section "Tarballs cryptés"): linuxjournal.com/article/8732

— quack quixote

IIRC la compression effectuée par GPG est (ou est similaire à) gzip avec des paramètres par défaut qui est un bon compromis entre les taux de compression et la vitesse. Si les données que vous envoyez sont très volumineuses et que les connexions seront envoyées lentement, vous bénéficierez d'abord de l'utilisation de 7zip, mais il faut un assez long plus long pour compresser les mêmes données afin de trouver le support de compression intégré de GPG plus pratique.

— David Spillett

Vous ne voulez vraiment pas mettre votre secret sur la ligne de commande où il peut être lu à partir de ps ou de votre fichier historique.

— Samuel Edwin Ward

9

La compression offerte par 7zip (au format 7z) est plus sûre que toutes les méthodes "standard" ou le cryptage d'un fichier au format zip (dont beaucoup datent de plusieurs années et sont à peine sécurisées). Dans les deux cas, assurez-vous d'avoir choisi un bon mot de passe / clé - avec un mot de passe mal choisi, toutes les techniques de cryptage sont sensibles aux attaques par dictionnaire / supposition.

Si vous cryptez des fichiers à envoyer à quelqu'un d'autre, GPG serait mieux (voir https://help.ubuntu.com/community/GnuPrivacyGuardHowtopour certaines notes spécifiques à Ubuntu, ou Google pour de nombreuses autres ressources similaires) si la personne à qui vous envoyez est capable + disposée à utiliser GPG / PGP / compatible (ou les utilise déjà). Les outils GPG standard sont pilotés par ligne de commande, donc faciles à travailler dans des scripts si vous archivez régulièrement des fichiers et souhaitez les automatiser. Ceci est basé sur une clé publique, ce qui élimine le problème d'essayer d'obtenir la clé du destinataire par des moyens sécurisés lorsque vous cryptez avec sa clé publique et seulement ils ont la clé privée nécessaire pour déverrouiller le fichier résultant (même vous, la personne qui a crypté le fichier en premier lieu, ne serait pas en mesure de le décrypter). Pour la paranoïa ++, chiffrez avec 7zip pendant que vous créez l'archive puis avec la clé publique du destinataire via GPG.

— David Spillett
source

5

Je ne suis pas sûr du zip standard dans Ubuntu, donc je ne peux pas dire lequel est le meilleur, mais voici ce que 7-Zip prétend utiliser :

7-Zip prend également en charge le cryptage avec l'algorithme AES-256. Cet algorithme utilise une clé de chiffrement d'une longueur de 256 bits. Pour créer cette clé, 7-Zip utilise une fonction de dérivation basée sur l'algorithme de hachage SHA-256. Une fonction de dérivation de clé produit une clé dérivée à partir d'un mot de passe texte défini par l'utilisateur. Pour augmenter le coût de la recherche exhaustive des mots de passe, 7-Zip utilise un grand nombre d'itérations pour produire une clé de chiffrement à partir du mot de passe texte.

— Ƭᴇcʜιᴇ007
source

3

Depuis la zippage de manuel:

   -P password
   --password password
          Use password to encrypt zipfile entries (if any).  THIS IS INSECURE!  Many multi-user operating systems provide  ways
          for  any  user  to  see  the  current command line of any other user; even on stand-alone systems there is always the
          threat of over-the-shoulder peeking.  Storing the plaintext password as part of a command line in an automated script
          is  even  worse.  Whenever possible, use the non-echoing, interactive prompt to enter passwords.  (And where security
          is truly important, use strong encryption such as Pretty Good Privacy instead of the relatively weak standard encryp-
          tion provided by zipfile utilities.)

Le résultat est que si votre processus zip prend un certain temps, un autre utilisateur du système pourrait voir la commande entrée, qui inclurait le mot de passe. Oups. On peut supposer que cela s'applique également à la .7zsolution.

— shabbychef
source

0

GnuPG est probablement assez bon. Cependant, si votre vie en dépend, je serais un peu sceptique. J'utilise un pad à usage unique . Je ne vais pas discuter de la façon dont je génère les pads ou comment je les sécurise, mais j'utilise également GPG pour les e-mails de sécurité inférieure. Parfois, j'utilise une fois pour chiffrer un fichier, puis je le joins à un courrier électronique chiffré avec GPG.

Oui, j'envoie des informations selon lesquelles les gens doivent dépendre de leur sécurité et de leur danger de mort.

— Ruffus
source