Ist das ein Zip-Verschlüsselungsfehler?

13

Ich habe kürzlich einen Exploit entdeckt, bei dem ich (oder eine andere Person) meine verschlüsselte ZIP-Datei erneut verschlüsseln kann, ohne das Kennwort zu kennen:

#zip --encrypt encrypted.zip -r dir1/

Das obige fordert den Benutzer auf, ein neues Passwort einzugeben . Fehlt mir etwas oder ist dies ein bekanntes Problem?

Lamino
quelle
5
Haben Sie eine Möglichkeit gefunden, die Daten in der Original-Zip-Datei zu lesen?
ctrl-alt-delor
@ ctrl-alt-delor ja ich habe mein passwort nicht vergessen, das habe ich zufällig festgestellt
lamino
17
Entschuldigung, ich meinte, haben Sie eine Möglichkeit gefunden, die Daten in der Original-Zip-Datei zu lesen, ohne das Passwort zu kennen?
ctrl-alt-delor

Antworten:

40

Zip-Archive können mehrere Kennwörter für verschiedene enthaltene Dateien haben. Dateien in einem Archiv sind im Wesentlichen unabhängig voneinander - sie werden unabhängig von anderen Dateien komprimiert und auf dieselbe Weise verschlüsselt. Sie encrypted.ziphaben zwei (oder mehr) verschlüsselte Segmente, eines mit Ihrem ursprünglichen Passwort und eines mit dem neuen.

Wenn Sie versuchen, unzipdie Datei zu durchsuchen, werden Sie zur Eingabe beider Kennwörter aufgefordert:

$ unzip ../test.zip
Archive:  ../test.zip
[../test.zip] file1 password:
  inflating: file1
  inflating: file2
[../test.zip] newfile password:
  inflating: newfile

Das Verzeichnis, die Liste der Dateinamen, ist nicht verschlüsselt. Dies ist kein Fehler, obwohl dies verwirrend sein kann und nicht alle Zip-Tools die Situation gut bewältigen (insbesondere grafische Tools).

Michael Homer
quelle
2
Kontraintuitive, aber interessante Funktion. Vielen Dank für die Klarstellung
Lamino
14
Das Verzeichnis, die Liste der Dateinamen, ist nicht verschlüsselt. In Situationen, in denen die Verzeichnisliste ebenfalls vertraulich ist, werden die Originaldateien häufig unverschlüsselt in eine ZIP-Datei komprimiert, die dann komprimiert und in eine andere ZIP-Datei verschlüsselt wird. Dann ist das Einzige, was ohne das Passwort sichtbar ist, der Name der inneren Zip-Datei.
Stobor
2
@Stobor in einem verwandten Hinweis, das .7zArchivformat hat die Option, die Verzeichnisliste sowie die Dateien zu verschlüsseln.
Benutzer 3490