これはzip暗号化のバグですか?

13

パスワードを知らなくても暗号化されたzipファイルを再暗号化できるエクスプロイトを最近発見しました。

#zip --encrypt encrypted.zip -r dir1/

上記はユーザーに新しいパスワードを入力するように促します。不足しているものはありますか、またはこれは既知の問題ですか?

encryption  zip 
ラミノ
ソース
5
元のzipファイルのデータを読み取る方法を見つけましたか?
ctrl-alt-delor
私は自分のパスワードを忘れていなかった@ Ctrl + Alt + delor yesは、私は事故によってこれを実現
ラミノ
17
パスワードを知らなくても、元のzipファイルのデータを読み取る方法を見つけましたか?
ctrl-alt-delor

回答:

40

Zipアーカイブには、含まれるファイルごとに複数のパスワードを設定できます。アーカイブ内のファイルは基本的に互いに独立しています。他のファイルに関係なく圧縮され、同じ方法で暗号化されます。あなたのencrypted.zip2つ(またはそれ以上)の暗号化されたセグメント、1元のパスワードを使用して、新しいものを持つものを持っています。

unzipファイルにアクセスしようとすると、両方のパスワードの入力が求められます。

$ unzip ../test.zip
Archive:  ../test.zip
[../test.zip] file1 password:
  inflating: file1
  inflating: file2
[../test.zip] newfile password:
  inflating: newfile

ディレクトリ、つまりファイル名のリストは暗号化されていません。これはバグではありませんが、混乱を招く可能性があり、すべてのzipツールが状況をうまく処理できるわけではありません(特にグラフィカルツール)。

マイケル・ホーマー
ソース
2
直感に反するが興味深い機能。明確にするためのおかげで
ラミノ
14
ディレクトリ(ファイル名のリスト)は暗号化されません -これが、ディレクトリリストも機密である状況で、元のファイルが暗号化されずにzipファイルに圧縮されてから、別のzipファイルに圧縮および暗号化される理由です。その場合、パスワードなしで表示されるのは、内部zipファイルの名前だけです。
ストボー
2
関連するメモの@Stoborには、.7zアーカイブ形式にディレクトリリストとファイルを暗号化するオプションがあります。
user3490
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.