创建一个无法被破解的 zip 压缩包

2022-10-10 09:59:41 +08:00
 tool2d
试想一下,你把有敏感信息的文本或代码保存到 U 盘作为文档备份,但又怕 U 盘有一天不小心掉了,怎么办?

最简单的办法,就是用 zip 给文本加个密码后压缩保存。

但是密码始终存在被暴力破解的风险,现在 GPU 运行速度飞快,又再次加大了这种风险因素。

解决办法是,只要把 zip 的内部 hash 校验算法改成 MD5 ,就能高枕无忧。主流破解软件的暴力破解,都是针对特定 hash 的。那些非标准格式的 hash ,破解软件都是不支持的。
8390 次点击
所在节点    编程
100 条回复
xtreme1
2022-10-10 10:04:53 +08:00
别用 ZipCrypto 不就得了, Zip 标准现在支持 AES-256
你自己用又不需要考虑兼容性
tool2d
2022-10-10 10:09:50 +08:00
ZipCrypto 只要你提供正确密码,敏感信息还是能被正确解压出来。

如果你改成 MD5 ,那 U 盘掉了后,除了你自己,没有第二个人能把文件给还原。这样就算被猜到密码也没用,常规解压工具都无法识别。只有魔改的工具才行。
hgc81538
2022-10-10 10:13:43 +08:00
敏感信息加密碼 zip, rar, 7z 等等一遍就可以了
xuboying
2022-10-10 10:21:02 +08:00
还以为 op 提供了一个开箱即用的方法。
既然是魔改了 zip ,那不是等于自己写了一个私有的加解密算法。扩展名也没必要叫.zip 吧,直接叫.bin 就好了
7zlid
2022-10-10 10:22:08 +08:00
Why not 7z ?
XiLingHost
2022-10-10 10:24:51 +08:00
建议直接 veracrypt 之类的加密
tool2d
2022-10-10 10:30:22 +08:00
@xuboying 扩展名叫 zip 才有迷惑性,会让黑客误以为是密码错误,而不是算法错误。

只要捡到 U 盘的人误以为是 zip 文件,那被破解的概率就是 0%
AoEiuV020CN
2022-10-10 10:31:14 +08:00
这种程度的修改感觉有心人可以人工判断猜出来,
都魔改了不如更彻底一点,直接一全全新的算法,只要别人猜不到你的算法加密过程,就不可能破解,
tool2d
2022-10-10 10:33:37 +08:00
@7zlid 7z 还是有被破解的概率,如果密码正好是英文字典,那破解概率就很高。如果是超强密码,那概率会很低,趋近于 0 ,但不会完全等于零。

而魔改 MD5 的 ZIP ,被破解概率完全等于 0.
ccc008
2022-10-10 10:44:50 +08:00
不用那么麻烦,密码里面加入汉字、特殊符号就足够强壮了。
vAvyummyICE
2022-10-10 10:45:50 +08:00
使用 rar AES-256 127 位随机密码双层加密,然后分卷压缩再加密,分卷分块储存不同网盘
dingwen07
2022-10-10 10:45:59 +08:00
用 GPG 密码加密
gam2046
2022-10-10 10:47:18 +08:00
zip 为了防止爆破,采用 rar 即可。非弱密码,基本上可以杜绝爆破的可能性。
idealhs
2022-10-10 10:51:46 +08:00
那我为啥不 7z 压完改扩展名?
qrobot
2022-10-10 10:52:00 +08:00
@tool2d

```
只要把 zip 的内部 hash 校验算法改成 MD5 ,就能高枕无忧。
```

据我所知 zip 的加密不应该是 Symmetric-key algorithm 么. 应该不需要 hash 算法才对呀, 而且 md5 的碰撞那么简单, 怎么可能用 md5 进行 hash, 起码都是 sha-256 以上
7zlid
2022-10-10 10:58:35 +08:00
我还没想好这叫一叶障目还是叫掩耳盗铃…
tool2d
2022-10-10 10:59:52 +08:00
@qrobot md5 是验证解压后数据是否正确,理论上你用任意密码都是可以解压文件的,但只有密码正确的情况,解压后计算 hash 才和文件头里的 hash 一致。
qrobot
2022-10-10 11:03:13 +08:00
@tool2d hash 只是用来做文件校验, 和加密没任何意义, 这一步本身可以省略, 甚至可以用 CRC (Cyclic Redundancy Check) 来进行校验,因为这样很快.

问题是你的数据都已经被破解了, 后面的校验数据的完整性有什么意义? 我已经拿到了我想要的数据, 校验可以不做的.
qrobot
2022-10-10 11:03:59 +08:00
@tool2d 还不如 GPG 来的实在
cloudfox
2022-10-10 11:07:33 +08:00
不公开的算法并不比公开的算法安全

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/885696

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX