Ccrypt与7zip加密
我在Debian上,我有一个文件夹,里面有数千个文件,大小约为14 it。在这个文件夹中,我创建了两个加密的档案:一个是受密码保护的.7z存档,另一个是用氪t (.tar.cpt)加密的TAR存档。
(从现在开始,我将假设.7z/7zip归档意味着密码保护.7z/7zip归档)
我注意到打开7z存档并插入密码,让我在大约1-2秒内看到实际内容,也许更少(打开这个文件和同一个.7z文件没有加密的时间差别)。但是,为了能够看到TAR存档内容,在.tar.cpt文件上使用ccdecrypt命令的时间要长得多,大约5-6分钟。在此之后,我可以打开TAR存档,并在大约1-2秒内看到实际内容。这给我留下了一些问题:
1. 7zip存档的内容加密了吗?
解密两个大小相同的文件的时间差异( .7z仅小约100 me,因为这些文件已经采用压缩格式),这让我认为,虽然cc今晚加密了TAR存档的所有内容,但是7zip只加密包含文件的存档,就像它是一个文件夹(模糊地说是这样),使得很难突破它,但是存档的实际内容仍然没有加密。因此,能够看到内容只需要几秒钟的.7z存档(解密包含的存档/检查密码的时间),而查看.tar文件则意味着所有14 is的内容都已被解密。我做了正确的假设吗?如果没有,请有人解释一下这两种加密方法的区别和工作原理?这个特定的7zip归档文件在插入密码之前隐藏文件名,如果这与此相关的话。
2.这是否意味着7zip存档的次要安全性?
如果第一点中的假设是正确的,这是否意味着受密码保护的7zip归档比“完全加密”的.tar.cpt归档更不安全?我知道使用7zip会为假设提取/解密的归档留下大量的跟踪/临时文件,但我的问题是加密存档本身的实际安全性。此外,我只会在我的台式电脑上加密/解密档案,而档案会储存在伺服器上,所以即使有人控制伺服器(当然不是我的个人电脑),他也找不到解压缩档案的痕迹,因为档案从未在伺服器上解压缩,对吗?
3.有真正的UNIX替代方案吗?
是否有一个典型的UNIX世界的软件可以以7zip的方式加密TAR存档,这样我就可以以一种可以在2秒而不是5分钟内看到文件的方式保护那些不那么安全的东西(如果一个.tar.cpt实际上比我假设的.7z更安全的话)?我不反对7zip,它是一个很好的实用程序,但是我想知道纯粹的UNIX世界是否有类似的东西(我想是的)。此外,创建未压缩的TAR存档比创建他的7压缩对应文件花费的时间要少得多,即使在最小压缩设置下也是如此,因此能够将“7 7zip加密方法”应用于.tar文件将非常方便。
其他UNIX加密软件(如gpg、mcrypt和旧的不安全密码)都采用相同的加密类型(我的意思是它们加密所有内容,而不考虑加密方法),而gzip、bzip2等,如果我没有错,就不能对任何东西进行加密,因为UNIX的传统是“做一件事并做好它”。
最初,可以在几秒钟内从加密的7zip存档中提取单个文件,这或多或少就像一个未加密的文件一样,对我来说,这是我认为这些内容实际上没有被加密的另一个原因,因为我不知道甚至一个文件都可以从.7z中解密(而且没有给我足够的时间让我认为整个存档已经解密到给了我那个单独的文件)。
此外,我还记录了相同7zip存档的加密版本和未加密版本的提取时间,这种差异根本不明显。我认为这是另一个证明内容未加密的证据,但我又错了一次,因为我没有考虑到现代CPU对诸如AES这样的流行算法有加密bult- in (正如接受的答案中所建议的那样)。
显然,7zip存档只能通过命令行设置为“没有压缩”,或者至少不能通过带有Ark的GUI (将滑块设置为“最小”仍然压缩存档)。没有压缩(-mx=0开关,来自相同的答案),.7z大小和制作时间或多或少与.tar对应的相同。
即使没有考虑到.7z头在.tar.cpt上显示文件列表时的优势,ccrypt也只使用一个核心来进行加密/解密,这使得处理速度更慢。
我编辑了这个问题,使它更易读。有了被接受的答案适当的引用,我希望它仍然是完全可以理解的。
回答 2
Security用户
发布于 2016-11-24 14:22:29
(我从来没有用过氪星。我对此的回答仅限于他们在他们的网页中声称的内容)
- 7z实际上加密存档头和实际文件内容,但密码相同。当使用7z创建加密存档时,您可以选择也加密标头(通过命令行标志
-mhe=on,默认值是off)。只要您提供密码,实际的文件内容始终是加密的,无论您是否加密了文件header.,7z (和zip和rar)使用文件头只是为了让您快速浏览存档中存储的文件/目录,包括加密存档和未加密存档。由于历史原因历史原因,tar没有任何这样的文件列表,因此您的假设是不正确的。 - 我不能说是用于氪星,但7z在加密方面是足够安全的(只要你选择一个好的密码)。正如您已经提到的,7z使用AES-256进行加密,AES-256是安全的。7z是开源的,没有任何安全漏洞(恶意或诚实)可以篡改加密的7z的security.注意到您正在使用密码加密您的7z存档。这意味着如果有人得到了你的7z文件,他可以一个一个地尝试所有可能的密码,直到他找到你的密码。(这就是为什么你应该总是选择一个好的密码) 7z使用键拉伸 (100,000次迭代IIRC)来减缓这样的过程,但是如果你的密码太短或者太普通(例如:"Passw0rd“或"Letmein"),那个恶意的家伙可以快速点击你的密码。对于使用此技巧的加密档案,有真正的密码破解器。
因此,即使有人控制了服务器(当然不是我的PC ),他也找不到解压档案的任何痕迹。
只要您没有7z x archive.7z -pMyPassword或“提取这里”,文件应该是不可见的其他人。这是自动云同步工具(如Dropbox)的一个常见缺陷:您提取到同步文件夹的任何文件都将上载到它们的服务器上。如果双击归档文件列表中的文件,该文件将被解压到某个临时路径(/tmp或您的~中的某个地方),而同步工具不会将它上传到任何地方。
- 是。它叫做7z :),说真的,
.tar归档只不过是一个大文件。可以使用7z对其进行压缩/加密。这将产生一个.tar.7z文件,尽管您可以自由地重命名它。这意味着多个文件被分组到一个.tar存档中,然后以任何您喜欢的方式使用7z压缩/加密。这在*nix管理中特别有用,因为tar保存所有者/权限信息,但7z不保存。但在您的情况下,如果您不关心这些信息,那么简单的7z比enough.作为一个副词更重要,如果不需要,则无需使用7z进行压缩。您可以将压缩级别设置为0(命令行中的-mx=0)。这样,7z只需打包文件并对其进行加密,而无需进行耗时的压缩/解压缩。
但是,即使在14 as的.7z存档中打开单个文件的速度不如在.tar存档中的速度
这取决于压缩7z和tar文件的算法。有多个压缩算法来压缩一个文件,每个算法都可以配置到不同的压缩级别。通常,输出文件越小,所用的时间就越长。既然您提到7z可以节省100 MB的内存,那么在时间上就需要进行权衡。
另外,当您打开.tar的文件列表时,您已经对所有文件进行了解密和解压缩。这只是得到你想要的字节的问题。但是对于.7z,只显示了存档头。实际文件尚未解密/解压缩。如果您比较从双击文件列表到获取文件所花费的时间,tar几乎总是赢家。
事实上,在增加解密时间的情况下,提取加密版本所需时间要长得多。
对于旧电脑(>10年前)来说可能是这样。现代CPU通常是(1)非常快,(2)有内置的常见密码算法,如AES。如果您不使用SSD,磁盘IO更多地是一个限制因素。
7zip怎么能在仅2分钟半的时间内解密和提取整个档案,而氪星只需要更多的时间才能解密??
在不知道文件列表和您正在解密/解压缩的文件的情况下,我无法确定。但是,由于tar必须使用固体压缩,所以您需要解密和解压缩整个归档文件,以便获得一个文件。对于7z,实心压缩是可选的(但默认情况下在命令行7z中启用;GUI取决于您使用的前端)。每个文件都是单独压缩和加密的。要获得单个文件,只需根据7z头获取加密的字节,并且只对文件的这些字节执行魔术。如果您总是希望提取整个归档文件,那么tar作为存档格式是很好的。如果您有时只需要一个文件,请使用7z。
是否有一种方法可以将UNIX基本工具组合成与7zip存档一样强大的工具,即将归档器、压缩程序和加密器组合在一起
在安全性方面,我不建议重新发明轮子/ 滚动你自己的。7zip是免费软件,甚至是支持7z格式的专有软件。但是,如果您真的需要,尝试gzip-对单个文件,tar (没有压缩),并氪焦油。不过,你需要一些非平凡的脚本。
Security用户
发布于 2016-11-24 07:11:54
假设1)是不正确的。使用7Z、RAR、ACE或许多旧的归档程序上的密码,您可以访问文件“树”。如果您想要实际访问某个文件,仍然需要提取(解密)每个文件。这是有效的,因为MS-DOS时代。
所以你实际上访问了你的文件的索引,仅此而已。
还要注意,解密密钥是针对每个文件进行测试的。归档程序只会自动执行此操作,并对所有文件应用相同的密钥,但如果需要,可以使用不同的密码剑对每个文件进行加密。
编辑-你真的可以学习7Z码。
https://security.stackexchange.com/questions/143432
复制相似问题
腾讯云开发者
