Ist es möglich, auf eine kennwortgeschützte WinRAR-Datei zuzugreifen, ohne sie brutal zu erzwingen?

590
Hashim

Meine Begründung: Passwortgeschützte WinRar-ZIP-Dateien werden lokal gespeichert. Daher muss auch das Passwort oder ein Schlüssel, um sie zu knacken, lokal gespeichert werden. Ich finde, es wäre viel einfacher zu finden, wo das Passwort oder der Schlüssel auf dem Computer gespeichert ist, anstatt ihn brutal zu erzwingen - eine Lösung, die nach mehr als 7 Zeichen ohnehin praktisch unmöglich wird. Am besten ist das Passwort irgendwo in der Registry versteckt. Schlimmer noch, es liegt in der ZIP-Datei selbst und erfordert die Verwendung eines Hex-Editors, der immer noch viel effektiver ist als der Versuch, das Passwort manuell zu knacken.

Weiß jemand, ob das überhaupt möglich ist? Wenn ja, wo und wie kann das Kennwort für WinRAR-ZIP-Dateien abgerufen werden? Wenn nicht, warum?

-2
Ohne ihn zu zwingen? Finden Sie entweder einen Fehler in der Verschlüsselung selbst (und punkten Sie wahrscheinlich bei den verschiedenen $$$-Herausforderungen / Kopfgeldern) oder geben Sie das richtige Passwort ein. Es gibt wirklich keinen anderen Weg. Michael Frank vor 7 Jahren 0
Ahhh ..... sollten Sie das tun? Was interessiert Sie hier besonders? mdpc vor 7 Jahren 1
@MichaelFrank Ich denke, dass sein Hauptproblem darin besteht, wie Authentifizierung und Verschlüsselung funktionieren und welche Rolle Passwörter spielen. music2myear vor 7 Jahren 1

1 Antwort auf die Frage

4
music2myear

Ihre Annahmen sind falsch.

Das Passwort wird optimal in den Gedanken des Erstellers gespeichert oder an einem anderen Ort außerhalb der Daten gespeichert (weniger optimal).

Wenn Sie eine Datei verschlüsseln, erstellen Sie das Kennwort für diese Verschlüsselung und behalten es für sich oder geben es nur an den vorgesehenen Empfänger der verschlüsselten Datei weiter, wenn es nicht für die Selbstspeicherung bestimmt ist.

Wenn Sie eine Datei entschlüsseln, fragt Sie das Programm nach dem Kennwort und kann die Datei erst entschlüsseln, wenn Sie dieses Kennwort eingeben.

Denken Sie nur kurz darüber nach: Wenn das Passwort lokal gespeichert wäre, sogar als Hash, wie sicher wäre diese verschlüsselte Datei? Es wäre töricht bis zur Dummheit, ein solches System zu schaffen, und es könnte in keiner Weise als sicher bezeichnet werden.

UPDATE für Kommentare 1

Ich vermute, Sie verwirren die Authentifizierung und die Verschlüsselung .

Bei der Authentifizierung wird eine gehashte Kopie des Kennworts mit einem gespeicherten Hash verglichen, und dann wird das Ja oder Nein zurückgegeben, um die Anmeldung zuzulassen oder zu verbieten.

Bei der Verschlüsselung ist das Passwort eher ein Schlüsselbestandteil einer Formel. Wir wissen, wo in der Formel das Kennwort angegeben wird, und wir kennen den Rest der Formel. Ohne das Kennwort stimmt der Entschlüsselungsvorgang jedoch nicht mit den verschlüsselten Daten überein und schlägt fehl.

Bei der Authentifizierung verringert ein sicheres Kennwort nur die Wahrscheinlichkeit, dass das Kennwort erraten wird oder dass der Hash durch Wörterbuchangriffe erkannt und zurückgenommen wird.

Bei der Verschlüsselung könnte ein starkes Kennwort tatsächlich die "Qualität" der Verschlüsselung der Daten verbessern.

Eine andere Sache: Wenn Verschlüsselung wie Authentifizierung funktioniert, müssen Sie das Kennwort nicht einmal finden. Die Daten würden immer mit derselben Formel verschlüsselt, und Ihr Passwort würde lediglich berechtigten Programmen mitteilen, dass die Daten mit einem anderen Datenelement entschlüsselt oder verschlüsselt werden könnten, und dies ist ein Schlüssel, der es wert ist, gefunden zu werden .

Da das Kennwort jedoch TEIL der Verschlüsselungsformel ist, verringert die Kenntnis des Kennworts für eine verschlüsselte Information die Sicherheit anderer verschlüsselter Informationen nicht, selbst wenn dasselbe System verwendet wird.

Wenn eine lokal gespeicherte Datei oder ein Verzeichnis kennwortgeschützt ist, muss gemäß den Grundprinzipien der Datenprüfung die Benutzereingabe anhand von - dh dem Kennwort in einer korrekten Form - überprüft werden, um zu bestimmen, ob das eingegebene Kennwort des Benutzers richtig ist oder nicht . Wenn es sich um eine in sich geschlossene ZIP-Datei handelt, sind Informationen wahrscheinlich nur im Code der ZIP-Datei selbst enthalten. Ist dies nicht der Fall, muss es online gespeichert und abgerufen werden, was sehr, sehr unwahrscheinlich ist. Ich bezweifle, dass WinRAR Passwörter für jede einzelne ZIP-Datei auf ihren eigenen Servern speichert. Ja, in einer idealen Welt wäre es "optimal" ... Hashim vor 7 Jahren 0
... wenn es aus Sicherheitsgründen nicht so funktioniert hat - aber die Chancen stehen nicht, weil die reale Welt nicht ideal ist und die gesamte Sicherheit irgendwo anfällig ist. Ihr Argument, dass es nicht so sein kann, weil es für Sicherheit dumm wäre, ist ein Trugschluss - wenn es so sein muss, gibt es keine andere Wahl. In diesem Fall halte ich es auch nicht für verrückt, es zu erwarten. WinRAR-Passwortverschlüsselung wird kaum als Gipfel der Sicherheit betrachtet und es ist erforderlich, ein Passwort über einen Hex-Editor oder Ähnliches abzurufen, um Zugriff darauf zu erhalten eine ziemlich hohe Eintrittsbarriere. Hashim vor 7 Jahren 0
Nein, nein und nein. Ich schlage vor, Sie studieren, wie Verschlüsselung funktioniert, denn das ist es nicht. Verschlüsselung ist nicht dasselbe wie Authentifizierung, bei der Sie verwirrt zu sein scheinen. Wenn Sie sich an einem Computer anmelden, wird ein Hash Ihres Kennworts anhand eines gespeicherten Hashes geprüft. Das Hashing ist so, dass das Passwort nicht rückgängig gemacht werden kann, obwohl es auf einigen Systemen so etwas wie einen "Pass the Hash" -Angriff gibt. Bei der Verschlüsselung geschieht dies nicht. Das Passwort ist ein Schlüssel, der eine Formel vervollständigt. Wir kennen den Rest der Formel und WO der Schlüssel geht, aber die Daten werden nur dann extrahiert, wenn der RECHTS-Schlüssel eingegeben wird. music2myear vor 7 Jahren 1
Eine weitere Sache ist, dass WinRAR dem Gipfel der verschlüsselten Sicherheit ziemlich nahe kommt. Es verwendet AES 256 als Standardverschlüsselungsmethode, die von der US-Regierung zur Sicherung von als geheim eingestuften Informationen akzeptiert wird. Es könnte also für Top Secret funktionieren, wenn die verwendeten Daten und Systeme anderweitig kontrolliert werden. Nehmen Sie nicht so viel an. music2myear vor 7 Jahren 0

Verwandte Probleme