S'agit-il d'un bug de chiffrement zip?

13

J'ai récemment découvert un exploit, où je (ou en supposant que quelqu'un) puisse rechiffrer mon fichier zip crypté sans avoir à connaître le mot de passe:

#zip --encrypt encrypted.zip -r dir1/

Ce qui précède invitera l'utilisateur à entrer un nouveau mot de passe. Y a-t-il quelque chose qui me manque ou s'agit-il d'un problème connu?

lamino
la source
5
Avez-vous trouvé un moyen de lire les données dans le fichier zip d'origine?
ctrl-alt-delor
@ ctrl-alt-delor oui je n'ai pas oublié mon mot de passe, je m'en suis rendu compte par accident
lamino
17
Désolé, je voulais dire, Avez-vous trouvé un moyen de lire les données dans le fichier zip d'origine, sans connaître le mot de passe?
ctrl-alt-delor

Réponses:

40

Les archives Zip peuvent avoir plusieurs mots de passe pour différents fichiers contenus. Les fichiers d'une archive sont essentiellement indépendants les uns des autres - ils sont compressés sans tenir compte des autres fichiers et ils sont chiffrés de la même manière. Votre encrypted.zipaura deux (ou plus) segments cryptés, un avec votre mot de passe d'origine et un avec le nouveau.

Essayer unziple fichier demanderait les deux mots de passe:

$ unzip ../test.zip
Archive:  ../test.zip
[../test.zip] file1 password:
  inflating: file1
  inflating: file2
[../test.zip] newfile password:
  inflating: newfile

Le répertoire, la liste des noms de fichiers, n'est pas chiffré. Ce n'est pas un bug, bien que cela puisse être déroutant et tous les outils zip ne gèrent pas bien la situation (en particulier les outils graphiques).

Michael Homer
la source
2
Fonction contre-intuitive mais intéressante. Merci d'avoir clarifié
lamino
14
Le répertoire, la liste des noms de fichiers, n'est pas crypté - c'est pourquoi les situations où la liste des répertoires est également sensible ont souvent les fichiers originaux zippés non cryptés dans un fichier zip, qui est ensuite compressé et crypté dans un autre fichier zip. Ensuite, la seule chose visible sans mot de passe est le nom du fichier zip interne.
Stobor
2
@Stobor sur une note connexe, le .7zformat d'archive a la possibilité de crypter la liste des répertoires ainsi que les fichiers.
user3490