Je sais que l'utilisation :set cryptmethod=zip
n'est pas sécurisée, mais dans quelle mesure est-elle sécurisée :set cryptmethod=blowfish
?
Sur wikipedia, j'ai lu que le chiffrement Blowfish, en tant que tel, devrait être sécurisé, mais cela ne dit rien sur la sécurité de l' implémentation de Vim .
Et qu'en est-il des fichiers d'échange, des fichiers de sauvegarde, des non-fichiers et d'autres moyens possibles de contourner le chiffrement Blowfish? Dans quelle mesure Vim est-il sécurisé?
security
encryption
Martin Tournoij
la source
la source
:h encryption
dit que les fichiers d'annulation et d'échange sont cryptés à la fois en 7.3 et 7.4 , mais:h cryptmethod
en 7.4 fait mention explicite duundo
fichier uniquement pourblowfish2
.Réponses:
Ce n'est pas sûr. David Leadbeater a publié du code POC à force brute jusqu'à 64 octets dans un article intitulé, quelque peu ironiquement, le cryptage Vim blowfish ... ou pourquoi vous ne devriez pas rouler votre propre crypto . La documentation Vim recommande désormais :
Et, plus tôt:
Sommaire:
blowfish
ne doit pas être utilisé. Utilisezblowfish2
plutôt.swap
que lesundo
fichiers et soient cryptés, ceviminfo
n'est pas le cas.Conseils non sollicités:
blowfish2
mise en œuvre. Utilisez autre chose, comme GPG. Legnupg.vim
plugin peut être utile. Il semble être maintenu . Il désactiveviminfo
et le fichier d'échange.la source