Sicurezza: WinZip e WinRAR

Test - Rompere una password usando la potenza delle moderne GPU.

Avatar di Tom's Hardware

a cura di Tom's Hardware

Sicurezza: WinZip e WinRAR

Le password non sbloccano direttamente file criptati. Avete bisogno di generare una chiave di decodifica dalla password originale e questo è esattamente quello che abbiamo fatto nelle pagine precedenti. Questo è il problema degli attacchi brute force. La derivazione della chiave è un processo che occupa il 99 percento del recupero, quindi usare la giusta potenza hardware è l'unico modo per abbattere quel muro.

WinZip e WinRAR usano entrambi le trasformazioni SHA-1 per derivare le chiavi, e il meccanismo è leggermente differente per ogni programma. WinZip è basato su PBKDF2 (Password-Based Key Derivation Function 2.0), e per generare la chiave usa l'invocazione delle trasformazioni 2002 SHA-1. Questo valore è costante per password di qualsiasi lunghezza (fino a 64 caratteri), ed è questo il motivo per cui una password di 10 caratteri è facile da scardinare sia con codifica AES-256 sia con AES-128.

In confronto, WinRAR usa il proprio schema di derivazione della chiave che richiede (lunghezza password * 2 + 11)*4096 trasformazioni SHA-1. Questo è il motivo per cui serve più tempo per un attacco codificato dei file compresi WinRar.

2 x GeForce GTX 570 SLI
Attacco Brute-Force

Password al secondo

Parallel Password Recovery Accent Password Recovery
 Compression: Zip

Encryption: AES-128

495 133 513 936
Compression: Zip

Encryption: AES-256

496 244 513 880
Compression: RAR Normal

Encryption: AES-128

13 904 14 605

Tutto considerato è più probabile che siate voi ad aver bisogno di questo software perché avete dimenticato la password, rispetto alla possibilità che un vostro file compresso e protetto finisca nelle mani di qualcuno molto curioso, con un sacco di tempo a disposizione e con hardware molto potente pronto all'uso.

Anche se una persona è dotata dell'hardware migliore disponibile su piazza, il tempo necessario per trovare una password di nove caratteri per un file codificato AES-128 in WinZip supera i 1.000 anni. Il recupero della password assume però un'altra dimensione se avete anche un vago ricordo di quella che potrebbe essere la vostra password.

Per esempio se conoscete quanto segue di una password ASCII da 10 caratteri:

- Inizia con e

- Finisce con a

- Non contiene lettere maiuscole

- Contiene un !

- Non contiene nessuna della seguenti lettere: B, C, D, Q, T, U, V, W, X, Y, Z

Dovreste solamente cercare tra un trilione di possibili password anziché 205 trilioni. Questa è un'operazione realistica con un paio di GeForce GTX 570. Se avete usato WinRar non avete praticamente speranze di recuperare la password, a meno che non sia breve.