Apakah ini bug enkripsi zip?

13

Saya baru-baru ini menemukan exploit, di mana saya (atau berasumsi siapa saja) dapat mengenkripsi ulang file zip terenkripsi saya tanpa harus mengetahui kata sandi:

#zip --encrypt encrypted.zip -r dir1/

Di atas akan meminta pengguna untuk memasukkan kata sandi baru . Apakah ada sesuatu yang saya lewatkan, atau ini masalah yang diketahui?

encryption zip lamino
sumber
5
Sudahkah Anda menemukan cara untuk membaca data dalam file zip asli?
ctrl-alt-delor
@ ctrl-alt-delor ya saya tidak lupa kata sandi saya, saya menyadari ini secara tidak sengaja
lamino
17
Maaf maksud saya, Apakah Anda menemukan cara untuk membaca data dalam file zip asli, tanpa mengetahui kata sandi?
ctrl-alt-delor

Jawaban:

40

Arsip zip dapat memiliki banyak kata sandi untuk berbagai file yang terkandung. File dalam arsip pada dasarnya tidak tergantung satu sama lain - mereka dikompres tanpa memperhatikan file lain, dan mereka dienkripsi dengan cara yang sama. Anda encrypted.zipakan memiliki dua (atau lebih) segmen terenkripsi, satu dengan kata sandi asli Anda dan satu dengan yang baru.

Mencoba ke unzipfile akan meminta kedua kata sandi:

$ unzip ../test.zip
Archive:  ../test.zip
[../test.zip] file1 password:
  inflating: file1
  inflating: file2
[../test.zip] newfile password:
  inflating: newfile

Direktori, daftar nama file, tidak dienkripsi. Ini bukan bug, meskipun bisa membingungkan dan tidak semua alat zip menangani situasi dengan baik (terutama alat grafis).

Michael Homer
sumber
2
Fitur kontra-intuitif tetapi Menarik. Terima kasih telah menjelaskan
lamino
14
Direktori, daftar nama file, tidak dienkripsi - ini sebabnya situasi di mana daftar direktori juga sensitif sering memiliki file asli zip tidak terenkripsi menjadi file zip, yang kemudian zip dan dienkripsi ke file zip lain. Maka satu-satunya hal yang terlihat tanpa kata sandi adalah nama file zip bagian dalam.
Stobor
2
@Stobor pada catatan terkait, .7zformat arsip memiliki opsi untuk mengenkripsi daftar direktori serta file.
user3490