This topic created in 1294 days ago, the information mentioned may be changed or developed.
试想一下,你把有敏感信息的文本或代码保存到 U 盘作为文档备份,但又怕 U 盘有一天不小心掉了,怎么办?
最简单的办法,就是用 zip 给文本加个密码后压缩保存。
但是密码始终存在被暴力破解的风险,现在 GPU 运行速度飞快,又再次加大了这种风险因素。
解决办法是,只要把 zip 的内部 hash 校验算法改成 MD5 ,就能高枕无忧。主流破解软件的暴力破解,都是针对特定 hash 的。那些非标准格式的 hash ,破解软件都是不支持的。
最简单的办法,就是用 zip 给文本加个密码后压缩保存。
但是密码始终存在被暴力破解的风险,现在 GPU 运行速度飞快,又再次加大了这种风险因素。
解决办法是,只要把 zip 的内部 hash 校验算法改成 MD5 ,就能高枕无忧。主流破解软件的暴力破解,都是针对特定 hash 的。那些非标准格式的 hash ,破解软件都是不支持的。
 | 1 xtreme1 Oct 10, 2022  1 别用 ZipCrypto 不就得了, Zip 标准现在支持 AES-256 你自己用又不需要考虑兼容性 |
 | 2 tool2d OP ZipCrypto 只要你提供正确密码,敏感信息还是能被正确解压出来。 如果你改成 MD5 ,那 U 盘掉了后,除了你自己,没有第二个人能把文件给还原。这样就算被猜到密码也没用,常规解压工具都无法识别。只有魔改的工具才行。 |
 | 3 hgc81538 Oct 10, 2022 via iPhone 敏感信息加密 zip, rar, 7z 等等一遍就可以了 |
 | 4 xuboying Oct 10, 2022 1 还以为 op 提供了一个开箱即用的方法。 既然是魔改了 zip ,那不是等于自己写了一个私有的加解密算法。扩展名也没必要叫.zip 吧,直接叫.bin 就好了 |
 | 5 7zlid Oct 10, 2022 via Android Why not 7z ? |
 | 6 KagurazakaNyaa Oct 10, 2022 建议直接 veracrypt 之类的加密 |
| 7 tool2d OP |
 | 8 AoEiuV020CN Oct 10, 2022 这种程度的修改感觉有心人可以人工判断猜出来, 都魔改了不如更彻底一点,直接一全全新的算法,只要别人猜不到你的算法加密过程,就不可能破解, |
| 9 tool2d OP |
 | 10 ccc008 Oct 10, 2022 不用那么麻烦,密码里面加入汉字、特殊符号就足够强壮了。 |
 | 11 vAvyummyICE Oct 10, 2022 via Android 使用 rar AES-256 127 位随机密码双层加密,然后分卷压缩再加密,分卷分块储存不同网盘 |
12 dingwen07 Oct 10, 2022 用 GPG 密码加密 |
 | 13 ntdll Oct 10, 2022 zip 为了防止爆破,采用 rar 即可。非弱密码,基本上可以杜绝爆破的可能性。 |
 | 14 idealhs Oct 10, 2022 那我为啥不 7z 压完改扩展名? |
 | 15 qrobot Oct 10, 2022 @tool2d ``` 只要把 zip 的内部 hash 校验算法改成 MD5 ,就能高枕无忧。 ``` 据我所知 zip 的加密不应该是 Symmetric-key algorithm 么. 应该不需要 hash 算法才对呀, 而且 md5 的碰撞那么简单, 怎么可能用 md5 进行 hash, 起码都是 sha-256 以上 |
| 16 7zlid Oct 10, 2022 via Android 42 我还没想好这叫一叶障目还是叫掩耳盗铃… |
| 17 tool2d OP @qrobot md5 是验证解压后数据是否正确,理论上你用任意密码都是可以解压文件的,但只有密码正确的情况,解压后计算 hash 才和文件头里的 hash 一致。 |
| 18 qrobot Oct 10, 2022 @tool2d hash 只是用来做文件校验, 和加密没任何意义, 这一步本身可以省略, 甚至可以用 CRC (Cyclic Redundancy Check) 来进行校验,因为这样很快. 问题是你的数据都已经被破解了, 后面的校验数据的完整性有什么意义? 我已经拿到了我想要的数据, 校验可以不做的. |
 | 20 cloudfox Oct 10, 2022 不公开的算法并不比公开的算法安全 |
 | 21 cxtrinityy Oct 10, 2022 via Android 我选择强密码,暴力破解的基础是密码表,不是被人特意针对建立专用密码表的,一般用的都是从类似 SecLists 项目里的密码表,一些常用的密码,data breach 泄漏的密码,只要你的密码足够强壮,根本不用担心暴力破解 |
| 22 tool2d OP @qrobot 黑客是用 hash 来校验猜测密码是否正确,要不断尝试才能猜测出正确的明文密码。 通常要先挖一个大坑陷阱,黑客才会掉进去。 md5 就是陷阱,并不是自己用的,是给黑客留的。zip 内部结构也不能变动太多,要不就很假了。 |
 | 23 villivateur Oct 10, 2022 这是掩耳盗铃吧,真想破解你的人,总归会察觉到你用的什么 hash 算法的。还不如用一个强一点的密码 |
 | 24 stroh Oct 10, 2022 1 小姐姐不喜欢被压缩的感觉,做人要大意凌然(手动狗头) |
 | 25 krixaar Oct 10, 2022 1 @7zlid #16 这叫中二……路上捡到一个 U 盘还得想办法破解里面加密的压缩包是有多闲…… 放动漫里这就是感觉自己搞了完美犯罪然后时不时回到现场来看看的那种…… |
 | 26 dcsuibian Oct 10, 2022 之前还见过改某几个字节破坏完整性来防范的方法,都是利用隐蔽式安全性 不公开才是好的,公开了,用的人越多安全性就越差,如果成为标准了,那就没啥安全性提升了 从实用度来说提升加密强度和复杂度更简单粗暴有效。 |
 | 27 rb6221 Oct 10, 2022 那就是说你解压的话也得搞个自己魔改的解压软件是吧? |
 | 28 makelove Oct 10, 2022 与其折腾这些加个长随机密码有这么难吗,别说破解概率不为 0 了,你下一秒被陨石砸死的概率比破长密码大 |
 | 29 paramagnetic Oct 10, 2022 然后解压软件总得放在哪里不是?在同样的地方存一个超长 key 不是一样安全 /不安全?还省了自己魔改和维护软件的麻烦。 你要真非得折腾隐蔽式安全性,不如把你的秘密用长密钥加密后隐写到小姐姐视频合集里,再在外面打个 zip 密码比如就 WoAiLaoPo1992 ,别人好不容易黑进去了一看就一堆视频可能也就收手了。哦不过小姐姐质量还不能太好,否则被人觉得口味不错收藏了还有以后被看出来的危险…… |
 | 30 westoy Oct 10, 2022 不如考虑下其他方式吧 比如把线序换掉, 正常情况要通过一个转接器转接读取 如果碰到不走读卡器的标准线序, 就把电压升压后直接打到闪存 谁打了板子记得送我一份........ |
 | 31 shakoon Oct 10, 2022 十几年前 U 盘厂商和移动硬盘厂商就已经有现成的加密软件了,比如 sandisk 的 secureaccess ,又方便又好用,还是免费的。如今自创一个工具在易用性上,在大量存储数据的场景下的性能,有什么优势吗? |
 | 32 aecra1 Oct 10, 2022 via Android 如果我捡到 U 盘但有联系不上所有人,我肯定会格式化后自己用,有闲心才看看文件内容,加密的看那玩意干啥,除非你文件名叫 btc 私钥 |
 | 33 maojun Oct 10, 2022 via iPhone 与其寄希望于破解软件不支持,不如直接强密码来得实在 |
 | 34 FengMubai Oct 10, 2022 首先 MD5 是不安全的哈希算法. 其次, 要暴力破解 AES-256, 神威太湖之光也得跑上万亿年 |
 | 35 qzwmjv Oct 10, 2022 密码安全的有条原则是不要自己造加密算法 |
 | 38 nook4sh Oct 10, 2022 via iPhone 楼主对安全想的太简单了 |
 | 39 superrichman Oct 10, 2022 via Android 2 用不着,你用 ext4 分区就能难住 99%的人。 |
 | 40 YOOHUU Oct 10, 2022 拿到手就格式化清一波先 你怕破解我还怕中毒额 |
 | 41 bk201 Oct 10, 2022 做个算法,可以设置伪密码,破解到了伪密码后给予特定无用文件让对方误以为已破解。 |
 | 43 DonaidTrump Oct 10, 2022 via iPhone @superrichman zfs 吧,又能难住 50%的人 |
| 45 DonaidTrump Oct 10, 2022 via iPhone 你这已经不是 zip 压缩了啊,为啥还叫 zip 压缩包 |
 | 46 duke807 Oct 10, 2022 via Android 1 @superrichman 我 u 盘两个分区,fat 以及 ext4 ,兼顾通用和安全 另外,重要的数据我用自己写的小脚本加密,on-the-fly 解密: https://github.com/dukelec/cde/blob/master/tools/aes-mount.sh |
| 47 tool2d OP @binux 有没有留 hash 肯定不一样,hash 能知道文件有没有被黑客动过手脚。 只要黑客知道 hash 算法,修改源文件后,就可以被黑客覆盖回去的。 但这里 MD5 是我们自己的算法,也可以用 MD4 之类非常规算法,那么黑客不知道算法,自然就没办法回算 hash 了,能保证源文件 100%没有被动过。 |
 | 49 wdssmq Oct 10, 2022 现在去打印店打印东西都是微信传过去,只能说不方便传的话那最好是自己买打印机(之前为了自己开发票买过一台,已经送人了),U 盘最大的作用是当 pe ,也就放一些系统镜像和必装的软件…… |
 | 50 ZE3kr Oct 10, 2022 via iPhone 不存 hash ,加密用 aes 256 gcm ,就可以保证完整行了,如果覆盖了一部分解密的时候会发现有问题 |
| 51 tool2d OP @wdssmq 现在的 U 盘不一样,随着固态硬盘价格全线崩溃,SSD 价格超便宜。随便买个 SSD 固态加个 USB 3.0 盒子,都能当副硬盘使用。 我电脑接 U 盘已经常态化,512G ,2T 之类的,很好用。 但是 U 盘太小,为了防止遗失,安全性就必须要考虑一下了。 |
 | 53 dbow Oct 10, 2022 1 bitlocker 解君愁 |
 | 54 toaruScar Oct 10, 2022 可 ZIP 用的 CRC32 是 32bit 的,你换成 MD5 的话变成了 128bit 的了,这样比较容易就能看出来校验算法被人换过了。 |
| 55 tool2d OP @binux 我指假设黑客知道算法了,那就可以用计算的新 hash ,去覆盖老 hash 。 代码不泄漏的话,黑客肯定不知道魔改算法。 zip 文件格式很老,就 4 个字节空间保存 hash ,99.9%的黑客,拿到陌生的 zip 加密文档,绝对会认为是官方默认 zip hash 算法。 |
 | 57 binux Oct 10, 2022 via Android @tool2d 你把 hash 随便在文件里隐写不就完了。凭什么你可以假设黑客知道“算法”,但是不知道“算法”?既然你可以随心所欲地假设自己的方案不会被破解,别人的就能被知道,你干脆假设黑客没看出来文件就是明文的算了。 |
 | 58 Jooooooooo Oct 10, 2022 (不要自己发明加密算法) |
 | 59 clorischan Oct 10, 2022 这种与密码本有什么区别. 可靠性都是建立在非公开算法的保密程度上. 还是相信密码学吧. |
 | 60 zhzy0077 Oct 10, 2022 这不是典型的民科思维吗 如果你担心 AES-256 的安全性 首先你要证明你存的东西比图灵奖对这个黑客来说更有诱惑性. 当然前提是你的密码不能是 123456 |
| 61 tool2d OP @clorischan 人类为了自己方便输密码,一般会有规律可循。 有规律,就能被强大的 AI 给学习。 现在破解又不比以前,盲目跑字典加数字组合。都是 AI 加工过的泄漏网站后台,用户大数据密码。 你以为自己的强密码与众不同,其实对于地球人口 78 亿来说,你能想到,别人同样也能想到,这就是概率。要扼杀这种概率,只有用本帖大杀招。 最强防御不是自己需要穿多少层甲,而是误导敌方,去攻打完全不存在的虚拟目标。 |
 | 62 ihciah Oct 10, 2022 5 地铁-老人-手机.jpg |
| 63 xuboying Oct 10, 2022 1
|
Select Language