web-dev-qa-db-fra.com

Le mot de passe protégeant un fichier archivé le crypte-t-il réellement?

Par exemple, si j'utilise WinRAR pour crypter un fichier et mettre un mot de passe sur l'archive, comment est-il sécurisé? Je tiens un journal personnel et je pense à le faire, ou existe-t-il une meilleure façon? C'est juste un énorme .docx fichier.

file-encryption
37
Celeritas

Résumé: oui, mais utilisez plutôt VeraCrypt .

De la documentation :

WinRAR vous offre l'avantage d'un chiffrement d'archives de qualité industrielle utilisant AES (Advanced Encryption Standard) avec une clé de 128 bits.

Alors oui, les données sont cryptées. Ce n'est cependant qu'un des éléments de la sécurité. Un autre élément important est de savoir comment la clé est dérivée du mot de passe: quel type de renforcement de la clé est effectué? Plus la dérivation de la clé du mot de passe est lente, plus il est coûteux pour un attaquant de trouver le mot de passe (et donc la clé) par la force brute. Un mot de passe faible est de toute façon grillé, mais un bon renforcement des clés peut faire la différence pour un mot de passe raisonnablement complexe mais toujours mémorable . WinRAR utilise 262144 tours de SHA-1 avec un sel 64 bits , c'est un bon renforcement des clés.

Un article académique a été écrit sur la sécurité de WinRAR: Sur la sécurité de la fonction de cryptage WinRAR par Gary S.-W. Yeo et Raphael C.-W. Phan (ISC'05). Citant le résumé (je n'ai pas lu le texte intégral, il ne semble pas être accessible sans payer):

Dans cet article, nous présentons plusieurs attaques contre la fonction de cryptage fournie par le logiciel de compression WinRAR. Ces attaques sont possibles en raison de la subtilité du développement de logiciels de sécurité basés sur l'intégration de plusieurs primitives cryptographiques. En d'autres termes, quelle que soit la sécurité de chaque primitive, leur utilisation, en particulier en association avec d'autres primitives, ne garantit pas toujours des systèmes sécurisés. Au lieu de cela, maintes et maintes fois, une telle pratique s'est avérée entraîner des systèmes défectueux. Nos résultats, par rapport aux attaques récentes sur WinZip par Kohno, montrent que WinRAR semble offrir des fonctionnalités de sécurité légèrement meilleures.

L'avantage d'utiliser le cryptage intégré au format RAR est que vous pouvez distribuer une archive RAR cryptée à toute personne disposant de WinRAR, 7Zip ou d'un autre logiciel courant prenant en charge le format RAR. Pour votre cas d'utilisation, cela n'est pas pertinent. Je recommande donc d'utiliser un logiciel dédié au cryptage.

La norme de facto puisque vous utilisez Windows était TrueCrypt . TrueCrypt fournit un disque virtuel qui est stocké sous forme de fichier crypté. Non seulement cela est plus sûr que WinRAR (je fais confiance à TrueCrypt, qui est écrit avec la sécurité à l'esprit dès le premier jour, bien plus que tout produit dont le cryptage est une fonction accessoire), il est également plus pratique: vous montez le disque crypté en fournissant votre mot de passe, vous pouvez alors ouvrir les fichiers sur le disque de manière transparente, et lorsque vous avez terminé, vous démontez le disque crypté. Malheureusement, TrueCrypt n'est plus en développement actif mais son successeur VeraCrypt l'est. VeraCrypt est basé sur TrueCrypt et est compatible avec les anciens conteneurs TrueCrypt.

Par curiosité, ce que quelqu'un écrit dans son journal peut-il être utilisé pour incriminer quelqu'un au tribunal?

Cela dépend de la juridiction, mais en général, oui, comme on dit dans les films, tout ce que vous dites ou écrivez peut être utilisé contre vous. Vous pourriez être légalement obligé de révéler des clés de chiffrement et vous pourriez être confronté à d'autres frais si vous refusez.

30
Gilles 'SO- stop being evil'

De page des avantages WinRAR :

WinRAR vous offre l'avantage d'un chiffrement d'archives de qualité industrielle utilisant AES (Advanced Encryption Standard) avec une clé de 128 bits.

Alors oui, l'utilisation de la protection par mot de passe crypte également votre fichier. 7-Zip utilise le cryptage AES-256. Une autre approche pour protéger vos fichiers pourrait être de créer un fichier (ou un disque) chiffré en utilisant TrueCrypt , où vous pouvez choisir un algorithme de chiffrement qui convient à vos besoins.

N'oubliez pas d'utiliser un mot de passe fort pour empêcher les attaques par force brute.

8
bretik

Vous mentionnez "docx" donc je suppose que vous êtes sur Office 2007 ou 2010. Le mécanisme de cryptage implémenté est OK, vous devez vous assurer que votre mot de passe est assez fort. En d'autres termes, vous n'avez pas besoin d'utiliser un programme externe pour protéger votre fichier.

A Stack Overflow question a couvert les algorithmes de chiffrement pour Office. Il s'agit de code source fermé, donc si vous êtes paranoïaque, vous devez utiliser TrueCrypt .

Quant à la deuxième partie de la question: elle dépend complètement du système juridique dans lequel vous vous trouvez. Il y a deux aspects à prendre en compte:

  • s'il est légal d'utiliser le contenu contre vous (qu'il soit chiffré ou non)
  • que se passe-t-il si vous ne donnez pas la clé de cryptage et que la partie crypto est suffisamment solide/correctement implémentée pour que l'accès ne soit pas possible sans elle.
5
WoJ

Oui, WinRAR crypte l'archive lorsqu'un mot de passe est utilisé. Je recommande personnellement l'application 7-Zip car elle offre plus de flexibilité. Oui, ce que vous écrivez n'importe où peut vous incriminer tant qu'il est légal pour le tribunal de l'utiliser comme preuve. Le tribunal peut utiliser votre journal/journal personnel contre vous. Mais je ne suis pas avocat.

3
Matrix

Différents formats d'archives offrent différents niveaux de sécurité, mais ils souffrent tous du même défaut: vous ne pouvez pas réellement utiliser le fichier sans l'extraire et le décrypter. Plus important encore, cela se fait sur le disque, ce qui signifie qu'une copie de votre fichier sans chiffrement reste sur votre ordinateur. Des programmes comme Word ont également tendance à créer des fichiers d'enregistrement automatique qui ajoutent encore plus de copies non chiffrées.

Votre meilleur pari est une solution de chiffrement de disque entier, dont TrueCrypt est le principal concurrent.

2
tylerl

Je me sens obligé de faire quelques réserves car il y en a probablement d'autres qui le lisent par curiosité:

  1. Le PO n'a pas fait référence à son pays de résidence, je suppose donc qu'il est aux États-Unis pour les questions juridiques.
  2. Tout cryptage doit être utilisé en supposant qu'il ne s'agit pas d'un mécanisme de sécurité infaillible et qu'il peut être violé par n'importe qui, avec suffisamment de temps et de force. Il s'agit - au mieux - d'un obstacle temporaire qui peut être surmonté.
  3. Tout ce qui est stocké électroniquement, que ce soit sur votre ordinateur ou ailleurs, peut être utilisé contre vous en justice à condition qu'il ait été obtenu légalement. Il ne relève pas de la catégorie du privilège du 5e amendement (pas même un "journal"), ni ne varie selon l'état ou la juridiction locale. Cela a été à plusieurs reprises au SCOTUS et est considéré comme une loi établie à ce stade.
  4. L'omission de fournir une phrase secrète de décryptage lorsqu'elle est ordonnée est considérée comme un outrage au tribunal, avec une peine d'emprisonnement indéfiniment (tant qu'elle est refusée).

Par conséquent, je considérerais les questions initiales comme non pertinentes les unes par rapport aux autres.

1
Jim S.

Si vous avez peur de problèmes juridiques potentiels sur ce que vous écrivez, alors WinRAR n'est pas suffisamment sécurisé. Il existe de nombreux programmes de suppression de mots de passe rares.

Je recommanderais TrueCrypt . Mais assurez-vous que Word n'a fait aucune copie de votre document actuel dans votre dossier temporaire.

1
jmn