7-zip gehackt?

[Atalantia]

Hallo,
ich tausche verschlüsselte Daten mit Arbeitskollegen aus. Ich lese immer wieder (youTube z.B) dass 7-zip Verschlüsselung umgangen werden kann. Ich kann es aber mangels PC nicht ausprobieren. Weiss jemand ob das geht?

 

[PaulMering]

7zip nutzt AES 256 und soweit ich es gelesen habe, gibt es innerhalb 7zip keinen side-channel-attack darauf, die "Hacks" auf die .7z-Dateien zielen imho alle auf das Erraten des Passworts ab (Wörterbuch, Brute Force...). Ein anständiges Passwort sollte das Risiko also deutlich verringern. Sonst gib mal einen Link auf die angebliche Umgehung der Verschlüsselung von 7zip. 7zip gibt es doch auch für den Mac und wenn das unsicher wäre, müsste man es auch auf dem Mac umgehen können, nicht nur auf dem Windows-PC (und ansonsten kannst du es ja in einer Windows-VM auf dem Mac probieren....).

 

[Atalantia]

Das VM Zeugs ist zu kompliziert für mich. Ich kann nur gut mit dem OS X umgehen andere OS sind für mich unzugänglich.
http://www.addictivetips.com/windows-tips/crack-7zip-password-protected-archive-hack/
https://www.youtube.com/watch?v=5-n6rLWJJSY
https://www.youtube.com/watch?v=3osyQhhrIfs
http://www.dailymotion.com/video/x26hsgn_how-to-crack-rar-7zip-zip-pdf-doc-passwords-for-free_school

 

[PaulMering]

http://www.addictivetips.com/windows-tips/crack-7zip-password-protected-archive-hack/
"7z Cracker is a, at the moment only numeric cracker to extract the files of a password protected 7z file on Windows.
It's average performance on my machine is about 5 to 6 passwords a second."
http://sourceforge.net/projects/sevenzcracker/

Wie ich schon sagte - Brute Force... Aber was steht da noch? 5-6 Passwörter je Sekunde?!!! WTF... ??? Üblich wären etwa 1.000.000.000 Pw./s mit nichtmal exklusiver Hardware. Das ist also schonmal der größte Murks den man sich aussuchen kann.

http://www.dailymotion.com/video/x26hsgn_how-to-crack-rar-7zip-zip-pdf-doc-passwords-for-free_school

"Developed to pinpoint the exact combination of characters then begin an advanced bruteforce attack, this WinRAR password unlocker works on any archive file. Based on a system of eliminating possible wrong combinations, once you have the combination settings configured for your archive you may gain access to it in just a few moments. Built for speed and very accurate this WinRAR password unlocker cannot be triumphed by even the strongest of password combinations. The program is capable of reproducing over a billion different password combinations to ensure not a single possible credential is missed."
http://winrarremover.com/winrar-password-unlocker/

Wieder - Brute Force Attacke, diesmal mit der o.g. üblichen Performance. Und daher nochmal mein Tipp - gute Passwörter verwenden:
https://de.wikipedia.org/wiki/Passwort#Ausprobieren_von_Passw.C3.B6rtern

z.B. 12 Zeichen, Groß- und Kleinbuchstaben zufällig gemischt, dann braucht es hier schon ein paar Jahre zum Erfolg per Brute Force. Oder man nimmt sich dies zu Herzen: http://www.explainxkcd.com/wiki/index.php/936:_Password_Strength und wählt z.B. ein Passwort wie VerschluesseltesArchivfuerProjektXYZmit7ZipgepacktundanGruppeABCverteilt - leicht zu merken, schwer zu hacken!!

 

[Olivetti]

Die Versuche/s sind ja theoretische Werte - völlig unbetrachtet bleibt dabei die Implementierung von Verzögerungszeiten bei Falscheingabe und schlicht und ergreifend file i/o, weil etliche Entpacker ja trotzdem erst mal schreiben (sämtliche files mit 0 byte), auch wenn das PW falsch ist.
Wo liest du denn bitte bei Winrar pw unlocker die Performance?

 

[PaulMering]

Natürlich sind das pessimistisch optimale Werte (optimal für den Cracker, pessimistisch für den Passworterfinder ;-) ...).

Wo liest du denn bitte bei Winrar pw unlocker die Performance?

Sorry, du hast recht, in der Beschreibung unter dem genannten Link fehlt die Angabe, in welcher Zeit der "a billion password combinations" prozessiert - habe ich überlesen...Wird also auch deutlich langsamer sein, zumal ja auch erst immer die Rückmeldung des Packers abgewartet werden muss....

"The program is capable of reproducing over a billion different password combinations to ensure not a single possible credential is missed."
http://winrarremover.com/winrar-password-unlocker/

Wie auch immer - ich sehe hier kein nennenswertes Risiko, solange man hinreichend sichere Passwörter verwendet - 10 Zeichen aufwärts, nicht per Wörterbuch knackbar und die "Unlocker" beißen sich die Bits dran aus.

 

[Atalantia]

A ok. Dann brauche ich mir keine Sorgen zu machen. Die Passcodes sind 12 - 32 stellig. z.B:
J)M+_5J>@K/fK^_DSZuf{)o}*_//nCP~
Das wurde Wikipedia zufolge etwa 40 Mio. Jahre brauchen um es zu knacken. Ich vermute bis dahin sind unsere Projekte abgeschlossen.

 

[Olivetti]

das ist das schöne an der wahrscheinlichkeit. im für dich besten fall 40 mio jahre, im schlimmsten fall 1 sekunde, weil genau dein pw als erstes benutzt wird. den normalfall gibt's da leider nicht, aber die (soweit mir bekannte) vorgehensweise bei brute force ist eben a-z aa-zz usw., insofern sind deine passworte schon ziemlich sicher gegens bruteforcen und "wörterbüchern".