То, что я вижу ( http://en.wikipedia.org/wiki/RAR ), говорит о том, что файлы формата RAR3 используют AES для алгоритма шифрования. На первый взгляд, мне неясно, опубликован ли формат файла RAR3 или есть реализации с открытым исходным кодом алгоритма дешифрования / распаковки. Если формат не опубликован / или нет свободных реализаций алгоритма дешифрования / распаковки, я думаю, что я бы с осторожностью отнесся к «безопасности», поскольку всегда есть вероятность, что такие хитрости, как размещение известного открытого текста в заголовке каждого зашифрованного файла, протекающие биты ключа и т. д. могут быть в игре.
В старых форматах RAR использовался «собственный алгоритм шифрования». Вы всегда должны быть ОЧЕНЬ осторожны с программами, которые используют «собственные алгоритмы шифрования». Фраза «проприетарный алгоритм шифрования» часто является кодом для «чего-то постучавшего в подвале кодером, который на самом деле мало что знает о криптографии», или более свободно, поскольку «не было рецензировано».
Редактировать: я вижу, как выглядят бесплатные реализации по крайней мере несжатой части RAR3 (например, http://sourceforge.net/projects/java-unrar ). Пока формат файла открыт, должно быть трудно просочиться из-за ненадежной реализации большого количества битов вашего ключа. Тем не менее, я чувствую себя лучше с чем-то, что было проверено или сертифицировано (FIPS и т. Д.).
Конечно, наличие открытого источника (но не сертифицированного) означает, что кто-то может взломать любую реализацию с открытым исходным кодом. Интересно, что в редакторе вы упоминаете ненадежные реализации; если он не сертифицирован, откуда ты знаешь, что заслуживает доверия? Я не слишком беспокоюсь об открытых спецификациях шифрования, спецификации шифров регулярно публикуются и пересматриваются. Публикация реализации делает. Фирменное шифрование просто отлично по сравнению с «открытым» шифром, если оно сертифицировано. Novell Groupwise - это пример фирменного шифрования, сертифицированного Министерством торговли США.
Джим Б.
3
@JimB: Я не считаю ПО с открытым исходным кодом по своей природе «более безопасным», чем закрытое ПО, но я бы определенно хотел иметь возможность посмотреть на исходный код (или заплатить кому-то еще). В конечном счете, вы должны провести черту где-то заново: доверие (могут существовать троянские компиляторы, микропроцессоры и т. Д.). Я бы предпочел иметь рецензируемый шифр, а не рецензируемый «сертифицированный» собственный шифр в любой день недели. Я также с радостью соглашусь, что реализация шифра не обязательно правильна только потому, что она основана на открыто доступной спецификации.
Эван Андерсон
3
Как вы уже сказали, есть взломщики паролей. Я бы не стал доверять свои файлы защищенным паролем архивным файлам. Я хотел бы предложить некоторый тип шифрования на уровне файлов, такой как GnuPG или AES Crypt
Как вы уже сказали, есть взломщики паролей. Я бы не стал доверять свои файлы защищенным паролем архивным файлам. Я хотел бы предложить некоторый тип шифрования на уровне файлов, такой как GnuPG или AES Crypt
источник
Если я правильно помню, использование пароля в архиве не обязательно включает шифрование (это отдельная опция).
Ответ Эвана гораздо более информативен, когда речь заходит об алгоритме :)
источник