文件加密与自毁长城

    技术2022-05-11  16

            文件加密软件是保护文件的,可是多数此类软件,也在无形中帮助了窃密者,否则可靠性要更高些。大家知道有一些利用软件自身运算能力的破解方式,穷举法、字典攻击、暴力破解都是这一类的,就是用试解的方式进行攻击。这样的文件加密软件,如果接受的正确的密码,就像锁一样啪的一声开了,并显示出与解密失败时完全不同的界面,这就让破解者省事了,只要拿不同的数据当作密码去试就行了,监视页面的变化就知道是否破解了,可以说这是一种漏洞,一种自毁长城的漏洞。因为如果解密成功与否程序的反应没有任何区别情况就大不一样了,窃密者需要自己判断解密是否成功,而对不同的文件对象这是个很难办到的事情,需要附加一些条件,才能判断。就是已知文件类型要判断也是个费时的事,所以不要给窃密者造成可乘之机对你的软件品质提升有好处的。         另外如果形式上处理好了,将使窃密者难于得逞。就拿winrar举例来说,现在的情况是这样,用winrar加密的文件是.rar文件,当我用右键点击选中“解压文件”,将出现对话框让你输入释放文件的文件夹,完成后让你输入密码,密码正确将把解密后的文件放在那里,否则将出现密码错误的对话框。这样的形式适合窃密者高效率的破解操作。如果形式是这样:当我用右键点击.rar文件并选中“解压文件”时,出现密码输入框,输入完毕后程序原地对.rar文件解密但不解压,如果密码正确将得到不加密的.rar文件,如果密码错误将破坏掉原来的.rar文件,这样的好处是给暴力破解造成不能实施的麻烦,破解者需要不断拷贝被加密的.rar文件,需要判断解密是否成功,这种时间上的耗费将使其效率大大降低,最后只能望密兴叹了。         有人担心,用户密码输入有误而将密文毁掉的问题。可以这样解决:输入框附加设置明码显示的切换(既可以观察密码,而不是只看到“*”),以便于用户检查密码,此时需要防止别人偷看,检查完毕要销毁或隐藏。关键密码必须重复输入一次。更保险的做法是,自动对密文备份以防不测。 


    最新回复(0)