2011-02-16 69 views
1

我正在處理的網站目前提供了一個選項供用戶在加密的zip文件中下載其數據。標準的zip文件加密幾乎是毫無價值的(所以我讀過),所以我打算用一些使用AES加密但仍具有自解壓格式的東西替換它。這樣做有幾個問題,我確信有人已經做過之前:從網站提供自解壓縮加密下載

  1. 我不知道用戶在哪個平臺上(Mac或Windows或Linux),所以我不能製作一個自解壓縮的.exe文件,並假定它可以工作。我想我會問。 (我已經在詢問密碼了)
  2. 我的網站在Linux上運行,我懷疑大多數生成自解壓加密.exe文件的程序都希望在Windows上運行(以生成.exe)機。我想我可以建立一個運行Windows的虛擬機,讓我的Linux服務器向虛擬機發送一個請求(和數據)來創建.exe,但這聽起來很複雜。
+1

爲什麼不通過SSL提供未加密的自解壓文件? – zetetic 2011-02-16 19:23:03

回答

0

ZIP加密是垃圾爭議很久以前(見here)。 ZIP加密的主要問題是,儘管它使用128位AES密碼,但仍需要用戶輸入密碼。攻擊者已經確定了ZIP程序如何從密碼生成密鑰,因此當用戶輸入密碼時包含低熵(即簡單密碼),則暴力破解密鑰並打開文件變得非常容易。如果你分配一個非常隨機的密碼,它被認爲是非常安全的。