DOMANDA: I PROFILI WinRAR con password sono sicuri?

Supporto a WinRAR

Moderatore: Andrea

Rispondi
aerre
Messaggi: 20
Iscritto il: 3 mar 2006, 18:49

DOMANDA: I PROFILI WinRAR con password sono sicuri?

Messaggio da aerre »

Creare un profilo WinRAR contenente una password è sicuro o può risultare compromessa l'efficacia della password medesima?

Mi spiego meglio.

Nel registro di sistema i profili di WinRAR sono contenuti in ordine numerico nella chiave " HKCU\Software\WinRAR\Profiles\n ".
Ogni profilo contiene le variabili per la creazione dell'archivio conformemente alle specifiche predefinite.
Bene, tra queste variabili vi è anche una voce "Password". Ovviamente la password non è lì scritta in chiaro e quindi non è facilmente recuperabile.

DOMANDE:
- I valori contenuti nel registro di sistema alla voce "Password" del profilo, sono in qualche modo decifrabili per risalire alla parola chiave impostata?
- O, comunque, sono tali valori utilizzabili per scardinare le difese degli archivi cifrati per poterli aprire anche senza conoscere la parola chiave?
Andrea
Site Admin
Messaggi: 404
Iscritto il: 14 mag 2002, 18:52
Località: Bergamo
Contatta:

Re: DOMANDA: I PROFILI WinRAR con password sono sicuri?

Messaggio da Andrea »

aerre ha scritto:I valori contenuti nel registro di sistema alla voce "Password" del profilo, sono in qualche modo decifrabili per risalire alla parola chiave impostata?
Ho chiesto direttamente ad Eugene: i valori sono scritti semplicemente applicando un XOR, questo perché, come giustamente dice, non essendoci una ulteriore password per criptare questi dati, qualsiasi algoritmo si utilizzi per cifrarla un hacker con un minimo di conoscenze può risalire alla password originale.
Per rendere la memorizzazione sicura occorrerebbe cifrare le password dei profili con una ulteriore chiave, ma a questo punto decadrebbe l'utilità del profilo, ovvero di rendere veloce l'operazione di archiviazione.
aerre ha scritto:O, comunque, sono tali valori utilizzabili per scardinare le difese degli archivi cifrati per poterli aprire anche senza conoscere la parola chiave?
Attualmente quando salvi un profilo che contiene una password, WinRAR ti chiede se sei sicuro di salvare anche la parola chiave.
Ho comunque segnalato a Eugene che forse è il caso di specificare meglio che questo salvataggio, se da un lato velocizza l'operazione di archiviazione, dall'altro può creare un problema di sicurezza, anche se secondo me siamo più nel campo di "spionaggio industriale" :) : devo avere un archivio che so essere stato archiviato e criptato da una particolare persona, accedere al PC di questa persona con la sua password, sperare che usi i profili di WinRAR, accedere ai registri di Windows ed eseguire l'XOR del dato memorizzato.
Io ho comunque già ampliato la frase per la versione 4.10 in Italiano, che uscirà lunedì, in "Sei sicuro di voler salvare la parola chiave nel profilo?\nQuesta verrà memorizzata nei registri di Windows!".
Cordialmente,

Andrea
Supporto WinRAR.it
aerre
Messaggi: 20
Iscritto il: 3 mar 2006, 18:49

Re: DOMANDA: I PROFILI WinRAR con password sono sicuri?

Messaggio da aerre »

Grazie mille per la cortese ed esauriente risposta che, purtroppo, ha confermato i miei timori.

Effettivamente avevo il sospetto che aggiungere una password ad un profilo non rientrasse tra i comportamenti consigliati da un ipotetico manuale del "perfetto e prudente crittografo".

Era da qualche tempo che avevo questo dubbio. Precisamente da quando è stata introdotta la funzione "Organizza le parole chiave...". Il messaggio di avviso per l'utilizzo di quella funzione mi ha incuriosito anche in merito alle PASSWORD NEI PROFILI.

In effetti, come specifichi giustamente, i passaggi per svelare la password (in primis avere accesso all'account utente del PC dove l'archivio è stato creato) sono piuttosto complicati e non comunemente accessibili alla generalità delle persone. Peraltro se i profili venissero utilizzati su PC accessibili a più persone, allora la cautela sarebbe necessaria e ne andrebbe evitato l'utilizzo.

GRAZIE ancora per le utilissime informazioni fornite e per l'aggiunta dell'avviso nella nuova versione in italiano. Chissà che non sia utile a qualcuno?!? :)
Andrea
Site Admin
Messaggi: 404
Iscritto il: 14 mag 2002, 18:52
Località: Bergamo
Contatta:

Re: DOMANDA: I PROFILI WinRAR con password sono sicuri?

Messaggio da Andrea »

aerre ha scritto:[...] Chissà che non sia utile a qualcuno?!?
Eugene mi ha appena confermato che nella prossima versione introdurrà nella Guida una spiegazione in merito.
Cordialmente,

Andrea
Supporto WinRAR.it
Rispondi