ब्लोफ़िश के साथ फ़ाइलों को एन्क्रिप्ट करना कितना सुरक्षित है?

16

मुझे पता है कि उपयोग :set cryptmethod=zipकरना सुरक्षित नहीं है , लेकिन उपयोग करना कितना सुरक्षित है :set cryptmethod=blowfish?

विकिपीडिया पर मैंने पढ़ा कि ब्लोफ़िश सिफर, जैसे कि, सुरक्षित होनी चाहिए, लेकिन यह विम के कार्यान्वयन के बारे में सुरक्षा के बारे में कुछ नहीं कहता है।

और स्वैफ़िश एन्क्रिप्शन को बायपास करने के लिए स्वैपएफ़ाइल्स, बैकअपफ़ाइल्स, अनॉफाइल्स और अन्य संभावित तरीकों के बारे में क्या? विम कितना सुरक्षित है?

security  encryption 
मार्टिन टूरनोइज
स्रोत
1
सूचना सुरक्षा पर यह वास्तव में बेहतर नहीं होगा, यह देखते हुए कि आपने पहले से ही उपयोग किए जा रहे एल्गोरिदम की पहचान कर ली है?
मूरू
हम्म। डॉक्स यहां थोड़ा भ्रमित कर रहे हैं। :h encryptionपूर्ववत और स्वैप फ़ाइलों को 7.3 और 7.4 दोनों में एन्क्रिप्ट किया गया है , फिर :h cryptmethodभी 7.4 में undoकेवल फ़ाइल के लिए स्पष्ट उल्लेख किया गया है blowfish2
मूरू
2
@ मुरु यह विम के ब्लोफिश-आधारित एन्क्रिप्शन के कार्यान्वयन के बारे में एक प्रश्न है, न कि स्वयं ब्लोफ़िश एल्गोरिथ्म के बारे में। यह प्रश्न सूचना सुरक्षा पर भी विषय पर होगा , लेकिन यह इसे यहाँ विषय नहीं बनाता है। जवाब है, वास्तव में, यह ब्लोफिश स्वयं सुरक्षित है (भले ही यह सबसे अच्छा विकल्प न हो), लेकिन यह विम का कार्यान्वयन खराब है।
गिलेस एसओ- बुराई को रोकना '

जवाबों:

19

यह सुरक्षित नहीं है । डेविड लीडबीटर ने POC कोड को 64 बाइट तक ब्रूट-फोर्स में पोस्ट किया था, जिसका शीर्षक था, कुछ विडंबना, विम ब्लोफ़िश एन्क्रिप्शन ... या क्यों आपको अपना क्रिप्टो रोल नहीं करना चाहिए । विम प्रलेखन अब अनुशंसा करता है :

- The implementation of 'cryptmethod' "blowfish" has a flaw.  It is possible
  to crack the first 64 bytes of a file and in some circumstances more of the
  file. Use of it is not recommended, but it's still the strongest method
  supported by Vim 7.3 and 7.4.  The "zip" method is even weaker.

और, इससे पहले:

The text in the swap file and the undo file is also encrypted.  E843
However, this is done block-by-block and may reduce the time needed to crack a
password.  You can disable the swap file, but then a crash will cause you to
lose your work.  The undo file can be disabled without much disadvantage. 
        :set noundofile
        :noswapfile edit secrets

Note: The text in memory is not encrypted.  A system administrator may be able
to see your text while you are editing it.  When filtering text with
":!filter" or using ":w !command" the text is also not encrypted, this may
reveal it to others.  The 'viminfo' file is not encrypted.

सारांश:

  • यदि आप सुरक्षा की परवाह करते हैं, blowfishतो इसका उपयोग नहीं किया जाना चाहिए। blowfish2इसके बजाय उपयोग करें ।
  • जबकि swapऔर undoफ़ाइलें एन्क्रिप्टेड हैं, viminfoनहीं।

अवांछित सलाह:

  • यदि आप सुरक्षा का ध्यान रखते हैं, तो अपना स्वयं का एन्क्रिप्शन रोल न करें । और इसका मतलब है कि blowfish2कार्यान्वयन भी। GPG की तरह कुछ और उपयोग करें। gnupg.vimप्लगइन उपयोगी हो सकता है। इसका रख-रखाव लगता है । यह अक्षम करता है viminfoऔर स्वैप फ़ाइल।
muru
स्रोत
1
अंतिम लीड में डेविड लीडबीटर द्वारा दावा ( dgl.cx/2014/10/vim-blowfish ) bruteforce हमले के लिए एक शब्दकोश का उपयोग कर रहा है। फिर वह "छोटे पासवर्ड" को कमजोर करता है। उनके सैद्धांतिक तर्क सही हैं लेकिन व्यावहारिक नहीं। अच्छा 64 बिट या अधिक रैंडम पासवर्ड अचूक हैं।
mosh
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.