7z Archiv AES Verschlüsselung

[iceview]

Hallo,

wenn ich 7z in einer Linux Shell ein Archiv mit Passwort erstellen lasse:

7za a -pMEINPASSWORT datei ziel.7z

Ist bei einem solchen Archiv AES schon standardmässig benutzt worden?
Wenn ich mir das Archiv näher anschaue, dann bekomme ich nur die Info

encrypted: +

7za -l slt mein-7z

Da ich eine Datenbank komprimiert per Mail verschicken möchte, macht hier eine Verschlüsselung sicher mehr Sinn als nur ein Passwort.

Danke

 

[bu1137]

Passwort setzen heisst bei 7z Verschlüsselung wird verwendet. und mit -mhe=on switch schaltest du auch das verschlüsseln der dateinamen ein.

 

[iceview]

Kann man denn irgendwo sehen, dass auch wirklich AES256 verwendet wird?

 

[Sukrim]

Im (offen zugänglichen) Quellcode.

 

[iceview]

Ich meinte bei einenm Archiv... kann man sehen, dass dies mit Algorhythmus x oder y verschlüsselt wurde

 

[bu1137]

Wenn du das Archiv im 7z Manager aufmachst -> auf Info gehen. Dort steht's.

 

[iceview]

Dann muss ich mal testen. Danke!

 

[simpsonsfan]

Ich glaube, AES256 ist die einzige Verschlüsselungsmethode für 7z-Archive, zumindest kann ich in 7-Zip nichts anderes auswählen.
Und man muss beim drücken auf die Eigenschaften im Filemanager auch eine Datei ausgewählt haben, sonst steht nichts zur Verschlüsselung da.

 

[iceview]

Ich teste das Ganze ja derzeit ohne eine GUI in ner Unix Shell. Ich zieh mir das Archiv von da aus mal raus und schaue es mir mal an.

 

[iceview]

Ich muss hier den Thead nochmal ausgraben:

Eines der 7z Archive habe ich mit der Option -slt getestet

Das Archiv wurde erstellt mit dem Befehl

7z a -mhe=on -pPass test.7z test.doc

Getestet habe ich es mit:

7z l test.7z -slt

Folgendes kommt dann dabei raus.



Bei Encryption und method steht nichts... weiss jemand warum? Ich dachte, dass 7z immer AES nutzt. Müsste es dann dort nicht auch erscheinen?

 

[mensch183]

Magst du für Kryptographie nicht vielleicht lieber auf ein bewährtes Werkzeug setzen? Bei solchen Zip-Tools, die nebenbei gelernt haben etwas zu verschlüsseln, ist die Chance ziemlich hoch, dass sie dabei groben Unfug anstellen. Ja, selbst beim Verschlüsseln eines Files mit einer Blockchiffre kann man genug falsch machen. Verwende doch GnuPG, wie der Rest der Welt.

Angenommen deine Datenbank heißt xxx.db. Verschlüsseln geht so:

gpg -c xxx.db

Du wirst 2 mal nach der Passphrase gefragt und dann wird die verschlüsselte Datei 'xxx.db.gpg' erzeugt. Wer unbedingt AES verwenden möchte, kann dies via Option mitteilen

gpg --cipher-algo AES -c xxx.db

entschlüsseln:

gpg -d xxx.db.gpg

erzeugt nach Passphraseeingabe wieder die xxx.db. Die verwendete Chiffre wird automatisch erkannt.

Einfach, stimmts? Die großen Vorteile von GnuPG neben der Vertrauenswürdigkeit sind, dass es auf jedem System verfügbar ist und du bei gesteigerten Bedürfnissen beim gleichen Werkzeug bleiben kannst. Datei signieren? Datei asymmetrisch für einen bestimmten Empfänger verschlüsseln? Alles kein Problem. Wenn man mit GnuPG umgehen kann, hat man was fürs Leben gelernt.

 

[iceview]

Hmm.. ja hört sich gut an, die Frage ist, ob man dies automatisiert einsetzen kann in z.B. einen Shell Skript.

Warum bist Du skeptisch bei 7z? Ist ja auch ein lang erprobtes Tool, welches den AES Verschüsselungsmodus ja von Haus aus mitliefert.

 

[mensch183]

GnuPG kann man in Skripten verwenden.

Zu 7z weiß ich nichts. Dem Thread hier nach zu urteilen, mangelt es mindestens an Dokumentation. Skeptisch bin ich nur insofern, dass ich bei freier Auswahl von Kryprokram lieber auf bewährte Kost setze.

Wobei ... laut manual page kann mein 7z Passworte nur als Kommandozeilenarameter entgegennehmen. Auf einem 0815-Linux kann jeder die Kommandozeilenparameter von Prozessen anderer Nutzer sehen, also superleicht deine 7z-Passworte ausschnüffeln, während dein 7z läuft. Dein Skript läuft hoffentlich auf einem Rechner ohne andere Nutzer? Sonst wäre das ein zwingender Grund gegen 7z.

Auf Unixen/Linuxen verfüttert man Passworte deshalb nie via Parameter ans Kryptoprogramm sondern via File oder Pipe. GnuPG kann das (--passphrase-file bzw. --passphrase-fd), kann aber notfalls auch mit Parameter (--passphrase) arbeiten.

 

[iceview]

Ja auf dem System arbeitet nur 1 User. Bzw. es ist nur 1 User als Zugang eingerichtet, so ist es korrekt.
Die Shell ist so oder so nur via VPN erreichbar, daher ist die Chance eines ungewollten PW Hacks ziemlich ausgeschlossen.

Klar, wer im System ist und sich das Skript sucht (crontab -> skript = passwort)... aber das ist auch mit einem File als PW so, es sei denn es ist explizit nur für einen User zugänglich...