Verfasst: 17.05.2004, 20:21
WinZip, das wohl bekannteste Pack-Programm, enth?lt seit Version 9.0 die Option, komprimierte Dateien nach dem als sicher geltenden Advanced Encryption Standard (AES) zu verschl?sseln. Sicherheits-Experten haben sich die verwendetete AES-Implementierung in WinZip n?her angesehen und darin Fehler entdeckt.
Die Experten beschreiben in einem PDF-Dokument ausf?hrlich einige Szenarien, bei denen sich Schw?chen mit verschl?sselten Archiven in WinZip ausnutzen lassen. So ist es etwa problematisch, dass Metadaten, also etwa der Name der Original-Datei, deren Gr??e oder die Verschl?sselungs-Methode, nicht durch WinZip-AES authentifiziert werden.
Ein Angreifer k?nnte die Metadaten einer verschl?sselten Datei f?lschen, ohne dabei Spuren zu hinterlassen. Die Folge: Selbst mit Kenntnis des richtigen Keys l?sst sich die Datei nicht entschl?sseln, ein Versuch w?rde nur Datenm?ll zur?ckliefern. Aus dieser M?ll-Datei kann jedoch der F?lscher der Metadaten die Original-Inhalte rekonstruieren. (jg)
Die Experten beschreiben in einem PDF-Dokument ausf?hrlich einige Szenarien, bei denen sich Schw?chen mit verschl?sselten Archiven in WinZip ausnutzen lassen. So ist es etwa problematisch, dass Metadaten, also etwa der Name der Original-Datei, deren Gr??e oder die Verschl?sselungs-Methode, nicht durch WinZip-AES authentifiziert werden.
Ein Angreifer k?nnte die Metadaten einer verschl?sselten Datei f?lschen, ohne dabei Spuren zu hinterlassen. Die Folge: Selbst mit Kenntnis des richtigen Keys l?sst sich die Datei nicht entschl?sseln, ein Versuch w?rde nur Datenm?ll zur?ckliefern. Aus dieser M?ll-Datei kann jedoch der F?lscher der Metadaten die Original-Inhalte rekonstruieren. (jg)