GPUでZIPパスワードを解析する - Qiita

GPUでZIPパスワードを解析する 企業間のファイルのやり取りにZIPファイルの暗号化がされていることが多いのですが、その暗号は意味がなかったり、弱かったり、余計にセキュリティリスクが高くなっています。ZIPの暗号化が使えないことを証明するにはパスワードを解析するのが一番です。 パスワードが解析できるなら、もうあとからパスワードを送る必要はないのです。 用意するもの Windows PC Windows10を使いました。 GPU できる限り早いやつ ノートPCなので、外付けGPUケースにThunderbolt3でGPUを接続しています。 GTX 2080とケースで 10万円ぐらいかかっています。 CUDA Toolkit あらかじめ入れておきましょう。 hashcat hashcatのWindows版で公式サイトからダウンロードしたもので、バージョンが5.1.0の場合は古いので対応していま

[Listlessness]

添付ファイルを自動でパスワード付きZipファイルにするシステムを使ってる取引先があるのだが、そのシステムがパスワードを平文のメールで自動的に送ってくるの意味不明すぎて毎回真顔になる。

[kamiokando]

zipファイルが送られてきた直後にパスワード送ってくるの何なんだろうな。多分同じフローで作業してるから宛先間違ってたらパスワードも間違えて送ると思うんだけど。

[skl0123]

ほぼ同じ内容のブログをみつけたけど同じ人なの？ https://blog.amedama.jp/entry/zip-password-gpu-brute-force

[hirolog634]

ここまでやったなら、8桁以上でも検証して欲しい。以前は10桁で記号も含めればパソコンレベルでは解読が難しいと言われていたが…（さらに桁数が不明だと10桁は厳しい気がする）

[tk_musik]

パスワードと分けて送るのは、添付メールだけ間違って転送とか詐取とかされても大丈夫なようにでしょ。やってることには何かしら意図はあるんだよ。

[JULY]

Traditional PKWARE Encryption だと、どんなに長いパスワードを設定しても、実質 96 bit の鍵長しかないのと同じ https://blog.goo.ne.jp/ten_fon/e/9c2194ffd49ce75b462a222ec386eb12 。まぁ、96 bit なら今どきの GPU でブルートフォースで、だなぁ。

[TakamoriTarou]

WindowsがAES256に対応するだけでだいぶ状況が変わるんだがなあ…。ZIPパスワード

[securecat]

zip添付メールの直後にパスワードのメールって、あれ手入力じゃないんだよな。会社間のプロトコルっていうかソリューションが組み込まれてしまっているというか、個人の意志ではもはや変更できないという。

[kemononeko]

大文字小文字数字記号より桁数が重要なの早く広まってくれ。

[akahigeg]

会社間のプロトコルか・・・プロトコル以上の意味がないことは地道に広めていきたい

[quick_past]

これはpikazipの置き換えになるか！？

[kenjiro_n]

で、弊社はメール本文を所定のネ申Excelに記載してパスワード付きのxlsxで送るようになったのでした。めでたくなしめでたくなし。

[ryunosinfx]

何やな。スマホでシュッとパスワード要らないです。これで解けるんでと言いつつ開いてみせるデモンストレーションを頭が硬いオジサンに見せるのが良い。

[umaemong]

もしかして、添付ファイルのパスワード自動送信を本気で有意義だと思ってる人って世界中に1人もいないのでは?

[hackapellmanda]

別添付されたパスワードをブルートフォースで解決するライフハック捗りそう

[wrss]

id:ListLessness 弊社です。ごめんなさい。でもやらないと怒られるんです。(絶望)

[maangie]

※「処理開始からわずか1分ほどでGPUの温度が80度を越え」

[kozilek]

別メールではあるけど、毎回同じパスワード、しかも先方の企業名で来るところとか、本当に何のためにやっているのか不思議。だいたい大企業です。

[maro218]

PPAP(Password付きzipファイルを送り、Passwordを送る、Aん号化（暗号化)、Protocol)は滅ぶべし。

[shiketanotsuna]

この人 https://internet.watch.impress.co.jp/cda/news/2004/11/08/5303.html antinyの作者特定したと発言しているのでAI救国の人に言ってやってほしい

[hihi01]

「zipで暗号化して送るのは会社間のプロトコルですので簡単には崩せません。ZIPパスワード形式にAESを使うとか、Officeファイルのパスワードを使ったほうがより強固です。」なるほど。

[buhoho]

zip強度上げても展開後ファイルを含んだHDDが流出しますし

[new3]

今年5月に話題になったと思うけどPKZIPなら15文字でもRTX2080Tui 4つで15時間の時代だしAESじゃなきゃzip暗号化はオワコン…メール添付zipはまた別の話し

[kotaponx]

パスワード付きZIP+パスワード後送は、宛先誤送信のときに効果がある……ぐらいかな。もちろんすぐに気づいて後送を止めたときだけですがね。

[tsutsumikun]

ボスが書いた記事です。バズっとるなぁ。

[programmablekinoko]

自動でzipにして拡張子を.ziにしたりとか製造業あるある

[bounoplagia]

“企業間のファイルのやり取りにZIPファイルの暗号化がされていることが多いのですが、その暗号は意味がなかったり、弱かったり、余計にセキュリティリスクが高くなっています。”このことは知っておいて損はない。

[camellow]

添付ファイル付きのメールとパスワードが書かれたメールのどちらか片方だけを盗まれるって状況が想像つかない。/ どこかで読んだブログの劣化版みたいだな…わかりにくい部分まで同じだ。パクリか？

[miau]

ほぼ同じ内容って指摘があるけど、コピペしてるわけでなし、やってる内容も細部は違うし、何の問題もないと思う。なんでスター集まってるんだろ。

[minoton]

弊社のはブルートフォース解析だと757,336,474,453 年かー。こりゃ安心だ 参考: https://www.dit.co.jp/service/security/report/03.html

[leibniz]

計算量が多項式時間でなければ、桁数上げれば十分安全。8桁は不十分だとしても16桁とかにすればほぼ解読不可能では。

[mohno]

ファイルの暗号化じゃないから同列に論じられないけど、“セキュリティのためのシステム”で8文字固定長のパスワードを使ってるところがあるなあ。

[headacher2]

CUDAなつかしい

[uunfo]

自分もやったことがあるけど英数字8文字が余裕なのは当たり前。記号が入って10文字を超えると無理

[delphinus35]

適当なパソコンに外付けGPU使うだけでこれ。500万円越えのMac Proなら㍉秒単位で解読できるであろう（んなわけはない）

[hi_kmd]

自動で添付ファイルを暗号化ZIPにしてパスワードメールを別途送るシステムを使っているのは、セキュリティ意識の弱い企業の目印にしてる。ちゃんとセキュリティに興味のある企業はあの仕組みを取り入れたりしない。

[zentarou]

7-Zipにしよう

[BRITAN]

“あっという間に解読完了です。WordやExcelのパスワードなども解読できます”