• Skip to main content

Naga Cyber Defense

Trusted Security for all of Indonesia

  • Home
  • About
  • Programs
  • Contact
  • Blog
You are here: Home / News / File ZIP terenkripsi dapat memiliki dua kata sandi yang benar

File ZIP terenkripsi dapat memiliki dua kata sandi yang benar

August 22, 2022 by Eevee

Arseniy Sharoglazov, seorang peneliti keamanan siber di Positive Technologies selama akhir pekan berbagi eksperimen sederhana di mana ia menghasilkan file ZIP yang dilindungi kata sandi yang disebut x.zip.

Kata sandi yang dipilih Sharoglazov untuk mengenkripsi ZIP-nya adalah plesetan dari hit 1987 yang menjadi meme teknologi populer:

Nev1r-G0nna-G2ve-Y8u-Up-N5v1r-G1nna-Let-Y4u-D1wn-N8v4r-G5nna-D0sert-You
Tetapi peneliti menunjukkan bahwa ketika mengekstrak x.zip menggunakan kata sandi yang sama sekali berbeda, dia tidak menerima pesan kesalahan.

Faktanya, menggunakan kata sandi yang berbeda menghasilkan ekstraksi ZIP yang berhasil, dengan konten asli yang utuh:

pkH8a0AqNbHcdw8GrmSp

Dua kata sandi berbeda untuk file ZIP yang sama menghasilkan ekstraksi yang berhasil (Sharoglazov)

BleepingComputer berhasil mereproduksi percobaan menggunakan program ZIP yang berbeda. Kami menggunakan p7zip (setara 7-Zip untuk macOS) dan utilitas ZIP lain yang disebut Keka.

Seperti arsip ZIP peneliti, arsip kami dibuat dengan kata sandi yang lebih panjang yang disebutkan di atas, dan dengan mode enkripsi AES-256 diaktifkan.

Sementara ZIP dienkripsi dengan kata sandi yang lebih panjang, menggunakan salah satu kata sandi berhasil mengekstrak arsip.

Saat membuat arsip ZIP yang dilindungi kata sandi dengan mode AES-256 diaktifkan, format ZIP menggunakan algoritme PBKDF2 dan meng-hash kata sandi yang diberikan oleh pengguna, jika kata sandi terlalu panjang. Terlalu panjang, yang kami maksud lebih dari 64 byte (karakter), jelas peneliti.

Alih-alih kata sandi yang dipilih pengguna (dalam hal ini “Nev1r-G0nna-G2ve-…”) hash yang baru dihitung ini menjadi kata sandi sebenarnya untuk file tersebut.

Saat pengguna mencoba mengekstrak file, dan memasukkan kata sandi yang lebih panjang dari 64 byte (“Nev1r-G0nna-G2ve-… “), input pengguna akan sekali lagi di-hash oleh aplikasi ZIP dan dibandingkan dengan yang benar kata sandi (yang sekarang menjadi hash). Kecocokan akan menghasilkan ekstraksi file yang sukses.

Kata sandi alternatif yang digunakan dalam contoh ini (“pkH8a0AqNbHcdw8GrmSp”) sebenarnya adalah representasi ASCII dari hash SHA-1 kata sandi yang lebih panjang.

SHA-1 checksum dari “Nev1r-G0nna-G2ve-…” = 706b4838613041714e62486364773847726d5370.

Checksum ini ketika dikonversi ke ASCII menghasilkan: pkH8a0AqNbHcdw8GrmSp

Namun, perhatikan bahwa saat mengenkripsi atau mendekripsi file, proses hashing hanya terjadi jika panjang kata sandi lebih dari 64 karakter.

Dengan kata lain, kata sandi yang lebih pendek tidak akan di-hash pada tahap kompresi atau dekompresi ZIP.

Inilah sebabnya mengapa ketika memilih string panjang “Nev1r-G0nna-G2ve-… ” sebagai kata sandi pada tahap enkripsi, kata sandi sebenarnya yang ditetapkan oleh program ZIP secara efektif adalah hash (SHA1) dari string ini.

Pada tahap dekripsi, jika Anda memasukkan “Nev1r-G0nna-G2ve-…,” itu akan di-hash dan dibandingkan dengan kata sandi yang disimpan sebelumnya (yang merupakan hash SHA1). Namun, memasukkan kata sandi “pkH8a0AqNbHcdw8GrmSp” yang lebih pendek pada tahap dekripsi akan membuat aplikasi secara langsung membandingkan nilai ini dengan kata sandi yang disimpan (yaitu, sekali lagi hash SHA1).

Subbagian Tabrakan HMAC dari PBKDF2 di Wikipedia memberikan lebih banyak wawasan teknis kepada pembaca yang tertarik.

Namun, fakta bahwa sekarang ada dua kemungkinan kata sandi untuk ZIP yang sama tidak menunjukkan kerentanan keamanan, “karena seseorang masih harus mengetahui kata sandi asli untuk menghasilkan hash kata sandi,” entri tersebut menjelaskan lebih lanjut.

Aspek kunci yang menarik untuk diperhatikan di sini adalah, representasi ASCII dari setiap hash SHA-1 tidak harus berupa alfanumerik.

Dengan kata lain, mari kita asumsikan kita telah memilih kata sandi berikut untuk file ZIP kita selama percobaan ini. Kata sandi lebih panjang dari 64 byte:

Bl33pingC0mputer-Sh0w-M3-H0W-t0-pR0Duc3-an-eNcRyPT3D-ZIP-File-dengan cara paling sederhana
Checksum SHA-1 yang keluar menjadi: bd0b8c7ab2bf5934574474fb403e3c0a7e789b61

Dan representasi ASCII dari checksum ini terlihat seperti sekumpulan byte yang tidak masuk akal—hampir tidak elegan seperti kata sandi alternatif yang dibuat oleh peneliti untuk eksperimennya:

Representasi ASCII dari hash SHA-1 dari Bl33pingC0mputer… kata sandi

BleepingComputer bertanya kepada Sharoglazov bagaimana dia bisa memilih kata sandi yang checksum SHA-1-nya sedemikian rupa sehingga representasi ASCII-nya menghasilkan string alfanumerik yang bersih.

Dengan menggunakan versi yang sedikit dimodifikasi dari alat pemulihan kata sandi sumber terbuka, hashcat, peneliti membuat variasi dari string “Never Gonna Give You Up…” menggunakan karakter alfanumerik hingga dia mendapatkan kata sandi yang sempurna.

Dan, begitulah cara Sharoglazov sampai pada kata sandi yang kira-kira berbunyi seperti “Never Gonna Give You Up…,” tetapi representasi ASCII dari checksum SHA-1-nya adalah satu string alfanumerik yang rapi.

Bagi sebagian besar pengguna, membuat file ZIP yang dilindungi kata sandi dengan pilihan kata sandi mereka sudah cukup dan hanya itu yang perlu mereka ketahui.

Tetapi jika Anda memutuskan untuk bertualang, eksperimen ini memberikan gambaran tentang salah satu dari banyak misteri seputar ZIP terenkripsi, seperti memiliki dua kata sandi untuk rahasia Anda yang dijaga.

Sumber: Bleeping Computer

Tagged With: Sharoglazov, ZIP

Copyright © 2025 · Naga Cyber Defense · Sitemap

Cookies Settings
We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept”, you consent to the use of ALL the cookies.
Do not sell my personal information.
AcceptReject AllCookie Settings
Manage consent

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary
Always Enabled
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Functional
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytics
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
CookieDurationDescription
_ga2 yearsThe _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_11 minuteSet by Google to distinguish users.
_gid1 dayInstalled by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
Advertisement
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
Others
Other uncategorized cookies are those that are being analyzed and have not been classified into a category as yet.
non-necessary
SAVE & ACCEPT
Powered by CookieYes Logo