Moyen Simple de détecter le chiffrement
Est-il un moyen simple et rapide pour détecter les fichiers cryptés? J'ai entendu parler de enthropy calcul, mais si je fais le calcul pour chaque fichier sur un lecteur, il va prendre des jours pour détecter le chiffrement.
Est-il possible, par exemple, calculer la valeur pour les 100 premiers octets ou 1024 octets et de décider ensuite? Quelqu'un a une source pour ça?
Pouvez-vous nous en dire plus sur ce que vous voulez accomplir?
Passer par un disque entier et de trouver les fichiers suspects, qui peuvent ressembler à des cryptés. Dire à un utilisateur de l'emplacement de ces fichiers. Alors, l'utilisateur peut décider quoi faire, par exemple, utiliser des logiciels tiers pour le décrypter.
Passer par un disque entier et de trouver les fichiers suspects, qui peuvent ressembler à des cryptés. Dire à un utilisateur de l'emplacement de ces fichiers. Alors, l'utilisateur peut décider quoi faire, par exemple, utiliser des logiciels tiers pour le décrypter.
OriginalL'auteur Alex | 2012-02-25
Vous devez vous connecter pour publier un commentaire.
Je voudrais utiliser un d'entropie croisée de calcul. Calculer l'entropie croisée de la valeur de X octets pour les données chiffrées (il doit être proche de 1, quel que soit le type de cryptage, etc) - vous pouvez éviter de fichier d'en-têtes et pieds de page comme il peut contenir des non-crypté fichier de méta-données.
Calculer l'entropie d'un fichier; si elle est proche de 1, alors c'est soit crypté ou
/dev/random
. Si c'est assez loin de 1, alors il n'est pas chiffré. Je suis sûr que vous pourriez appliquer signifance tests pour obtenir une ligne de base.C'est environ 10 lignes de Perl; je ne me souviens pas ce que la bibliothèque est utilisée (même si, cela peut être utile: http://dingo.sbs.arizona.edu/~hammond/ling696f-sp03/addonecross.txt)
OriginalL'auteur Craig
Vous pourriez juste faire un système qui reconnaît notamment les formes les plus courantes de fichiers chiffrés (ex: reconnaître chiffré zip, rar, vim, gpg, ssl, ecryptfs, et truecrypt). Toute tentative visant à déterminer le chiffrement basé sur les données brutes va rapidement tourner en stéganographie discussion.
"Le combat ordinaire de chiffrement"? Je pensais que tu voulais seulement de détecter la présence de données chiffrées - c'est ce que ma réponse adresses.
Il n'y a pas une telle chose comme "régulier" de chiffrement. En outre, dans la plupart des formats le chiffrement est incorporé dans un certain type de format de conteneur (CMS, XML encryption ou propriétaire).
Par "combat", je veux dire détecter. Désolé pour mon mauvais anglais.
Ici, utica.edu/academic/institutes/ecii/publications/articles/... je peux voir quelques statistiques de manière à détecter le chiffrement, mais il est basé sur l'ensemble du fichier de calcul
OriginalL'auteur Thomas M. DuBuisson
L'un des avantages d'un bon cryptage est que vous pouvez le concevoir de telle sorte qu'il ne peuvent pas être détectés - voir l'article de Wikipedia sur contestable de chiffrement par exemple.
Chaque approche statistique pour détecter le système de chiffrement vous donner divers "fausses alarmes", comme
données compressées ou au hasard à la recherche de données en général.
Imagine que je voudrais écrire un programme qui génère deux fichiers:
file1
contient 1024 bits de π etfile2
est une version chiffrée defile1
. Si vous ne savez rien sur le contenu defile1
oufile2
, il n'y a aucun moyen de les distinguer. En fait, il est très probable que π contient le contenu defile2
quelque part!EDIT:
Par le façon, il n'est même pas de travail dans l'autre sens (de la détection des fichiers non chiffrés). Vous pourriez écrire un programme qui transforme les données chiffrées lisible texte anglais en attribuant des mots ou des phrases entières à bits/octets.
Même l'article que vous avez lié les états "peut être crypté ou compressé fichier de données" (page 7). Il n'y a aucun moyen de les distinguer de compression et de chiffrement des données autres que de l'analyser connus des en-têtes/format comme Thomas l'a suggéré. Je m'attends donc beaucoup de fausses alarmes qu'un "cryptage" de détection n'a pas de sens du tout.
Merci, @schnaader
OriginalL'auteur schnaader