Prolomení zaheslovaného raru - krádež :))

No já nevím, ale to heslo je tam někde v tom RAR-souboru uložené, že? Stačí rozebrat RAR soubor, nebo spustit nějaký program na hledání hesel v RAR souborech a je to. Proč zkoušet miliardy hesel zvenku když se tam dá dostat zevnitř...

Ne, heslo nikde vevnitř uložené není.

Obecný příklad: Zahesluju slovo "Aleš", a to tak, že změním velikost písmen a všechny znaky posunu o jedno místo v abecedě. Výsledkem bude "bMFT". Myslíš, že je tam někde vevnitř schován onen algoritmus?

Neexistují programy na hledání hesla (někde uvnitř), ale na zkoušení všech možných kombinací znaků (brute force).

Ja tomu teda nerozumim, ale taky si myslim ,ze to heslo nekde v tom souboru byt musi. Jak jinak by pak mohl byt soubor otevren spravnym heslem? No a pokud tam nekde je, tak napriklad tvurce winraru by to asi mohl umet najit.

Neni to tam nikde ulozene a ani tvorca RARu to rozlustit nevie. Mimochodom zdrojaky RAR su pristupne na nete (mam ich a robil som si aj bruteforcer) ale k nicomu ti tie zdrojaky nie su, ptz kryptovaci algoritmus je standardny AES takze v zdrojakoch RARu neni nic tajne a ani autor RARu nema ziadnu vyhodu.
Jediny v sucasnosti znamy sposob ako to prelomit je bruteforce (skusanie vsetkych kombinacii). RAR ma aj dost silne spomaleny prepocet heslo->AES kluc co znacne spomaluje skusanie hesiel, a pouziva nahodny seed co znemoznuje akekolvek pokusy o zrychlenie prelamovania pouzivanim predpripravenych tabuliek, takze prelamovanie RAR je VELMI pomale (heslo nad 10znakov sa da povazovat za relativne bezpecne, 16 nahodnych znakov sa da povazovat za brutalne bezpecne).
Predpoklad je ale ze to nebolo RARovane nejakou starou verziou RAR z roku 199x (tie este nepouzivali AES algoritmus), ale ze to bolo zaheslovane nejakou sucasnou (nie starsou jak 5rokov apod :) verziou RARu.
P.S. a samozrejme predpoklad bezpecnosti je aj aby uzivatel to heslo NEmal ulozene nikde v txt subore apod vedla toho RARu :) Ptz utocnik sa bude sustredit aj na moznosti ziskania hesla z inych zdrojov, ak nejake "zdroje" su viditelne (na disku subor passwordy.txt apod :)

Jsem rád, že ses v tomhle threadu objevil

Rád bych se zeptal, zda máš tušení, jak moc by v hledání RAR hesla (obecně hesla jakéhokoliv archivu) pomohly opravdu "kvalitní" rainbow tables (třeba>500GB) na (super)počítači s dostatkem paměti (nemyslím PC s W7/64/8GBRAM). V mém odkazu na soom.cz (kousek výše) se píše o stonásobnosti, to mi příjde hodně málo - čekal bych mnohem lepší výsledek.

--
Ono bude stejně jednodušší použít pendrek

... navyse v tom tvojom clanku sa pise ze rainbow su len pre MD5 a LM hashe (neviem zhlavy ci sa to da pouzit aj na ine hash algoritmy), ale RAR pouziva na hashovane hesla SHA a na kryptovanie dat AES. Takze si asi moc nezarainbowujes :)

P.S. mozno este by som mal dodat aby sa nemiesali 2 rozne problem: 1."mam hash, chcem heslo" je uplne iny ako problem 2."mam zakryptovane data, chcem kryptovaci kluc". To su uplne odlisne svety. Prvy problem je na ziskanie hesla napr. na server alebo do Windows, ked viem hash hesla (je ulozeny na disku) ale neviem to heslo, a to heslo potrebujem zadat niekde do okienka "zadajte heslo" apod. Na to su rainbow. Druhy problem (uplne odlisna situacia vyzadujuca odlisny pristup) je napr. RAR ked mam zakryptovane data napr. cez AES, s napr. 256bit AES klucom (AES kluc bol vytvoreny z hesla hashovanim), a ja vobec nepotrebujem najst heslo z hashu ptz ziaden hash nemam, ja ten hash (AES kluc) prave hladam. Teoreticky by som vobec nemusel bruteforcovat heslo, ale mohol by som bruteforcovat rovno ten 256bitovy AES kluc (256bitov = 2^256 kombinacii). V podstate u hesla dlhsieho jak 256bitov nema vyznam bruteforcovat heslo ale rovno kluc. Resp. ani to nema vyznam ptz to by trvalo vela rokov mozno tisicroci (a mozno miliard rokov, nechce sa mi to zhlavy ratat ze kolko :)

Díky za vyčerpávající odpověď.