ZIPのパスワードって安全ですか？

こんばんは。

実は、ある商品のダウンロード販売を検討しております。ダウンロードページは購入者だけしか分からないように設定するつもりですが、仮にページを見つけられた場合にそなえ、ZIPでパスワードをつけようと思っています。
しかし、Lhaplusなど、ZIPのパスワードを解析してしまうんですよね？
実際長いパスワードにすると解析に恐ろしく時間はかかると思うのですが、解析はできてしまうものなのでしょうか？

ZIPパスワードに頼るのは危険ですか？
（将来的にはページ自体にパスワードをつける予定ですが、知識が足りないので、一時的にはこれで間に合わそうと思っているのですが・・・）

宜しくお願いします。

No.9 回答者： ozama 回答日時： 2007/03/04 13:06

zipはパスワード解析すると結構早く解析されてしまいますのであまり

お勧めできません。RAR形式であれば方が解析ソフトも少なく解析にか
なりの時間が必要です。特にWinRARの最新版でパスワードをかけたもの
であればほぼ安全だろうと思います。身近な圧縮形式で安全なのはRARだ
と思います。

No.8 回答者： SortaNerd 回答日時： 2005/05/19 03:32

Lhaplusで試してみました。

2.8GHzのPCで3バイトの解析が終わるまで161秒かかりました。
これから単純計算すると、
4バイトで半日
5バイトで4ヶ月
6バイトで85年
ただしこの中には日本語などの2バイト文字や文字として表示できないものも入っているので実際はもう少し少なくなります。
それでも、
例えば英数字のみで考えると、
5文字で2時間半
6文字で6日
7文字で1年
8文字で66年
私が個人で解析するなら6文字までで諦めますね。10文字もつけておけば安全でしょう。
ただしこれは総当りした場合です。
辞書に載っているような単語では簡単に破られてしまうので注意してください。

No.7 回答者： kyukyu1 回答日時： 2005/05/18 04:12

ZIPにパスワードをつけても　

正規購入者の一人がパスワードで解凍したソフト？を
ファイル交換ソフトなどに流しまったら終わりです

まぁ　若者が欲しくなりそうな商品でなければ　
ZIPにパスワードだけでも問題ないと思いますね

No.6 回答者： Cronus2 回答日時： 2005/05/18 03:53

パスワードが安全か解析されないかというより、

そのパスワードが何かで変わってきます。
英数字のみ、アルファベットのみなら、よほど文字数を多くしないと4～8文字ならすぐ解析されます。
アルファベットも大文字小文字の区別をする、
更には日本語も織り交ぜれば、解析は総当り方式なので理論上不可能です。
JIS規格の漢字だけでも６千字以上あります。
かな漢字を混ぜると４文字のパスワードでも
6000の４乗としても、1296兆組になり解析できないでしょう。
WINDOWS標準のZIPソフトでは直接、日本語入力は不可能ですがコピーペーストで貼り付ければ日本語にも対応しているので解凍できます。
(フリーの国産ソフトならほとんどが直接でも可能)

No.5 回答者： hsuorhgw 回答日時： 2005/05/18 03:38

No.2さんのおっしゃるようなフリーソフトを使うのも手だと思います。

これらは解析ソフト自体がないためです。

no.2さんの上げられてるもの以外では

アタッシェケース
暗号化の際にはデータに圧縮がかかりますので、サイズがコンパクトになります。
また、実行形式(*.exe)ファイルとして出力できますので、アタッシェケースを持たない人へ暗号化ファイルを渡すことができ、復号することができます。
暗号化アルゴリズムには次世代暗号化標準 AES(Advanced Encryption Standard)として選定された"Rijndael"を採用。
などもあります。
http://www.vector.co.jp/soft/win95/util/se280871 …

No.4 回答者： ftomo100 回答日時： 2005/05/18 03:32

一度、適当なパスワードで解析をしてみれば良いと思います。

・長い文字ほど時間がかかる
・全角文字は解析の対象外
・容易に推測できる単語を使わない
という特徴がありますが、時間をかければ必ず解析されますし、バイナリから解読する人もいるかも知れません。一般的にダウンロード販売されているソフトではZIPパスワードは見たことありません。

個人的には、web上でパスワード設定した方が良いと思います。一番のメリットは不正アクセスがあれば解析ができる点ですね。あとはシリアル入力など通常のシェアウェア等と一緒かと。

参考URL：http://www.itmedia.co.jp/enterprise/0310/03/epn1 …

No.3 回答者： hsuorhgw 回答日時： 2005/05/18 03:28

安全性の確認は自分が実際に試してみるのがベストです。

pikazip
Zip,Rarアーカイブの忘れてしまったパスワードを検索するソフトです。(総当り)
http://www2.lint.ne.jp/~lrc/fi_archutl.htm

20桁ぐらいのパスワード(英数ごちゃ混ぜ)のパスをかけて、上記のソフトで解析してください。2日や３日では解読できませんよ。

この回答へのお礼

やはり2日3日は普通にかかりますよね。
そこまでしても欲しい人にはあげます（笑）。
ダウンロードアドレス自体通常分からないわけですから、まず大丈夫でしょうね！
ありがとうございました。

お礼日時：2005/05/20 06:03

No.2 回答者： youkisara 回答日時： 2005/05/18 03:25

Lhaplusでは、解析は出来ないと思いますよ。

ただ、確かにパスワード解析ソフトというものが存在しますので、時間をかければ解析できてしまうのが現状です。

ZIPではありませんが、圧縮形式の一つにGCAと言うのがあります。
この圧縮形式というかソフトは、圧縮性能もいいのですが、セキュリティ機能も優れています。
パスワードによるセキュリティも出来ますし、パスワードの代わりに、特定のファイルをパスワードとして用いるセキュリティもあります。
異なるファイルでは解凍できないので、ぱすわーどよりセキュリティが高まります。
メールによって、購入者にダウンロード箇所を教えるような仕組みにする場合なら、その際に、添付ファイルとして、キーファイルを送るような仕組みにすれば、高いセキュリティが保てるのではないでしょうか？

参考URL：http://www.emit.jp/dgca/dgca.html

この回答へのお礼

ありがとうございました。
GCAとは初めて聞きました。
一度調べて見ますね！

お礼日時：2005/05/20 06:04

No.1 回答者： Gungnir 回答日時： 2005/05/18 03:24

基本的にパスワード解析は総当たり式。

パスワードをかなり長くすれば解析するのが嫌になるくらい時間はかかります。
でもPCを長い間放っておくならそのうち解析はされます。
PC2台以上あれば作業に支障はでないでしょうから。
まぁ何もしないよりは良いでしょうけど。
結構根性いるから俺なら解析はあまりやりたくないな。
それにどんなに頑張ったってパスワード解除後のファイルが出回るのは防げないでしょうし。

この回答へのお礼

ありがとうございました。
お礼が遅くなって申し訳ありません！
私もそう思ってZIPで大丈夫かなと思った次第です。
「嫌になるくらい」かかっても欲しい人にはあげます（笑）。

お礼日時：2005/05/20 05:57