『杂项』如何让 ZIP 文件存在两个正确解压密码？

日期：2023-04-04

作者：H4y0

介绍：使用AES-256生成ZIP密码时，如果密码太长，则会使用PBKDF2算法对密码进行处理。

0x00 前言

在某社交平台刷到了Positive Technologies的一位网络安全研究员分享的小实验，加密的ZIP文件同时存在两个正确的密码，并且都可以完成文件的提取。

0x01 复现

1.1 问题描述

我们先来看一下这位安全研究员是怎样描述这个问题的。

大体就是加密时使用一个长度足够大的密码:Nev1r-G0nna-G2ve-Y8u-Up-N5v1r-G1nna-Let-Y4u-D1wn-N8v4r-G5nna-D0sert-You

解密时除了这个长密码之外还可以使用密码：pkH8a0AqNbHcdw8GrmSp

1.2 本地复现

• 使用下列命令创建一个加密的ZIP文件。

7z a x.zip /etc/passwd -mem=AES256 -p

• 使用和描述一样的长密码作为密码。

Nev1r-G0nna-G2ve-Y8u-Up-N5v1r-G1nna-Let-Y4u-D1wn-N8v4r-G5nna-D0sert-You

• 我们来使用描述中的短密码pkH8a0AqNbHcdw8GrmSp来提取文件。不出意外的成功提取。

• 当然，使用原本的长密码也一样可以成功提取ZIP文件。

0x02 分析

造成同时存在两个密码可以提取ZIP文件的就是AES-256模式。由于ZIP使用PBKDF2,如果密码长度大于64字节，ZIP格式会使用PBKDF2算法对输入的密码进行hash处理，这个新的hash会成为ZIP的实际密码。

在复现中，使用短密码pkH8a0AqNbHcdw8GrmSp实际上是长密码SHA1-hash对应的ASCII码表示。

长密码的SHA1-checksum = 706b4838613041714e62486364773847726d5370，此校验和在转换为ASCII时产生pkH8a0AqNbHcdw8GrmSp。

不过在对ZIP文件进行加密解密的过程中，只有密码长度大于64位时，才会对该密码进行hash处理，解密时如果实用长度大于64的长密码，则会对密码进行hash处理后与加密时产生的hash值进行比较，如果使用短密码，则会将此密码直接与存储的密码进行比较，此时存储的密码为加密时产生的hash值。短密码可以通过hash值进行16进制转字符串获得。

也就是说只有在知道长密码的情况下才能获得短密码，这一特性对于ZIP文件的s安全性并无不良影响。具体流程可总结如下图。

0x03 总结

这位安全研究员说的ZIP存在后门只是子虚乌有。实际上是PBKDF2使用基于hash的身份验证代码(HMAC)，产生了HMAC碰撞，当密码长度足够长时便会形成密码对，造成了所谓的两个密码。