Предоставление самораспаковывающихся зашифрованных загрузок с веб-сайта

Question

Веб-сайт, над которым я сейчас работаю, предоставляет пользователю возможность загружать свои данные в зашифрованном zip-файле. Стандартное шифрование zip-файлов почти ничего не стоит (поэтому я прочитал), поэтому я собираюсь заменить его чем-то, что использует шифрование AES, но все еще имеет самораспаковывающийся формат. Есть несколько проблем с этим, и я уверен, что кто-то работал до этого:

1. Я не знаю, на какой платформе находится пользователь (Mac, Windows или Linux), поэтому я не могу просто создать самораспаковывающийся .exe-файл и предположить, что он будет работать. Я полагаю, мне нужно будет спросить. (Я уже спрашиваю пароль.)
2. Мой веб-сайт работает в Linux, и я подозреваю, что большинство программ, которые создают самораспаковывающиеся зашифрованные файлы .exe, ожидают запуска (для создания .exe) на компьютере с Windows. Я полагаю, я мог бы настроить виртуальную машину под управлением Windows и заставить мой сервер Linux отправить этой виртуальной машине запрос (и данные) для создания .exe, но это звучит сложно.

Answer 1

Шифрование ZIP, являющееся мусором, было давным-давно (см. здесь ).Основная проблема с ZIP-шифрованием заключается в том, что, хотя он использует 128-битный шифр AES, он все равно требует пароль от пользователя.Злоумышленники уже определили, как программа ZIP генерирует ключ из пароля, поэтому, когда введенный пользователем пароль содержит низкую энтропию (то есть простой пароль), становится очень просто взломать ключ и открыть файл.Если вы назначаете большой случайный пароль, он считается очень безопасным.