El mejor cifrado seguro para archivos Zip a través de Linux

Quiero usar un cifrado altamente seguro para archivos comprimidos a través de Linux / Ubuntu usando un terminal de línea de comando, ¿cuál es la mejor herramienta de línea de comando para hacer este trabajo?

zip -e -P PASSWORD file1 file2 file3 file4

O

7za a file.7z *.txt -pSECRET

¿Qué cifrado se usa y qué tan seguro es?

La compresión ofrecida por 7zip (en el formato 7z) es más segura que cualquiera de los métodos "estándar" o encriptar un archivo en formato zip (muchos de los cuales datan de años atrás y son apenas seguros). En cualquier caso, asegúrese de elegir una buena contraseña / clave: con una contraseña mal elegida, todas las técnicas de cifrado son susceptibles a ataques de diccionario / conjetura.

Si está encriptando archivos para enviarlos a otra persona, GPG sería mejor (consulte https://help.ubuntu.com/community/GnuPrivacyGuardHowtopara algunas notas específicas de Ubuntu o Google para muchos otros recursos similares) si la persona a la que está enviando es capaz + está dispuesta a usar GPG / PGP / compatible (o ya los está usando). Las herramientas GPG estándar funcionan con línea de comandos, por lo que es muy fácil trabajar en scripts si está archivando archivos regularmente y desea automatizarlos. Esto se basa en una clave pública, por lo que elimina el problema de tratar de obtener la clave para el destinatario de forma segura a medida que se cifra con su clave pública y solo ellos tienen la clave privada necesaria para desbloquear el archivo resultante (incluso usted, la persona que cifró el archivo en primer lugar, no podría descifrarlo). Para paranoia ++, cifre con 7zip mientras crea el archivo y luego con la clave pública del destinatario a través de GPG.

No estoy seguro sobre el zip estándar en Ubuntu, por lo que no puedo decir cuál es el "mejor", pero esto es lo que 7-Zip dice que usan :

7-Zip también admite cifrado con el algoritmo AES-256. Este algoritmo utiliza clave de cifrado con una longitud de 256 bits. Para crear esa clave, 7-Zip utiliza la función de derivación basada en el algoritmo hash SHA-256. Una función de derivación de clave produce una clave derivada de una contraseña de texto definida por el usuario. Para aumentar el costo de la búsqueda exhaustiva de contraseñas, 7-Zip utiliza una gran cantidad de iteraciones para producir una clave de cifrado a partir de una contraseña de texto.

Desde la zippágina del manual:

   -P password
   --password password
          Use password to encrypt zipfile entries (if any).  THIS IS INSECURE!  Many multi-user operating systems provide  ways
          for  any  user  to  see  the  current command line of any other user; even on stand-alone systems there is always the
          threat of over-the-shoulder peeking.  Storing the plaintext password as part of a command line in an automated script
          is  even  worse.  Whenever possible, use the non-echoing, interactive prompt to enter passwords.  (And where security
          is truly important, use strong encryption such as Pretty Good Privacy instead of the relatively weak standard encryp-
          tion provided by zipfile utilities.)

El resultado es que si su proceso zip tarda un tiempo, otro usuario en el sistema podría ver el comando ingresado, que incluiría la contraseña. ¡Uy! Presumiblemente, esto también se aplica a la .7zsolución.

GnuPG es probablemente lo suficientemente bueno. Sin embargo, si su vida depende de ello, sería un poco escéptico. Yo uso una almohadilla de una sola vez . No discutiré cómo genero los pads o cómo los aseguro, pero también uso GPG para correos electrónicos de menor seguridad. Algunas veces uso una vez para encriptar un archivo y luego lo adjunto al correo electrónico que está encriptado con GPG.

Sí, envío información de la que la gente debe depender para estar segura e incluso poner en peligro la vida.