提供从网站的自解压加密下载

Question

我正在开发的网站目前为用户提供了一个选项，可以以加密的 zip 文件形式下载数据。标准 zip 文件加密几乎毫无价值（所以我读过），因此我希望将其替换为使用 AES 加密但仍具有自解压格式的内容。这样做有几个问题，我相信以前有人已经解决过：

1. 我不知道用户使用的是什么平台（Mac、Windows 或 Linux），所以我不能只制作一个自解压的 . exe 文件并假设它可以工作。我想我需要问一下。 （我已经要求输入密码。）
2. 我的网站在 Linux 上运行，我怀疑大多数生成自解压加密 .exe 文件的程序都希望在 Windows 计算机上运行（以生成 .exe）。我想我可以设置一个运行 Windows 的虚拟机，然后让我的 Linux 服务器向该虚拟机发送请求（和数据）以生成 .exe，但这听起来很复杂。

Answer 1

ZIP 加密是否垃圾的争议由来已久（请参阅此处 ）。 ZIP 加密的主要问题是，尽管它使用 128 位 AES 密码，但它仍然需要用户输入密码。攻击者已经确定了 ZIP 程序如何从密码生成密钥，因此当用户输入的密码包含低熵（即简单密码）时，就可以很容易地暴力破解密钥并打开文件。如果您分配一个大且非常随机的密码，则被认为非常安全。