从网站提供自解压加密下载

Question

我正在处理的网站目前为用户提供了一个选项，可以在加密的zip文件中下载他们的数据。标准的zip文件加密几乎一文不值（所以我读过），所以我希望用一些使用AES加密但仍然具有自解压格式的东西替换它。这样做有几个问题，我相信有人之前已经解决过了：

1. 我不知道用户所使用的平台（Mac或Windows或Linux），所以我不能只创建一个自解压的.exe文件并假设它可以正常工作。我想我需要问一下。 （我已经要求输入密码了。）
2. 我的网站在Linux上运行，我怀疑大多数生成自解压加密.exe文件的程序都希望在Windows机器上运行（生成.exe）。我想我可以设置一个运行Windows的虚拟机，并让我的Linux服务器向该虚拟机发送一个请求（和数据）以生成.exe，但这听起来很复杂。

Answer 1

ZIP加密是一场垃圾争议，这是很久以前的事了（见here）。 ZIP加密的主要问题是虽然它使用128位AES密码，但它仍然需要用户输入密码。攻击者已经确定了ZIP程序如何从密码生成密钥，因此当用户输入的密码包含低熵（即简单的密码）时，就可以很容易地强制密钥并打开文件。如果您指定一个非常随机的密码，则认为它非常安全。