ADM-ZIP项目中PKCRYPT加密密码验证机制问题解析

在ADM-ZIP项目中发现了一个关于PKCRYPT加密方式密码验证的重要问题。该问题会导致在某些情况下，即使输入了正确的密码，系统也会错误地拒绝访问加密的ZIP文件内容。

问题背景

ADM-ZIP是一个流行的Node.js ZIP文件处理库。在处理使用传统PKCRYPT加密方式的ZIP文件时，其密码验证机制存在一个关键缺陷。当ZIP文件的通用位标志(General Purpose Bit Flag)的第3位被设置时，现有的密码验证逻辑会错误地拒绝有效的密码。

技术细节分析

在标准的ZIP加密规范中，密码验证通常使用CRC校验值来验证解密后的12位盐值的最低有效位(LSB)。然而，Info-Zip规范引入了一种替代验证方法：当通用位标志的第3位被设置时，应该使用文件头修改时间的高位来进行验证，而不是CRC值。

这种替代验证方法最初由Info-Zip规范提出，目前仍被许多较旧的ZIP生成工具使用。包括7-Zip、WinZip和Windows内置压缩工具在内的主流ZIP工具都能正确处理这种验证方式。

问题影响

这个验证逻辑的缺陷会导致以下情况：

1. 使用某些ZIP生成工具(如zlib-ng/minizip-ng)创建的文件无法被正确解密
2. 即使用户输入了完全正确的密码，系统也会错误地拒绝访问
3. 影响所有使用PKCRYPT加密方式且设置了通用位标志第3位的ZIP文件

解决方案

修复方案的核心是：

1. 检测通用位标志的第3位状态
2. 根据该标志位的状态选择适当的验证方法
3. 当第3位被设置时，使用文件头修改时间的高位进行验证
4. 否则，继续使用传统的CRC验证方法

这种修复方式与zip.js等其他流行ZIP处理库的实现一致，确保了与各种ZIP生成工具的兼容性。

总结

这个问题的修复显著提高了ADM-ZIP对使用PKCRYPT加密的ZIP文件的兼容性，特别是对那些遵循Info-Zip规范的旧版ZIP文件。开发者在处理加密ZIP文件时，应确保使用包含此修复的ADM-ZIP版本(0.5.11及以上)，以避免遇到密码验证失败的问题。