Sowohl das RAR- als auch das ZIP-Format unterstützen Verschlüsselung. Um Dateien zu verschlüsseln, müssen Sie vor dem Archivieren oder direkt im Dialog "Archivname und Archivparameter einstellen" ein Passwort angeben. Von der Kommandozeile gibt man das Passwort mit dem Schalter -p[Pwt] an. In der WinRAR-Benutzeroberfläche geben Sie ein Passwort ein, indem Sie Strg+P drücken, den Befehl "Standardpasswort setzen" im Menü "Datei" wählen oder auf das kleine Schlüsselsymbol in der unteren linken Ecke des WinRAR-Fensters klicken. Um ein Passwort im Dialog "Archivname und Archivparameter einstellen" einzugeben, klicken Sie auf "Passwort festlegen…" im Karteireiter "Erweitert".
Im Gegensatz zum ZIP-Format erlaubt das RAR-Format nicht nur, die Daten in den Dateien zu verschlüsseln, sondern auch andere sicherheitskritische Archivbereiche: Dateinamen, Dateigrößen, Dateiattribute, Dateikommentare und andere Datenblöcke. Wenn Sie dies möchten, müssen Sie die Option "Dateinamen verschlüsseln" im Dialog "Standardpasswort eingeben" aktivieren, oder in der Kommandozeilenmodus den Schalter -hp[Pwt] anstelle des Schalters -p[Pwt] benutzen. Ohne ein Passwort ist es in derartig verschlüsselten Archiven unmöglich, selbst die Dateiliste anzuschauen.
Solide RAR-Archive und Archive mit verschlüsselten Dateinamen können nur ein und dasselbe Passwort für alle archivierten Dateien haben. Dagegen können Dateien in nicht-soliden RAR-Archiven ohne Verschlüsselung der Dateinamen und Dateien in ZIP-Archiven mit unterschiedlichen Passwörtern verschlüsselt sein.
Vergessen Sie bitte nicht, ein eingegebenes Passwort zu entfernen, wenn es nicht weiter benötigt wird. Sonst könnte es passieren, dass Sie versehentlich Dateien mit diesem Passwort verschlüsseln, ohne dass Sie es wünschen. Um ein Passwort zu entfernen, geben Sie nichts anstelle des Passworts ein oder schließen Sie WinRAR und starten es erneut. Solange ein Passwort existiert, ist die Farbe des Schlüsselsymbols unten links rot, ansonsten ist es gelb. Außerdem blinkt der Titel des Dialogs "Archivname und Archivparameter einstellen" zweimal auf, wenn eine Archivoperation mit einem Passwort begonnen wird.
Haben Sie die Option "Für alle Archive verwenden" im Passwort-Dialog aktiviert und gleichzeitig eine leere Zeichenkette als Passwort angegeben, werden bei den Befehlen zum Entpacken und Testen von Archiven alle verschlüsselten Archive und alle verschlüsselten Archivdateien übersprungen. In diesem Modus wird in der WinRAR-Statuszeile das Symbol "Schlüssel" nicht angezeigt.
Sie brauchen das Passwort nicht zu entfernen, wenn Sie es direkt im Dialog "Archivname und Archivparameter einstellen" eingegeben haben. Im Gegensatz zur anderen Eingabemethode ist dies Passwort nur für diese Archivoperation gültig und wird nach Beendigung des Vorgangs automatisch gelöscht.
Wenn verschlüsselte Dateien entpackt werden sollen, ist es nicht notwendig, das Passwort vor dem Beginn des Entpackvorgangs einzugeben, obwohl man das auch tun kann. Wenn man kein Passwort vorher eingegeben hat, und WinRAR stößt auf eine verschlüsselte Datei, so wird der Benutzer nach dem Passwort gefragt.
RAR-5.0-Archive werden durch AES-256 im CBC-Modus verschlüsselt. Bei RAR-4.x-Archiven kommt AES-128 im CBC-Modus zum Einsatz. Die RAR-5.0-Schlüsselberechnungsfunktion basiert auf PBKDF2 unter Verwendung von HMAC-SHA256.
Bei ZIP-Archiven wird standardmäßig der AES-256-Algorithmus im CTR-Modus verwendet. Die damit erstellten verschlüsselten Archive können jedoch inkompatibel zu einigen älteren Unzip-Tools sein. Um die bisherige ZIP-Verschlüsselung zu verwenden, aktivieren Sie die Option "Alte ZIP-2.0-Verschlüsselung" im Dialog "Passwort eingeben". Der alte ZIP-2.0-Verschlüsselungsalgorithmus bietet eine weitaus geringere Sicherheit als AES, die Kompatibilität zu älterer Software ist jedoch besser.
Auch wenn WinRAR die Verwendung von AES-256 sowohl beim RAR- als auch beim ZIP-Format erlaubt, machen die in RAR gewählten Schlüsselberechnungsfunktionsparameter die RAR-Verschlüsselungsimplementierung möglicherweise widerstandsfähiger gegen Brute-Force-Angriffe. Außerdem ermöglicht das RAR-Format die Verschlüsselung von Dateinamen und weiterer Dateieigenschaften. Wenn Sie wichtige Informationen verschlüsseln wollen, empfiehlt sich die Verwendung des RAR-Formats. Um ausreichende Sicherheit zu gewährleisten, sollten Sie Passwörter mit einer Länge von mindestens 8 Zeichen verwenden. Benutzen Sie auf keinen Fall Wörter irgendeiner Sprache; es ist besser, eine zufällige Kombination von Zeichen und Ziffern zu wählen. Beachten Sie, dass bei Passwörtern zwischen Groß- und Kleinschreibung unterschieden wird. Die maximale Länge des Passworts beträgt 127 Zeichen. Längere Passwörter werden nach 127 Zeichen abgeschnitten und somit gekürzt.
Ist die Option "Dateinamen verschlüsseln" deaktiviert, werden die Dateiprüfsummen in verschlüsselten RAR-5.0-Archiven durch einen speziellen Algorithmus verändert, der vom eingegebenen Passwort abhängt. Das ist wichtig, da sonst mit Hilfe der Prüfsumme ein Rückschluss auf den Dateiinhalt möglich ist, ohne das Passwort zu kennen. Dieses Risiko ist besonders hoch bei kleinen Dateien oder bei der Verwendung von BLAKE2-Dateiprüfsummen. Die Prüfsummen von verschlüsselten RAR-5.0-Archiven stimmen daher nicht mit echten CRC32- oder BLAKE2-Hashwerten überein. Ist die Option "Dateinamen verschlüsseln" aktiviert, werden die Prüfsummen ohne Änderung gespeichert, denn darauf kann nur zugegriffen werden, wenn ein gültiges Passwort angegeben wurde.
Denken Sie daran, dass es unmöglich ist, verschlüsselte Dateien ohne das Passwort wieder zu entpacken. Nicht einmal der Autor von WinRAR ist in der Lage, verschlüsselte Dateien zu entpacken.