CityCat4

Могу предположить, что rarlab - сайт Рошаля, а win-rar - это сайт конторы. rarlab появился раньше и оснований его девать куда-то видимо нет :)

2) шифровать имена файлов внутри архива?

обязательно. Без этой опции оглавление архива (имена, даты создания, размер!) - можно увидеть даже не зная пароля. Разумеется, если в архиве файлы 1.txt, 2.txt, 3.txt - особо много не понять, что это, но многие ли вот так переименовывают специально в фигню?

Если rar был современный, то все... Старые версии (десяти например летней давности может быть какой-то шанс). Когда говорят про взлом паролей, я всегда вспоминаю такой момент:

В те времена, когда вместо тырнета были BBS, говорят в г. Новосибирске была такая Granch BBS и у нее в факе был такой вопрос:
Q: Я перепил и забыл свой пароль
A: Попробуйте перепить еще раз и вспомнить его

Сбрутить такой пароль нереально :)

Если брать последнюю версию, то AES256 - такое же как в вирусах-шифровальщиках :) Пароль 20+ символов на полном наборе ([A-Za-z0-9] и спецсимволы) даст достаточную стойкость. Но здесь как всегда - если эти данные реально понадобятся например г-ну Закону, то применят терморектальный криптоанализ, который вскрывает пароли любой сложности :)

UPD: Если это данные, которые не устаревают со временем - например чьи-то неприличные фотки - лучше сделать два-три уровня шифрования, потому что такие данные и через 50 лет не устареют, а берется крайний случай - что все эти 50 лет пароль непрерывно подбирается...