EFS

18/07/2008 - 12:44 von Lars Meier | Report spam
Hallo EFS Spezialisten,

ich habe eine Verstàndnisfrage:
- 2003er R2 ADS mit Zertifikatdiensten
- Clients XPP, VistaB
Jeder User fordert brav seine Zertifikate an, es gibt mind. 2
RecoveryAgents.

Frage 1: Wenn der User sein Zertifikat anfordert (und das tut er
unwissentlich, wenn er zuvor auf seinem aktuellen Rechner noch nichts
verschlüsselt hatte und er dies nun tut), so wird ihm ja das ganze
Schlüsselpaar von der CA überreicht.
Verbleibt eine Kopie des privaten Schlüssels bei der CA / vermutlich aber
ADS? Warum frage ich: Weil die Entschlüsselung ja bei Daten auf dem Server
schließlich direkt auch der Server vornimmt. Wie kann er die Daten des users
entschlüsseln, wenn er nicht seinen privaten Schlüssel besàße? Oder
übermittelt der Client ihm den priv. Schlüssel und beauftragt diesen quasi
die Daten zu entschlüsseln (das würde die zwingende Voraussetzung begründen:
Computerkonto für Deligierungszwecke vertrauen)

Ich bin ja fast davon überzeugt, dass letzteres so sein muß, denn, nun zur
Frage 2:
user 1 verschlüsselt von seinem Geràt Nr.1 aus die Daten auf einem
Netzlaufwerk (nennen wir es mal mit Schlüssel Nr.1). Nun meldet er sich an
einen 2. Geràt an. Er verschlüsselt lokal ein paar Dateien. Da er auf diesem
Geràt zum ersten Mal Daten verschlüsselt, fordert er wieder unwissentlich im
Hintergrund von der CA ein neues Zertifikat an (in nenne ihn mal Schlüssel
Nr.2). Jetzt kopiert er die Daten auf ein Netzlaufwerk und öffnet sie von
seinem ersten Geràt wieder. Das funktioniert! Die Daten auf dem Netzlaufwerk
sind mit Schlüssel Nr.2 verschlüsselt, werden von einem anderen Geràt, dass
diesen Schlüssel aber nicht kennt, entschlüsselt. Es geht noch weiter:
user 1 kopiert die Daten vom Netzlaufwerk (die mit Schlüssel Nr.2
verschlüsselt sind) auf sein Geràt Nr. 1 wo nur Schlüssel Nr.1 zur Verfügung
steht. Auch das funktioniert: Die Daten vom Netzlaufwerk werden mit
Schlüssel Nr.2 entschlüsselt und mit Schlüssel Nr.1 auf dem Geràt Nr.1
wieder verschlüsselt. Ich gehe schwer davon auf, dass die Übertragung übers
Netz selbst unverschlüsselt erfolgt.
Auch das funktioniert doch so nur, wenn der priv. Schlüssel prinzipiell in
der CA oder aber im ADS liegen muß und die sogenannte Deligierung
stattfinden muß.

Ist das so korrekt wiedergegeben?

Mit der Zeit wird das zwangslàufig ein Wirrwar an erzeugten Schlüsseln pro
User verursachen. Kann man die Schlüsselerzeugung auf Einen begrenzen, so
dass auf einem Geràt, auf dem der Schlüssel noch nicht vorhanden ist, dieser
zwangsweise importiert werden muß?

Kann jemand Literatur bezüglich EFS (mit / ohne PKI) empfehlen?

Und nun wirklich die letzte Frage:
Kann man in einem Domànennetzwerk auch EFS implementieren ohne PKI, wenn nur
wenige User diese benötigen (dann halt auch mit manuell Schlüssel kopieren,
exportieren, usw,)?



Schon mal tausend Dank für jeden, der diesen langen Text überhaupt liest!
Grüße,
Lars M.
 

Lesen sie die antworten

#1 Jens Klein
24/07/2008 - 00:50 | Warnen spam
Hallo Lars,

1. Die erdrückende Masse der Anworten làsst Dich erahnen, wie oft EFS
produktiv eingesetzt wird...
2. Die ganzen Antwort und das damit verbundene Wissen würden diesen Rahmen
sprengen, daher entweder schön viel lesen und testen (Testumgebung!!)
oder/und Workshop mit EFS-Profi (es gibt nicht viele, weil EFS wegen dieser
Verstàndniss-Startschwierigkeiten wenig eingesetzt wird...).

ich habe eine Verstàndnisfrage:
- 2003er R2 ADS mit Zertifikatdiensten
- Clients XPP, VistaB
Jeder User fordert brav seine Zertifikate an, es gibt mind. 2
RecoveryAgents.

Frage 1: Wenn der User sein Zertifikat anfordert (und das tut er
unwissentlich, wenn er zuvor auf seinem aktuellen Rechner noch nichts
verschlüsselt hatte und er dies nun tut), so wird ihm ja das ganze
Schlüsselpaar von der CA überreicht.



Sicher von der CA? Normal nur von der CA, wenn Du entsprechende Richtlinien
gebaut hast (und dann nicht erst bei EFS-Aktionen), sonst lokal generierte
Certs (und damit mir auf diesem PC vorhanden, daher keine Empfehlung).


Verbleibt eine Kopie des privaten Schlüssels bei der CA / vermutlich aber
ADS? Warum frage ich: Weil die Entschlüsselung ja bei Daten auf dem Server
schließlich direkt auch der Server vornimmt. Wie kann er die Daten des
users entschlüsseln, wenn er nicht seinen privaten Schlüssel besàße? Oder
übermittelt der Client ihm den priv. Schlüssel und beauftragt diesen quasi
die Daten zu entschlüsseln (das würde die zwingende Voraussetzung
begründen: Computerkonto für Deligierungszwecke vertrauen)



genau richtig



Ich bin ja fast davon überzeugt, dass letzteres so sein muß, denn, nun zur
Frage 2:
user 1 verschlüsselt von seinem Geràt Nr.1 aus die Daten auf einem
Netzlaufwerk (nennen wir es mal mit Schlüssel Nr.1). Nun meldet er sich an
einen 2. Geràt an. Er verschlüsselt lokal ein paar Dateien. Da er auf
diesem Geràt zum ersten Mal Daten verschlüsselt, fordert er wieder
unwissentlich im Hintergrund von der CA ein neues Zertifikat an (in nenne
ihn mal Schlüssel Nr.2). Jetzt kopiert er die Daten auf ein Netzlaufwerk
und öffnet sie von seinem ersten Geràt wieder. Das funktioniert! Die Daten
auf dem Netzlaufwerk sind mit Schlüssel Nr.2 verschlüsselt, werden von
einem anderen Geràt, dass diesen Schlüssel aber nicht kennt,
entschlüsselt. Es geht noch weiter:
user 1 kopiert die Daten vom Netzlaufwerk (die mit Schlüssel Nr.2
verschlüsselt sind) auf sein Geràt Nr. 1 wo nur Schlüssel Nr.1 zur
Verfügung steht. Auch das funktioniert: Die Daten vom Netzlaufwerk werden
mit Schlüssel Nr.2 entschlüsselt und mit Schlüssel Nr.1 auf dem Geràt Nr.1
wieder verschlüsselt. Ich gehe schwer davon auf, dass die Übertragung
übers Netz selbst unverschlüsselt erfolgt.



auch richtig, EFS hat nichts mit Übertragungssicherheit zutun. Dafür gibt es
IPSec.


Auch das funktioniert doch so nur, wenn der priv. Schlüssel prinzipiell in
der CA oder aber im ADS liegen muß und die sogenannte Deligierung
stattfinden muß.

Ist das so korrekt wiedergegeben?



schon ganz gut :-)



Mit der Zeit wird das zwangslàufig ein Wirrwar an erzeugten Schlüsseln pro
User verursachen.



Je nach Umgebungsgröße soviele Certs, das die Zertifikatsverwaltung kaum
noch bedienbar wird (Lösung siehe unten).


Kann man die Schlüsselerzeugung auf Einen begrenzen, so dass auf einem
Geràt, auf dem der Schlüssel noch nicht vorhanden ist, dieser zwangsweise
importiert werden muß?



ja, ist vorallendingen in größeren Umgebungen sehr sinnvoll und hört auf den
Namen credential roaming.
http://technet2.microsoft.com/windo...x?mfr=true
http://technet2.microsoft.com/windo...x?mfr=true
Erfordert SP2



Kann jemand Literatur bezüglich EFS (mit / ohne PKI) empfehlen?


Technet
http://technet2.microsoft.com/windo...x?mfr=true
http://technet2.microsoft.com/windo...x?mfr=true
http://technet2.microsoft.com/windo...x?mfr=true


Und nun wirklich die letzte Frage:
Kann man in einem Domànennetzwerk auch EFS implementieren ohne PKI, wenn
nur wenige User diese benötigen (dann halt auch mit manuell Schlüssel
kopieren, exportieren, usw,)?



Wahrscheinlich nicht, ich habe es aber, weil nur in mini-Umgebung machbar,
nicht vollstàndig in allen Varianten gestestet...




Schon mal tausend Dank für jeden, der diesen langen Text überhaupt liest!



Ach, gerne , hatte gerade nichts zutun... ;-)

Grüße,
Jens

Ähnliche fragen