EFS

23/07/2008 - 19:10 von Lars Meier | Report spam
Hallo EFS Spezialisten,

ich poste nochmal hier, da unter Active_Directory mir leider niemand
weiterhelfen konnte... .

ich habe eine Verstàndnisfrage:
- 2003er R2 ADS mit Zertifikatdiensten
- Clients XPP, VistaB
Jeder User fordert brav seine Zertifikate an, es gibt mind. 2
RecoveryAgents.

Frage 1: Wenn der User sein Zertifikat anfordert (und das tut er
unwissentlich, wenn er zuvor auf seinem aktuellen Rechner noch nichts
verschlüsselt hatte und er dies nun tut), so wird ihm ja das ganze
Schlüsselpaar von der CA überreicht.
Verbleibt eine Kopie des privaten Schlüssels bei der CA / vermutlich aber
ADS? Warum frage ich: Weil die Entschlüsselung ja bei Daten auf dem Server
schließlich direkt auch der Server vornimmt. Wie kann er die Daten des users
entschlüsseln, wenn er nicht seinen privaten Schlüssel besàße? Oder
übermittelt der Client ihm den priv. Schlüssel und beauftragt diesen quasi
die Daten zu entschlüsseln (das würde die zwingende Voraussetzung begründen:
Computerkonto für Deligierungszwecke vertrauen)

Ich bin ja fast davon überzeugt, dass letzteres so sein muß, denn, nun zur
Frage 2:
user 1 verschlüsselt von seinem Geràt Nr.1 aus die Daten auf einem
Netzlaufwerk (nennen wir es mal mit Schlüssel Nr.1). Nun meldet er sich an
einen 2. Geràt an. Er verschlüsselt lokal ein paar Dateien. Da er auf diesem
Geràt zum ersten Mal Daten verschlüsselt, fordert er wieder unwissentlich im
Hintergrund von der CA ein neues Zertifikat an (in nenne ihn mal Schlüssel
Nr.2). Jetzt kopiert er die Daten auf ein Netzlaufwerk und öffnet sie von
seinem ersten Geràt wieder. Das funktioniert! Die Daten auf dem Netzlaufwerk
sind mit Schlüssel Nr.2 verschlüsselt, werden von einem anderen Geràt, dass
diesen Schlüssel aber nicht kennt, entschlüsselt. Es geht noch weiter:
user 1 kopiert die Daten vom Netzlaufwerk (die mit Schlüssel Nr.2
verschlüsselt sind) auf sein Geràt Nr. 1 wo nur Schlüssel Nr.1 zur Verfügung
steht. Auch das funktioniert: Die Daten vom Netzlaufwerk werden mit
Schlüssel Nr.2 entschlüsselt und mit Schlüssel Nr.1 auf dem Geràt Nr.1
wieder verschlüsselt. Ich gehe schwer davon auf, dass die Übertragung übers
Netz selbst unverschlüsselt erfolgt.
Auch das funktioniert doch so nur, wenn der priv. Schlüssel prinzipiell in
der CA oder aber im ADS liegen muß und die sogenannte Deligierung
stattfinden muß.

Ist das so korrekt wiedergegeben?

Mit der Zeit wird das zwangslàufig ein Wirrwar an erzeugten Schlüsseln pro
User verursachen. Kann man die Schlüsselerzeugung auf Einen begrenzen, so
dass auf einem Geràt, auf dem der Schlüssel noch nicht vorhanden ist, dieser
zwangsweise importiert werden muß?

Kann jemand Literatur bezüglich EFS (mit / ohne PKI) empfehlen?

Und nun wirklich die letzte Frage:
Kann man in einem Domànennetzwerk auch EFS implementieren ohne PKI, wenn nur
wenige User diese benötigen (dann halt auch mit manuell Schlüssel kopieren,
exportieren, usw,)?



Schon mal tausend Dank für jeden, der diesen langen Text überhaupt liest!
Grüße,
Lars M.
 

Lesen sie die antworten

#1 Carsten Krueger
23/07/2008 - 19:33 | Warnen spam
Am Wed, 23 Jul 2008 19:10:58 +0200 schrieb Lars Meier:

Warum frage ich: Weil die Entschlüsselung ja bei Daten auf dem Server
schließlich direkt auch der Server vornimmt.



Bist du dir sicher, daß er das tut?

Wie kann er die Daten des users
entschlüsseln, wenn er nicht seinen privaten Schlüssel besàße?



Der Client könnte im nur den File Encryption Key senden.
Der private Schlüssel (der alle Dateien öffnen kann) könnte privat bleiben.

user 1 verschlüsselt von seinem Geràt Nr.1 aus die Daten auf einem
Netzlaufwerk (nennen wir es mal mit Schlüssel Nr.1). Nun meldet er sich an
einen 2. Geràt an. Er verschlüsselt lokal ein paar Dateien. Da er auf diesem
Geràt zum ersten Mal Daten verschlüsselt, fordert er wieder unwissentlich im
Hintergrund von der CA ein neues Zertifikat an (in nenne ihn mal Schlüssel



Er fordert was an?

Jeder Benutzer sollte exakt einen Schlüsselpaar haben (public/private) und
für jede Datei existiert ein eigener FEK.

Gruß Carsten
ID = 0x2BFBF5D8 FP = 53CA 1609 B00A D2DB A066 314C 6493 69AB 2BFB F5D8
http://www.realname-diskussion.info - Realnames sind keine Pflicht
http://www.spamgourmet.com/ + http://www.temporaryinbox.com/ - Antispam
cakruege (at) gmail (dot) com | http://www.geocities.com/mungfaq/

Ähnliche fragen