Fragen zur Verschlüsselung

03/11/2008 - 22:14 von Lina Rudin | Report spam
Hallo

vor einigen Jahren hatte ich einige Daten per EFS unter Win2000
verschlüsselt.

Diese Dateien liegen auf CDs vor, und da als *.bkf, also als BackUp-
Files des BackUp-Tools von Win2000 (weitgehend unveràndert geblieben
in XP).

Ich habe auch das NtRestore-Dingens, um genau diese Dateien wieder
aufzumachen (und notfalls noch ne Kopie des ntBackUp dank eines Tipps
vom vistablog.at)...

Nun meine Fragen:
1) Wenn ich die bkf-Files öffne und wiederherstelle, dann müssten
diese doch auf der Platte im verschlüsselten Zustand landen. Ist
irgendwie zu erwarten, dass es zu problemen kommt?

2) Als ich früher, unter XP, die Dateien öffnen wollte, hatte ich
unerwartet das Problem, dass die verschlüsselten Dateien nicht
entschlüsselbar waren, trotz des von der Sicherung importieten Keys.
Sehe ich das richtig, dass ich demnach von mehreren Keys genau das
falsche Zertifikat importiert hatte? (Sonst müsste es ja klappen?)

3) Wo sollte man sinnvollerweise sein Zertifikat aufbewahren? Ist das
Zertifikat im Useraccount von Windows nicht unverschlüsselt (dh wer
meinen PC klaut, könnte quasi mit einem Tool das ADmin-PW zurück
setzen, dann das des Users und holt sich dann das Zertifikat, oder
nicht? Ok beim Rücksetzen durch den Admin werden die Zertifikate
zerstört. Aber irgendwie ist das sicher extrahierbar, wenn es
unverschklüsselt gespeichert ist?)

Also das Zertifikat muss an einem zentralen Ort gespeichert sein, oder
zumindest so, dass ich es wieder in den PC kriege, falls es aus
Verehen geschrottet wurde.
Andererseits kann ich es nicht auf einer externen Platte, wo ich meine
Datensichere, einfach unverschlüsselt drauf speichern, oder?

Wie sollte man da vorgehen?

4) Falls ich das korrekte damalige Zertifikat von Win2000 wiederfinde,
mit dem ich noch einige Dateien verschlüsselt hatte:
Könnte ich mit diesem auch wieder Dateien verschlüsseln unter Vista
oder gàbe es ein Kompatibiltàtsproblem?




Eure Lina
 

Lesen sie die antworten

#1 Thomas D.
04/11/2008 - 19:57 | Warnen spam
Hallo,

1) Wenn ich die bkf-Files öffne und wiederherstelle, dann müssten
diese doch auf der Platte im verschlüsselten Zustand landen. Ist
irgendwie zu erwarten, dass es zu problemen kommt?



Nein.


2) Als ich früher, unter XP, die Dateien öffnen wollte, hatte ich
unerwartet das Problem, dass die verschlüsselten Dateien nicht
entschlüsselbar waren, trotz des von der Sicherung importieten Keys.
Sehe ich das richtig, dass ich demnach von mehreren Keys genau das
falsche Zertifikat importiert hatte? (Sonst müsste es ja klappen?)



So wird es gewesen sein.
Wenn das passende EFS-Zertifikat vorhanden ist, sollte es klappen.


3) Wo sollte man sinnvollerweise sein Zertifikat aufbewahren? Ist das
Zertifikat im Useraccount von Windows nicht unverschlüsselt (dh wer
meinen PC klaut, könnte quasi mit einem Tool das ADmin-PW zurück setzen,
dann das des Users und holt sich dann das Zertifikat, oder nicht? Ok
beim Rücksetzen durch den Admin werden die Zertifikate zerstört. Aber
irgendwie ist das sicher extrahierbar, wenn es unverschklüsselt
gespeichert ist?)



Der Zertifikatsspeicher von Windows ist ausreichend geschützt.
Da ist nichts "extrahierbar".

Sofern Dein gewàhltes Benutzerkennwort sicher ist, ist damit auch das
EFS-Zertifikat "sicher".

Was bei Neusetzung eines Kennworts durch den Administrator geschieht, hast
Du ja bereits selber richtig zusammen gefasst.


Also das Zertifikat muss an einem zentralen Ort gespeichert sein, oder
zumindest so, dass ich es wieder in den PC kriege, falls es aus
Verehen geschrottet wurde.
Andererseits kann ich es nicht auf einer externen Platte, wo ich meine
Datensichere, einfach unverschlüsselt drauf speichern, oder?



Das Zertifikat kannst Du grundsàtzlich exportiert speichern, wo Du
möchtest. Dir sollte eben bewusst sein, dass der im Besitz dieses
Zertifikats ist, auch Zugriff auf Deine verschlüsselten Daten hàtte, sofern
er auch auf diese Zugriff hàtte.

Somit wàre es in meinen Augen nur bedingt klug, das Zertifikat auf dem
gleichen Backup-Medium zu speichern. Bedingt daher, weil Du exportierte
Zertifikate ja zusàtzlich noch schützen könntest (beim Export kannst Du ein
Kennwort setzen; in ein verschlüsseltes Archiv packen; mit PGP/GPG
verschlüsseln).


Wie sollte man da vorgehen?



Ich würde Daten und Schlüssel nicht zusammen ablegen.
Eine physikalische Trennung erhöht die Sicherheit.


4) Falls ich das korrekte damalige Zertifikat von Win2000 wiederfinde,
mit dem ich noch einige Dateien verschlüsselt hatte: Könnte ich mit
diesem auch wieder Dateien verschlüsseln unter Vista oder gàbe es ein
Kompatibiltàtsproblem?



Jaein - das ist grundsàtzlich möglich, aber recht kompliziert:
Sobald Du erstmals eine Datei verschlüsseln hast lassen, prüft Windows, ob
ein EFS-Zertifikat vorhanden ist, welches den Ansprüchen genügt bzw.
erstellt eines. Dieses wird fortan genommen.

Erst wenn das Zertifikat abgelaufen ist bzw. die Richtilinien die Nutzung
verbieten, beginnt Windows erneut zu suchen. Dabei wird wieder das erste,
nutzbare Zertifikat, genommen.

Schau Dir diesbezüglich mal den "EFS Certificate Configuration Updater" [1]
an. Der erklàrt die Arbeitsweise von EFS und Probleme bei Wiederherstellung
genau.

Und noch eine allgemein Anmerkung: Heutige EFS Zertifikate sind imho
"stàrker" als die von Windows 2000.



P.s.: Hast Du Dir die Frage, ob EFS das richtige für Deinen Anwendungszweck
ist, eigentlich schon ausführlich gestellt? Eventuell sind
Container-Lösungen wie sie mit TrueCrypt [2] realisiert werden können
besser geeignet.
Als kommerzielle Enterprise-Lösung fàllt mir noch PGP NetShare [3] ein.


Siehe auch:
=[1] http://www.codeplex.com/EFSCertUpdater
[2] http://www.truecrypt.org
[3] http://www.pgp.com/products/netshare


Grüße,
Thomas

Ähnliche fragen