Dateiverschlüsselung - Zertifikate

Schnell, bevor die NG abgeschaltet wird :-)

Umgebung:

Server: Windows Server 2003 R2 mit funktionsfähiger Zertifizierungsstelle
Arbeitsstationen: Windows 7, Windows Vista und Windows XP

Ich möchte auf einer Arbeitsstation ein Verzeichnis und die sich darin
befindlichen Dateien verschlüsseln. Das geht auch, aber einige Punkte sind
mir nicht klar:

1. Zertifikat auswählen
Ich Verfüge über mehrere Benutzerzertifikate - von Fremdnetzwerken
ausgestellt -, die ich für die VPN-Einwahl in unterschiedliche Netzwerke
nutze. Wenn ich mir die Dateieigenschaften einer verschlüsselten Datei
anschaue, sehe ich, dass Windows das erste passende Zertifikat für die
Verschlüsselung verwendet hat. Dieses möchte ich aber nicht benutzen,
sondern selbst eines ausstellen. Wie geht das?

2. Ablauf des Zertifikates
Wie im vorigen Punkt erwähnt, hat Windows irgend ein Zertifikat genommen.
Dieses ist jedoch nur bis November 2010, also nur noch wenige Monate gültig.
Was passiert mit den verschlüsselten Dateien, wenn ein Zertifikat abläuft?

Im Voraus schönen Dank!

--
René

Hallo,

René schrieb:
> 1. Zertifikat auswählen
> Ich Verfüge über mehrere Benutzerzertifikate - von Fremdnetzwerken
> ausgestellt -, die ich für die VPN-Einwahl in unterschiedliche Netzwerke
> nutze. Wenn ich mir die Dateieigenschaften einer verschlüsselten Datei
> anschaue, sehe ich, dass Windows das erste passende Zertifikat für die
> Verschlüsselung verwendet hat. Dieses möchte ich aber nicht benutzen,
> sondern selbst eines ausstellen. Wie geht das?

Sind die Rechner in einer Domäne? Dann kannst Du per GPO erzwingen, dass
jedes Domänenmitglied ein Zertifikat nach Deinen Vorgaben erhält und auch
die automatische Erneuerung sicherstellen.

Alternativ kannst Du jederzeit über den Zertifikatsserver manuell
Zertifikate erstellen, die Du anschließend manuell installierst.


> 2. Ablauf des Zertifikates
> Wie im vorigen Punkt erwähnt, hat Windows irgend ein Zertifikat genommen.
> Dieses ist jedoch nur bis November 2010, also nur noch wenige Monate gültig.
> Was passiert mit den verschlüsselten Dateien, wenn ein Zertifikat abläuft?

Ein Zertifikat läuft nicht ab. Die schlechte Übersetzung mag hier zu
Verwirrungen führen. Auf englischen Systemen heißt es "Valid until".
Dieses Datum soll Clients mitteilen, dass sie dieses Zertifikat nach diesem
Datum nicht mehr als gültig anerkennen.

Das besagt aber nicht, dass das Zertifikat fortan nicht mehr verwendbar ist
und alles damit verschlüsselte bspw. verloren ist.

Also in Kürze:
Auch nach Ablauf des Zertifikats wird man mit dem privaten Schlüssel diese
Dateien entschlüsseln können.


--
Grüße
Thomas

"Thomas D." <dnr@discussions.microsoft.com> schrieb im Newsbeitrag
news:180510.113755.m.p.d.w.v.d.33@40tude.net...
> Hallo,
>
> René schrieb:
>> 1. Zertifikat auswählen
>> [...]
>
> Sind die Rechner in einer Domäne? Dann kannst Du per GPO erzwingen, dass
> jedes Domänenmitglied ein Zertifikat nach Deinen Vorgaben erhält und auch
> die automatische Erneuerung sicherstellen.

Ja, die Rechner sind in einer Domäne. Aber welche Policies sind dafür
notwendig? Kannst du mir auf die Sprünge helfen?

>
> Alternativ kannst Du jederzeit über den Zertifikatsserver manuell
> Zertifikate erstellen, die Du anschließend manuell installierst.

Das ist nicht das Problem. Das Problem ist, dass irgend ein installiertes
Zertifikat dafür genommen wird. Ich habe zwecks VPN-Einwahl in
Kundennetzwerke viele "Kunden"-Zertifikate (von den Zertifizierungsstellen
der Kunden ausgestellt) und es wird willkürlich eines davon für die
Verschlüsselung genommen.

>
>> 2. Ablauf des Zertifikates
>> [...]
>
> Ein Zertifikat läuft nicht ab. Die schlechte Übersetzung mag hier zu
> Verwirrungen führen. Auf englischen Systemen heißt es "Valid until".
> Dieses Datum soll Clients mitteilen, dass sie dieses Zertifikat nach
> diesem
> Datum nicht mehr als gültig anerkennen.

Danke für den Hinweis! Aber das gilt nur für die Verschlüsselung, oder? Bei
den Zertifikaten für VPN-Einwahl ist das nicht der Fall. Wenn diese
ablaufen, wird die Einwahl verweigert.

>
> Das besagt aber nicht, dass das Zertifikat fortan nicht mehr verwendbar
> ist
> und alles damit verschlüsselte bspw. verloren ist.

OK. S. o.

>
> Also in Kürze:
> Auch nach Ablauf des Zertifikats wird man mit dem privaten Schlüssel diese
> Dateien entschlüsseln können.

Nochmals vielen Dank!

--
René

Hallo,

René schrieb:
>> Sind die Rechner in einer Domäne? Dann kannst Du per GPO erzwingen, dass
>> jedes Domänenmitglied ein Zertifikat nach Deinen Vorgaben erhält und auch
>> die automatische Erneuerung sicherstellen.
>
> Ja, die Rechner sind in einer Domäne. Aber welche Policies sind dafür
> notwendig? Kannst du mir auf die Sprünge helfen?

Dein Stichwortet lautet "Automatic Certificate Enrollment":
<http://technet.microsoft.com/en-us/library/cc770546.aspx>


>> Alternativ kannst Du jederzeit über den Zertifikatsserver manuell
>> Zertifikate erstellen, die Du anschließend manuell installierst.
>
> Das ist nicht das Problem. Das Problem ist, dass irgend ein installiertes
> Zertifikat dafür genommen wird. Ich habe zwecks VPN-Einwahl in
> Kundennetzwerke viele "Kunden"-Zertifikate (von den Zertifizierungsstellen
> der Kunden ausgestellt) und es wird willkürlich eines davon für die
> Verschlüsselung genommen.

Meines Wissens wechselt der Client die Zertifikate nicht.
Das bei der ersten Verwendung passende Zertifikat wird als
"Standard"-Zertifikat eingestellt und bleibt es auch - selbst wenn es ein
"besseres" gibt.

Dieses musst Du daher ggf. ändern, sofern EFS erst später ausgerollt wurde.
Siehe:
<http://technet.microsoft.com/en-us/library/bb457065.aspx>

und

<http://technet.microsoft.com/en-us/library/cc736602(WS.10).aspx>

Wenn Du nun Zertifikate ausrollst, solltest Du dies aber auch per GPO
festlegen können. Wo genau, steht imho in den Links drinnen.


>> Ein Zertifikat läuft nicht ab. Die schlechte Übersetzung mag hier zu
>> Verwirrungen führen. Auf englischen Systemen heißt es "Valid until".
>> Dieses Datum soll Clients mitteilen, dass sie dieses Zertifikat nach
>> diesem Datum nicht mehr als gültig anerkennen.
>
> Danke für den Hinweis! Aber das gilt nur für die Verschlüsselung, oder? Bei
> den Zertifikaten für VPN-Einwahl ist das nicht der Fall. Wenn diese
> ablaufen, wird die Einwahl verweigert.

Jede Anwendung die ein Zertifikat verwendet, sollte es nur solange
verwenden, wie es "gültig" ist. Sobald es "abgelaufen" ist, sollte jede
Anwendung die Verwendung blockieren (bei VPN wird die Einwahl scheitern,
bei EFS können keine neuen Dateien mehr verschlüsselt werden, bei
SSL-Verbindungen wird zurück gewiesen...).

Alle jemals mit diesem Zertifikat autorisieren Vorgänge verlieren bei
Ablauf (und übrigens auch beim Widerruf) aber nicht ihre Autorisierung.
Sprich eine Mittels PKI unterzeichnet E-Mail lässt sich weiterhin lesen und
validieren, gleiches gilt für signierte Dokumente oder Dateien.
Verschlüsselte Dateien lassen sich selbstverständlich noch entschlüsseln...

Das alles wird über den in der Signatur eingebetteten Zeitstempel
realisiert. An Hand dieser Zeit wird überprüft, ob zu diesem Zeitpunkt das
benutzte Zertifikat überhaupt noch gültig war.

Kleiner Hinweis am Rande: Der Zeitstempel ist lokal, d.h. hier wird kein
offizieller Zeitgeber kontaktiert. Eine Schwachstelle. Deswegen muss
oftmals sichergestellt werden, dass Signaturen nur Mittels zertifizierten
Geräten erzeugt werden, denn diese erhalten ihre Zulassung bspw. nur dann,
wenn sie vorher eine Echtzeitüberprüfung durchgeführt haben.
Selbstverständlich kann man natürlich einen Zeitstempel eines offiziellen
Zeitservers einbinden. Dieser bestätigt dann lediglich, dass zum Zeitpunkt
X eine Datei Y existiert hat. Aber wir entfernen uns vom Thema ;-)


--
Grüße
Thomas