Microsoft Windows Vista Community Forums - Vistaheads
Recommended Download



Welcome to the Microsoft Windows Vista Community Forums - Vistaheads, YOUR Largest Resource for Windows Vista related information.

You are currently viewing our boards as a guest which gives you limited access to view most discussions and access our other features. By joining our free community you will have access to post topics, communicate privately with other members (PM), respond to polls, upload content and access many other special features. Registration is fast, simple and absolutely free so , join our community today!

If you have any problems with the registration process or your account login, please contact us.

Driver Scanner

Dateiverschlüsselung - Zertifikate

microsoft.public.de.windows.vista.dateisystem






Speedup My PC
Reply
  #1 (permalink)  
Old 05-17-2010
René
 

Posts: n/a
Dateiverschlüsselung - Zertifikate
Schnell, bevor die NG abgeschaltet wird :-)

Umgebung:

Server: Windows Server 2003 R2 mit funktionsfähiger Zertifizierungsstelle
Arbeitsstationen: Windows 7, Windows Vista und Windows XP

Ich möchte auf einer Arbeitsstation ein Verzeichnis und die sich darin
befindlichen Dateien verschlüsseln. Das geht auch, aber einige Punkte sind
mir nicht klar:

1. Zertifikat auswählen
Ich Verfüge über mehrere Benutzerzertifikate - von Fremdnetzwerken
ausgestellt -, die ich für die VPN-Einwahl in unterschiedliche Netzwerke
nutze. Wenn ich mir die Dateieigenschaften einer verschlüsselten Datei
anschaue, sehe ich, dass Windows das erste passende Zertifikat für die
Verschlüsselung verwendet hat. Dieses möchte ich aber nicht benutzen,
sondern selbst eines ausstellen. Wie geht das?

2. Ablauf des Zertifikates
Wie im vorigen Punkt erwähnt, hat Windows irgend ein Zertifikat genommen.
Dieses ist jedoch nur bis November 2010, also nur noch wenige Monate gültig.
Was passiert mit den verschlüsselten Dateien, wenn ein Zertifikat abläuft?

Im Voraus schönen Dank!

--
René

Reply With Quote
Sponsored Links
  #2 (permalink)  
Old 05-18-2010
Thomas D.
 

Posts: n/a
Re: Dateiverschlüsselung - Zertifikate
Hallo,

René schrieb:
> 1. Zertifikat auswählen
> Ich Verfüge über mehrere Benutzerzertifikate - von Fremdnetzwerken
> ausgestellt -, die ich für die VPN-Einwahl in unterschiedliche Netzwerke
> nutze. Wenn ich mir die Dateieigenschaften einer verschlüsselten Datei
> anschaue, sehe ich, dass Windows das erste passende Zertifikat für die
> Verschlüsselung verwendet hat. Dieses möchte ich aber nicht benutzen,
> sondern selbst eines ausstellen. Wie geht das?


Sind die Rechner in einer Domäne? Dann kannst Du per GPO erzwingen, dass
jedes Domänenmitglied ein Zertifikat nach Deinen Vorgaben erhält und auch
die automatische Erneuerung sicherstellen.

Alternativ kannst Du jederzeit über den Zertifikatsserver manuell
Zertifikate erstellen, die Du anschließend manuell installierst.


> 2. Ablauf des Zertifikates
> Wie im vorigen Punkt erwähnt, hat Windows irgend ein Zertifikat genommen.
> Dieses ist jedoch nur bis November 2010, also nur noch wenige Monate gültig.
> Was passiert mit den verschlüsselten Dateien, wenn ein Zertifikat abläuft?


Ein Zertifikat läuft nicht ab. Die schlechte Übersetzung mag hier zu
Verwirrungen führen. Auf englischen Systemen heißt es "Valid until".
Dieses Datum soll Clients mitteilen, dass sie dieses Zertifikat nach diesem
Datum nicht mehr als gültig anerkennen.

Das besagt aber nicht, dass das Zertifikat fortan nicht mehr verwendbar ist
und alles damit verschlüsselte bspw. verloren ist.

Also in Kürze:
Auch nach Ablauf des Zertifikats wird man mit dem privaten Schlüssel diese
Dateien entschlüsseln können.


--
Grüße
Thomas
Reply With Quote
  #3 (permalink)  
Old 05-19-2010
René
 

Posts: n/a
Re: Dateiverschlüsselung - Zertifikate
"Thomas D." <dnr@discussions.microsoft.com> schrieb im Newsbeitrag
news:180510.113755.m.p.d.w.v.d.33@40tude.net...
> Hallo,
>
> René schrieb:
>> 1. Zertifikat auswählen
>> [...]

>
> Sind die Rechner in einer Domäne? Dann kannst Du per GPO erzwingen, dass
> jedes Domänenmitglied ein Zertifikat nach Deinen Vorgaben erhält und auch
> die automatische Erneuerung sicherstellen.


Ja, die Rechner sind in einer Domäne. Aber welche Policies sind dafür
notwendig? Kannst du mir auf die Sprünge helfen?

>
> Alternativ kannst Du jederzeit über den Zertifikatsserver manuell
> Zertifikate erstellen, die Du anschließend manuell installierst.


Das ist nicht das Problem. Das Problem ist, dass irgend ein installiertes
Zertifikat dafür genommen wird. Ich habe zwecks VPN-Einwahl in
Kundennetzwerke viele "Kunden"-Zertifikate (von den Zertifizierungsstellen
der Kunden ausgestellt) und es wird willkürlich eines davon für die
Verschlüsselung genommen.

>
>> 2. Ablauf des Zertifikates
>> [...]

>
> Ein Zertifikat läuft nicht ab. Die schlechte Übersetzung mag hier zu
> Verwirrungen führen. Auf englischen Systemen heißt es "Valid until".
> Dieses Datum soll Clients mitteilen, dass sie dieses Zertifikat nach
> diesem
> Datum nicht mehr als gültig anerkennen.


Danke für den Hinweis! Aber das gilt nur für die Verschlüsselung, oder? Bei
den Zertifikaten für VPN-Einwahl ist das nicht der Fall. Wenn diese
ablaufen, wird die Einwahl verweigert.

>
> Das besagt aber nicht, dass das Zertifikat fortan nicht mehr verwendbar
> ist
> und alles damit verschlüsselte bspw. verloren ist.


OK. S. o.

>
> Also in Kürze:
> Auch nach Ablauf des Zertifikats wird man mit dem privaten Schlüssel diese
> Dateien entschlüsseln können.


Nochmals vielen Dank!

--
René

Reply With Quote
  #4 (permalink)  
Old 05-20-2010
Thomas D.
 

Posts: n/a
Re: Dateiverschlüsselung - Zertifikate
Hallo,

René schrieb:
>> Sind die Rechner in einer Domäne? Dann kannst Du per GPO erzwingen, dass
>> jedes Domänenmitglied ein Zertifikat nach Deinen Vorgaben erhält und auch
>> die automatische Erneuerung sicherstellen.

>
> Ja, die Rechner sind in einer Domäne. Aber welche Policies sind dafür
> notwendig? Kannst du mir auf die Sprünge helfen?


Dein Stichwortet lautet "Automatic Certificate Enrollment":
<http://technet.microsoft.com/en-us/library/cc770546.aspx>


>> Alternativ kannst Du jederzeit über den Zertifikatsserver manuell
>> Zertifikate erstellen, die Du anschließend manuell installierst.

>
> Das ist nicht das Problem. Das Problem ist, dass irgend ein installiertes
> Zertifikat dafür genommen wird. Ich habe zwecks VPN-Einwahl in
> Kundennetzwerke viele "Kunden"-Zertifikate (von den Zertifizierungsstellen
> der Kunden ausgestellt) und es wird willkürlich eines davon für die
> Verschlüsselung genommen.


Meines Wissens wechselt der Client die Zertifikate nicht.
Das bei der ersten Verwendung passende Zertifikat wird als
"Standard"-Zertifikat eingestellt und bleibt es auch - selbst wenn es ein
"besseres" gibt.

Dieses musst Du daher ggf. ändern, sofern EFS erst später ausgerollt wurde.
Siehe:
<http://technet.microsoft.com/en-us/library/bb457065.aspx>

und

<http://technet.microsoft.com/en-us/library/cc736602(WS.10).aspx>

Wenn Du nun Zertifikate ausrollst, solltest Du dies aber auch per GPO
festlegen können. Wo genau, steht imho in den Links drinnen.


>> Ein Zertifikat läuft nicht ab. Die schlechte Übersetzung mag hier zu
>> Verwirrungen führen. Auf englischen Systemen heißt es "Valid until".
>> Dieses Datum soll Clients mitteilen, dass sie dieses Zertifikat nach
>> diesem Datum nicht mehr als gültig anerkennen.

>
> Danke für den Hinweis! Aber das gilt nur für die Verschlüsselung, oder? Bei
> den Zertifikaten für VPN-Einwahl ist das nicht der Fall. Wenn diese
> ablaufen, wird die Einwahl verweigert.


Jede Anwendung die ein Zertifikat verwendet, sollte es nur solange
verwenden, wie es "gültig" ist. Sobald es "abgelaufen" ist, sollte jede
Anwendung die Verwendung blockieren (bei VPN wird die Einwahl scheitern,
bei EFS können keine neuen Dateien mehr verschlüsselt werden, bei
SSL-Verbindungen wird zurück gewiesen...).

Alle jemals mit diesem Zertifikat autorisieren Vorgänge verlieren bei
Ablauf (und übrigens auch beim Widerruf) aber nicht ihre Autorisierung.
Sprich eine Mittels PKI unterzeichnet E-Mail lässt sich weiterhin lesen und
validieren, gleiches gilt für signierte Dokumente oder Dateien.
Verschlüsselte Dateien lassen sich selbstverständlich noch entschlüsseln...

Das alles wird über den in der Signatur eingebetteten Zeitstempel
realisiert. An Hand dieser Zeit wird überprüft, ob zu diesem Zeitpunkt das
benutzte Zertifikat überhaupt noch gültig war.

Kleiner Hinweis am Rande: Der Zeitstempel ist lokal, d.h. hier wird kein
offizieller Zeitgeber kontaktiert. Eine Schwachstelle. Deswegen muss
oftmals sichergestellt werden, dass Signaturen nur Mittels zertifizierten
Geräten erzeugt werden, denn diese erhalten ihre Zulassung bspw. nur dann,
wenn sie vorher eine Echtzeitüberprüfung durchgeführt haben.
Selbstverständlich kann man natürlich einen Zeitstempel eines offiziellen
Zeitservers einbinden. Dieser bestätigt dann lediglich, dass zum Zeitpunkt
X eine Datei Y existiert hat. Aber wir entfernen uns vom Thema ;-)


--
Grüße
Thomas
Reply With Quote
Reply


Thread Tools
Display Modes

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

vB code is On
Smilies are On
[IMG] code is On
HTML code is Off
Trackbacks are On
Pingbacks are On
Refbacks are Off

Similar Threads
Thread Thread Starter Forum Replies Last Post
802.1x WLAN Zertifikate Christian J. microsoft.public.de.windows.vista.sicherheit 1 09-04-2008 15:53
802.1x WLAN Zertifikate Christian J. microsoft.public.de.windows.vista.netzwerk 0 08-29-2008 13:46
Dateiverschlüsselung Hummer German 0 03-04-2008 12:30
Zertifikate installieren Werner Neuner microsoft.public.de.windows.vista.administration 0 08-18-2007 15:06
Dateiverschlüsselung Björn Arnold microsoft.public.de.windows.vista.sicherheit 1 05-11-2007 15:25




All times are GMT +1. The time now is 06:00.




Driver Scanner - Free Scan Now

Vistaheads.com is part of the Heads Network. See also XPHeads.com , Win7Heads.com and Win8Heads.com.


Design by Vjacheslav Trushkin for phpBBStyles.com.
Powered by vBulletin® Version 3.6.7
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.
Search Engine Optimization by vBSEO 3.6.0 RC 2

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120