Microsoft Windows Vista Community Forums - Vistaheads
Recommended Download



Welcome to the Microsoft Windows Vista Community Forums - Vistaheads, YOUR Largest Resource for Windows Vista related information.

You are currently viewing our boards as a guest which gives you limited access to view most discussions and access our other features. By joining our free community you will have access to post topics, communicate privately with other members (PM), respond to polls, upload content and access many other special features. Registration is fast, simple and absolutely free so , join our community today!

If you have any problems with the registration process or your account login, please contact us.

Driver Scanner

Fragen zur Verschlüsselung

microsoft.public.de.windows.vista.sicherheit






Speedup My PC
Reply
  #1 (permalink)  
Old 11-03-2008
Lina Rudin
 

Posts: n/a
Fragen zur Verschlüsselung
Hallo

vor einigen Jahren hatte ich einige Daten per EFS unter Win2000
verschlüsselt.

Diese Dateien liegen auf CDs vor, und da als *.bkf, also als BackUp-
Files des BackUp-Tools von Win2000 (weitgehend unverändert geblieben
in XP).

Ich habe auch das NtRestore-Dingens, um genau diese Dateien wieder
aufzumachen (und notfalls noch ne Kopie des ntBackUp dank eines Tipps
vom vistablog.at)...

Nun meine Fragen:
1) Wenn ich die bkf-Files öffne und wiederherstelle, dann müssten
diese doch auf der Platte im verschlüsselten Zustand landen. Ist
irgendwie zu erwarten, dass es zu problemen kommt?

2) Als ich früher, unter XP, die Dateien öffnen wollte, hatte ich
unerwartet das Problem, dass die verschlüsselten Dateien nicht
entschlüsselbar waren, trotz des von der Sicherung importieten Keys.
Sehe ich das richtig, dass ich demnach von mehreren Keys genau das
falsche Zertifikat importiert hatte? (Sonst müsste es ja klappen?)

3) Wo sollte man sinnvollerweise sein Zertifikat aufbewahren? Ist das
Zertifikat im Useraccount von Windows nicht unverschlüsselt (dh wer
meinen PC klaut, könnte quasi mit einem Tool das ADmin-PW zurück
setzen, dann das des Users und holt sich dann das Zertifikat, oder
nicht? Ok beim Rücksetzen durch den Admin werden die Zertifikate
zerstört. Aber irgendwie ist das sicher extrahierbar, wenn es
unverschklüsselt gespeichert ist?)

Also das Zertifikat muss an einem zentralen Ort gespeichert sein, oder
zumindest so, dass ich es wieder in den PC kriege, falls es aus
Verehen geschrottet wurde.
Andererseits kann ich es nicht auf einer externen Platte, wo ich meine
Datensichere, einfach unverschlüsselt drauf speichern, oder?

Wie sollte man da vorgehen?

4) Falls ich das korrekte damalige Zertifikat von Win2000 wiederfinde,
mit dem ich noch einige Dateien verschlüsselt hatte:
Könnte ich mit diesem auch wieder Dateien verschlüsseln unter Vista
oder gäbe es ein Kompatibiltätsproblem?




Eure Lina
Reply With Quote
Sponsored Links
  #2 (permalink)  
Old 11-04-2008
Thomas D.
 

Posts: n/a
Re: Fragen zur Verschlüsselung
Hallo,

> 1) Wenn ich die bkf-Files öffne und wiederherstelle, dann müssten
> diese doch auf der Platte im verschlüsselten Zustand landen. Ist
> irgendwie zu erwarten, dass es zu problemen kommt?


Nein.


> 2) Als ich früher, unter XP, die Dateien öffnen wollte, hatte ich
> unerwartet das Problem, dass die verschlüsselten Dateien nicht
> entschlüsselbar waren, trotz des von der Sicherung importieten Keys.
> Sehe ich das richtig, dass ich demnach von mehreren Keys genau das
> falsche Zertifikat importiert hatte? (Sonst müsste es ja klappen?)


So wird es gewesen sein.
Wenn das passende EFS-Zertifikat vorhanden ist, sollte es klappen.


> 3) Wo sollte man sinnvollerweise sein Zertifikat aufbewahren? Ist das
> Zertifikat im Useraccount von Windows nicht unverschlüsselt (dh wer
> meinen PC klaut, könnte quasi mit einem Tool das ADmin-PW zurück setzen,
> dann das des Users und holt sich dann das Zertifikat, oder nicht? Ok
> beim Rücksetzen durch den Admin werden die Zertifikate zerstört. Aber
> irgendwie ist das sicher extrahierbar, wenn es unverschklüsselt
> gespeichert ist?)


Der Zertifikatsspeicher von Windows ist ausreichend geschützt.
Da ist nichts "extrahierbar".

Sofern Dein gewähltes Benutzerkennwort sicher ist, ist damit auch das
EFS-Zertifikat "sicher".

Was bei Neusetzung eines Kennworts durch den Administrator geschieht, hast
Du ja bereits selber richtig zusammen gefasst.


> Also das Zertifikat muss an einem zentralen Ort gespeichert sein, oder
> zumindest so, dass ich es wieder in den PC kriege, falls es aus
> Verehen geschrottet wurde.
> Andererseits kann ich es nicht auf einer externen Platte, wo ich meine
> Datensichere, einfach unverschlüsselt drauf speichern, oder?


Das Zertifikat kannst Du grundsätzlich exportiert speichern, wo Du
möchtest. Dir sollte eben bewusst sein, dass der im Besitz dieses
Zertifikats ist, auch Zugriff auf Deine verschlüsselten Daten hätte, sofern
er auch auf diese Zugriff hätte.

Somit wäre es in meinen Augen nur bedingt klug, das Zertifikat auf dem
gleichen Backup-Medium zu speichern. Bedingt daher, weil Du exportierte
Zertifikate ja zusätzlich noch schützen könntest (beim Export kannst Du ein
Kennwort setzen; in ein verschlüsseltes Archiv packen; mit PGP/GPG
verschlüsseln).


> Wie sollte man da vorgehen?


Ich würde Daten und Schlüssel nicht zusammen ablegen.
Eine physikalische Trennung erhöht die Sicherheit.


> 4) Falls ich das korrekte damalige Zertifikat von Win2000 wiederfinde,
> mit dem ich noch einige Dateien verschlüsselt hatte: Könnte ich mit
> diesem auch wieder Dateien verschlüsseln unter Vista oder gäbe es ein
> Kompatibiltätsproblem?


Jaein - das ist grundsätzlich möglich, aber recht kompliziert:
Sobald Du erstmals eine Datei verschlüsseln hast lassen, prüft Windows, ob
ein EFS-Zertifikat vorhanden ist, welches den Ansprüchen genügt bzw.
erstellt eines. Dieses wird fortan genommen.

Erst wenn das Zertifikat abgelaufen ist bzw. die Richtilinien die Nutzung
verbieten, beginnt Windows erneut zu suchen. Dabei wird wieder das erste,
nutzbare Zertifikat, genommen.

Schau Dir diesbezüglich mal den "EFS Certificate Configuration Updater" [1]
an. Der erklärt die Arbeitsweise von EFS und Probleme bei Wiederherstellung
genau.

Und noch eine allgemein Anmerkung: Heutige EFS Zertifikate sind imho
"stärker" als die von Windows 2000.



P.s.: Hast Du Dir die Frage, ob EFS das richtige für Deinen Anwendungszweck
ist, eigentlich schon ausführlich gestellt? Eventuell sind
Container-Lösungen wie sie mit TrueCrypt [2] realisiert werden können
besser geeignet.
Als kommerzielle Enterprise-Lösung fällt mir noch PGP NetShare [3] ein.


Siehe auch:
===========
[1] http://www.codeplex.com/EFSCertUpdater
[2] http://www.truecrypt.org
[3] http://www.pgp.com/products/netshare


--
Grüße,
Thomas
Reply With Quote
  #3 (permalink)  
Old 11-04-2008
Michael Bormann
 

Posts: n/a
Re: Fragen zur Verschlüsselung
Hallo Lina Rudin
Du meintest
[..]
> 2) Als ich früher, unter XP, die Dateien öffnen wollte, hatte ich
> unerwartet das Problem, dass die verschlüsselten Dateien nicht
> entschlüsselbar waren, trotz des von der Sicherung importieten Keys.
> Sehe ich das richtig, dass ich demnach von mehreren Keys genau das
> falsche Zertifikat importiert hatte? (Sonst müsste es ja klappen?)
>

Die Kernfrage wäre wohl
welches XP hattest du, bzw. welche Vista-Version setzt du nun ein?
Die Home-Versionen haben mit EFS nix am Hut.

--
mfg
Michael
Bitte nur in der NewsGroup antworten
www.mbormann.de

Reply With Quote
  #4 (permalink)  
Old 11-05-2008
Lina Rudin
 

Posts: n/a
Re: Fragen zur Verschlüsselung
On 4 Nov., 19:57, "Thomas D." <d...@discussions.microsoft.com> wrote:
> Hallo,
>


Hallo Tom,

>
> Und noch eine allgemein Anmerkung: Heutige EFS Zertifikate sind imho
> "stärker" als die von Windows 2000.


Was für ein Algorhytmus wird denn da verwendet?

>
> P.s.: Hast Du Dir die Frage, ob EFS das richtige für Deinen Anwendungszweck
> ist, eigentlich schon ausführlich gestellt? Eventuell sind
> Container-Lösungen wie sie mit TrueCrypt [2] realisiert werden können
> besser geeignet.
> Als kommerzielle Enterprise-Lösung fällt mir noch PGP NetShare [3] ein.
>
> Siehe auch:
> ===========
> [1]http://www.codeplex.com/EFSCertUpdater
> [2]http://www.truecrypt.org
> [3]http://www.pgp.com/products/netshare



Ok besten Dank für die Antwort.

Dann werde ich wohl demnächst den nächsten Anlauf nehmen, die alten
Daten zu entschlüsseln.

True Crypt scheint ne gute Sache zu sein. Habs mir installiert (weil
es an diversen Orten empfohlen wurde uA im vistablog.at),scheint
seriös und nicht zu kompliziert zu sein.

Da du TrueCrypt kennst:
Man kann ja diese Hidden Volumes erstellen.
Der Sinn ist ja: Würde man erspresst/genötigt, das äussere Passwort
heraus zu geben, gäbe es immer noch das innere Volume.

Aber könnte dann ein geschickter Einbrecher, der ein wenig Ahnung
davon hat und mich zwingt, mein PW herau szu geben, nicht die Grösse
der gemounteten Partition (nachdem ich das PW heraus gab) mit der
Grösse der Containerdatei vergleichen, ud dann feststellen, dass da
noch was verstecktes sein muss?

Damit stelle ich nicht TrueCrypt in Frage, sondern nur den
Zusatznutzen der Hidden Volumes.



Gruss
Lina
Reply With Quote
  #5 (permalink)  
Old 11-05-2008
Mark Heitbrink [MVP]
 

Posts: n/a
Re: Fragen zur Verschlüsselung
Hi,

Lina Rudin schrieb:
>> Und noch eine allgemein Anmerkung: Heutige EFS Zertifikate sind imho
>> "stärker" als die von Windows 2000.

> Was für ein Algorhytmus wird denn da verwendet?


RSA 1024 Bit.

XP ist nicht "stärker" verschlüsselt, sondern hat als Vorteil gegenüber
von EFS mit 2000, daß u.A. das Benutzerpassword Teil des Zertifikats ist.
(Es wurden ein paar Attribute geändert)

Unter 2000 konnte das Benutzerkonto "übernommen" werden, in dem das
Passwort des lokalen Users in der SAM überschrieben wurde. Dann meldet
man sich an und alle EFS verschlüsselten DAten können ohne weiteren
Eingriff entschlüsselt werden.
Bei XP muss man das "richtige" Kennword besitzen, daß zum Schlüssel passt.
Ändert der selbst User das Kennwort wird der Schlüssel automatisch
angepasst, logisch er hat ja die passende Kombination.

Sowohl bei 2000 als auch bei XP war die "Flucht" in ein AD immer schon
ein sichere Methode, da dann das Benutzerobjekt und sein Kennword nicht
mehr im lokalen SAM aufzufinden sind und das PW damit nicht überschrieben
werdne kann. Jetzt muss man schon den DC und Domänen Admin angreifen ...

Es gibt aber ein paar andere Stolplerfallen aufgrund dessen Bitlocker
(oder andere HErsteller), also Verschlüsselung auf Harddisk Ebene, der
Dateisystem Ebene vorzuziehen sind.

z.B.:
Beim Bearbeiten einer EFS Datei wird sie temporär entschlüsselt und
anschliessend beim Speichern wieder verschlüsselt. Praktisch wird die
Tempdatei nur gelöscht. Datenrettungstools (div. Undelete/Recovery Tools)
diese "unverschlüsselten" daten bei Zugriff auf das System
wiederherstellen.

Auf VolumenEbene wäre das nicht möglich da die komplette Platte
verschlüsselt ist und nicht nur ein kleiner Dateibereich.

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate
Reply With Quote
  #6 (permalink)  
Old 11-05-2008
Karim Af Afnel
 

Posts: n/a
Re: Fragen zur Verschlüsselung
Hallo,

Auch schnell meinen Senf dazugeb

"Mark Heitbrink [MVP]" wrote...
>> Was für ein Algorhytmus wird denn da verwendet?

>
> RSA 1024 Bit.

Verschluesselt wird ab XP SP1 mit AES256 (welchen Mode CBC, .... kann ich
nicht sagen).
Der asymmetrische Schluessel ist bei Vista ein 2048 Bit RSA Schluessel.


> XP ist nicht "stärker" verschlüsselt, sondern hat als Vorteil gegenüber
> von EFS mit 2000, daß u.A. das Benutzerpassword Teil des Zertifikats ist.

Naja von 3DES auf AES256 tut sich schon etwas, alleine schon aufgrund des
Schluesselraumes wegen.
Aber der Knackpunkt ist, wie so oft, das meist schlechte Passwort, da nutzt
der beste Algo nichts (3DES gilt aber weiterhin als sicher). Die Probleme
mit SAM usw. mal außer Acht gelassen.

gruß

Reply With Quote
  #7 (permalink)  
Old 11-05-2008
Karim Af Afnel
 

Posts: n/a
Re: Fragen zur Verschlüsselung

"Lina Rudin" wrote:

>Aber könnte dann ein geschickter Einbrecher, der ein wenig Ahnung
>davon hat und mich zwingt, mein PW herau szu geben, nicht die Grösse
>der gemounteten Partition (nachdem ich das PW heraus gab) mit der
>Grösse der Containerdatei vergleichen, ud dann feststellen, dass da
>noch was verstecktes sein muss?


Er sieht den grossen Container mit viel freien Speicher, kann aber nicht
feststellen, ob da noch ein Hidden Volume dahinter steckt.

Ein Problem was ich eher sehe wenn du FAT als Dateisystem im Container
benutzt.
Wie du beweisen kannst, dass kein Hidden Volume vorhanden ist


gruss


Reply With Quote
  #8 (permalink)  
Old 11-06-2008
Thomas D.
 

Posts: n/a
Re: Fragen zur Verschlüsselung
Lina Rudin schrieb:

> > Und noch eine allgemein Anmerkung: Heutige EFS Zertifikate sind imho
> > "stärker" als die von Windows 2000.

>
> Was für ein Algorhytmus wird denn da verwendet?


Diese Frage hat Dir Mark bzw. Karim ja bereits beantwortet.


> Da du TrueCrypt kennst:
> Man kann ja diese Hidden Volumes erstellen.
> Der Sinn ist ja: Würde man erspresst/genötigt, das äussere Passwort
> heraus zu geben, gäbe es immer noch das innere Volume.
>
> Aber könnte dann ein geschickter Einbrecher, der ein wenig Ahnung
> davon hat und mich zwingt, mein PW herau szu geben, nicht die Grösse
> der gemounteten Partition (nachdem ich das PW heraus gab) mit der
> Grösse der Containerdatei vergleichen, ud dann feststellen, dass da
> noch was verstecktes sein muss?
>
> Damit stelle ich nicht TrueCrypt in Frage, sondern nur den
> Zusatznutzen der Hidden Volumes.


Ich bin kein Fan dieser "Plausible Deniability" Strategie. Für mich ist das
ganz großer Schwachsinn. Daher nutze ich diese Funktionen auch nicht.


--
Grüße,
Thomas
Reply With Quote
  #9 (permalink)  
Old 11-07-2008
Lina Rudin
 

Posts: n/a
Re: Fragen zur Verschlüsselung
On 5 Nov., 22:56, "Karim Af Afnel" <afaf...@gmx.net> wrote:
> "Lina Rudin" wrote:
> >Aber könnte dann ein geschickter Einbrecher, der ein wenig Ahnung
> >davon hat und mich zwingt, mein PW herau szu geben, nicht die Grösse
> >der gemounteten Partition (nachdem ich das PW heraus gab) mit der
> >Grösse der Containerdatei vergleichen, ud dann feststellen, dass da
> >noch was verstecktes sein muss?

>
> Er sieht den grossen Container mit viel freien Speicher, kann aber nicht
> feststellen, ob da noch ein Hidden Volume dahinter steckt.


Ok, 4 MB Container-Datei (zum Test) mit Hidden Volume.

Lade ich es ohne das Hidden Volume HV zu schützen, hat das Laufwerk
3,7 MB.
Lade ich es mit Schutz, sind es auch 3,7 MB.
Lade ich das HV sind es 2,87 MB (3 eingestellt?), wovon aber nur 412
KB frei sind).

Wobei ich auf beiden Laufwerken noch gar nix drauf habe.
Komisches System. Dh das Hauptvolume zeigt mir mehr Speicher an, als
es tatsächlich hat (da ja ein Teil reserviert ist für das
HiddenVolume?)


Abgesehen davon gbts ne weitere Strategie:
Man könnte mehrere bzw 2 Container-Dateien haben.
Die eine endet auf .tc (mit den Scheindaten) und hat ein einfaches
Passwort.

Die andere endet auf .avi (was durchaus auch die Grösse Plausibel
erscheinen lässt) oder eine typische DVD-Endung (.vob? ist dann
sowieso nicht direkt abspielbar)....

Naja im Zweifelsfall gibt man das einfache Passwort für die auf *.tc
endende Datei heraus....

Reply With Quote
  #10 (permalink)  
Old 11-07-2008
Thomas D.
 

Posts: n/a
Re: Fragen zur Verschlüsselung
Lina Rudin schrieb:

> Die andere endet auf .avi (was durchaus auch die Grösse Plausibel
> erscheinen lässt) oder eine typische DVD-Endung (.vob? ist dann
> sowieso nicht direkt abspielbar)....


VOB-Dateien können Player wie VLC problemlos abspielen.


> Naja im Zweifelsfall gibt man das einfache Passwort für die auf *.tc
> endende Datei heraus....


Das lustige bei der Strategie ist ja, dass sie darauf aufbaut, dass jemand
einem unterstellt *etwas* zu haben, was man sucht.

Wieso sollte sich diese Person eigentlich zufrieden geben, wenn Du ihr
irgendetwas zeigst? Wir reden hier ja von Beginn an von Unterstellungen -
das ist der große Knackpunkt, weswegen ich diese Strategie im Grundsatz
ablehne.

Sobald wir mit Unterstellungen anfangen, kann es kein Argument mehr geben,
was diese Unterstellung restlos ausräumen kann.

Überspitzt formuliert:
Wenn ich Dir vorwerfe eine Terroristin zu sein und eigentlich keinen Beweis
habe und Dich daher von meinem Geheimdienst entführen lasse nachdem Motto,
"Sie ist Terroristin, also werden wir auch etwas finden *müssen*..." wirst
Du machen können was Du willst. Sofern es mir (=Staat?) möglich ist, dies
zu tun, wirst Du gar nichts machen können, denn ich *glaube* Du seist
etwas.... und niemand schenkt jemandem Glauben, dem man gerade etwas
anderes vorwirft...

Fazit: Schütze Deine Daten. Im Falle des Falles musst Du entscheiden, ob Du
sie rausgibst, um Dein geregeltes Leben behalten zu können oder ob Du
schweigst und damit Dein bisheriges Leben wie Du es kanntest aufgeben
müssen...

Du siehst: Mit Unterstellungen ist das Leben "einfach".



--
Grüße,
Thomas
Reply With Quote
Reply


Thread Tools
Display Modes

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

vB code is On
Smilies are On
[IMG] code is On
HTML code is Off
Trackbacks are On
Pingbacks are On
Refbacks are Off

Similar Threads
Thread Thread Starter Forum Replies Last Post
Fragen zum Backup mit dem WHS Roland Messerschmidt microsoft.public.de.windows.homeserver 4 09-10-2008 20:21
Bitlocker Verschlüsselung rainer appel microsoft.public.de.windows.vista.sicherheit 1 08-10-2008 08:12
[Offlinedateien) Verschlüsselung der Daten Wolfgang Krauss microsoft.public.de.windows.vista.sicherheit 3 05-26-2008 14:22
Anmeldepasswort Verschlüsselung Joerg Gerlach microsoft.public.de.windows.vista.sicherheit 4 09-20-2007 09:12
Erkennung Verschlüsselung Christoph & Monica Lobsiger microsoft.public.de.windows.vista.installation 2 09-07-2007 02:36




All times are GMT +1. The time now is 07:20.




Driver Scanner - Free Scan Now

Vistaheads.com is part of the Heads Network. See also XPHeads.com , Win7Heads.com and Win8Heads.com.


Design by Vjacheslav Trushkin for phpBBStyles.com.
Powered by vBulletin® Version 3.6.7
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.
Search Engine Optimization by vBSEO 3.6.0 RC 2

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120