[Fat Tony]

Hallo,
Ich verwende das Bitlocker mit einem USB-Stick,weil ich kein TPM-Modul habe,was auch nach einigen Einstellungen in der Computerkonfiguration sehr gut funktioniert.
Jetzt habe ich noch zusätzlich einige Dateien in meinen Ordner Eigene Dokumente mit EFS nach Anleitung verschlüsselt.
Die verschlüsselten Dateien sind grün unterlegt.
Aber trotzdem kann man die verschlüsselten Dateien,ohne zu entschlüsseln öffnen.
Die Dateien sollten doch verschlüsselt sein,warum kann man trotzdem drauf zugreifen ?
Habe ich irgendwas falsch gemacht ?
Welche einstellungen müssen vorgenommen werden,um einzelne Dateien mit EFS zu verschlüsseln ?

[Stefan_der_held]

EFS ist eine Dateisystem/Zertifikatbasierende Dateiverschlüsselung.

um die verschlüsselten Dateien EINZUSEHEN (sprich deren Inhalt erkennen zu können) benötigt man:

Ein NTFS Laufwerk und das Zertifikat des Benutzers der es verschlüsselt hat.

Hier liegt der Hase im Pfeffer:

wird das PW des Benutzers geändert ohne dass dieser angemeldet ist, so ist das Zertifikat auch im Eimer. Sprich du kannst due verschlüsselten Dateien vergessen.

Du kannst unter Win7/Win Vista das Zertifikat sichern - sehr zu empfehlen falls mal das OS nicht mehr will du aber ggf. noch an die Dateien ran musst.

[Stefan_der_held]

Zitat (harrypotter6: 17.11.2009, 22:27)

Wieso ist das EFS- Zertifikat im Eimer, wnn man das PW wechselt ? Das EFS- Zertifikat liegt mt seinem privatem Schlüssel im Zertifikatspeicer des Benutzers. Da ist das PW erst einmal egal.

ist nur der Fall wenn jemand anderes dein PW "zurücksetzt" bzw dir einfach ein neues verpasst.

Es ist neben PW und UID jede Menge drann gebunden. Erst mittels des "Zertifikat sichern" kannst du das Zertifikat abspeichern und ggf. anderen Usern vergeben.

Verändere mal von einem Testbenutze welcher EFS verwendet offline - also über ein anderes Konto - das Passwort, logge dich ein und schaue ob du noch auf die Dateien kommst.

Ist ja auch Sinnvoll diese Schutzfunktion... sonst könnte ja nahezu jeder dahergelaufene die Dateien auf dem Recher verwenden indem er einfach nur das PW anpasst.

Gruß,

Stefan

[Fat Tony]

Sollte man nicht,wenn man die Dateien wieder entschlüsselt,ein Passwort eingeben müssen ?
Bei mir wird erst gar nicht nach ein Passwort gefragt.
Jeder,der an mein PC arbeitet,bzw.surft,kann an die verschlüsselten Dateien heran,kann sie problemlos öffnen,etc.ohne ein Passwort einzugeben.
Anders z.b. bei PGP,da kann man sich ein virtuelles Laufwerk erstellen,wo man die Ordner,Dateien,etc.hineinlegt.die verschlüsselt werden soll.
Man kann auch mit PGP einzelne Ordner,Verzeichnisse,Dateien verschlüsseln,sogar E-Mails.
Ich möchte ja mein Ordner Eigenen Dokumente,wo ich die Dateien abgelegt habe, separat vor unbefugten verschlüsseln.Wie bei PGP.
Vielleicht sollte ich doch zu PGP wechseln.

[Stefan_der_held]

Zitat (Fat Tony: 18.11.2009, 09:45)

Jeder,der an mein PC arbeitet,bzw.surft,kann an die verschlüsselten Dateien heran,kann sie problemlos öffnen,etc.ohne ein Passwort einzugeben.

du hast es immernoch nicht verstanden....

Die VERSCHLÜSSELUNG ist bei EFS Zertifikatbasiert.

Ein Zertifikat ist quasi das Passwort was man sonst händisch eingeben müsste...

Habe einfach mal ebend ein "Ablaufdiagram" erstellt - ist nur Grob aber die Funktion ist denke ich mal selbstklärend



Du siehst also: vom Entschlüsseln/verschlüsseln bekommst du bei geringen Datenmengen normalerweise nix mit.

Bei vielen Dateien im Ordner die verschlüsselt sind wirst du zum Beispiel beim Auflisten des Inhalts etwas mehr zeit benötigen. (vom Explorer ausgegangen).


Gruß,

Stefan

[Fat Tony]

Verstehe ich das richtig,
Jeder,der sich mit meinen Kennwort an meinem PC anmeldet,kann sich meine verschlüsselten Dateien ansehen,ohne irgendein Passwort eingeben zu müssen ?
Dann würde ja eine verschlüsselung meiner Dateien,Ordner,etc. mit EFS nichts bringen,bzw.keinen Sinn machen,wenn auf meinen Heim-PC jeder User, ( mein Freund/in,Eltern,etc. ) der sich mit meinen Kennwort anmeldet,bzw.der auf mein PC surft,meine verschlüsselten Dateien,Ordner,etc.öffnen und lesen kann.
Das soll ja nicht sinn der verschlüsselung sein.
Ich möchte Dateien,Ordner separat verschlüsseln,mit eingabe des Passworts,wie bei PGP.

[Kvothe]

Ja, das verstehst du richtig, da helfen aber getrennte Benutzerkonten, bzw. ein zweites für die Benutzer/Gäste deines Systems

Dieser Beitrag wurde von Kvothe bearbeitet: 18. November 2009 - 11:06

[NewRaven]

Nein, deine Arbeitsweise macht keinen Sinn:

Wenn du Dateien deines Accounts für bestimmte Nutzer unzugänglich halten willst, warum um alles in der Welt lässt du sie dann deinen Account nutzen? Der Sinn von Nutzeraccounts ist es nunmal, das jeder Nutzer einen eigenen hat. Eben genau deshalb, damit jeder seinen eigenen Kram macht und seine eigene Konfiguration nutzen kann. Und wenn man ein solches Multi-User-System auch richtig nutzt, so wie es eben gedacht ist, ist auch eine solche Verschlüsselung alles andere als "sinnlos".

Wenn du Dateien mit deiner sonderbaren Definition von Multi-User-Environment separat verschlüsseln willst, dann hilft dir weder Bitlocker, noch das EFS an sich, denn dazu sind sie nicht gemacht. Da darfst du dann auf Tools wie axCrypt, Truecrypt oder eben PGP/GnuPG zurückgreifen. Das Problem an dieser Stelle ist aber eindeutig nicht der fehlenden Sinn von Bitlocker/EFS...

[Fat Tony]

Ich wohne alleine,und daher ist ein zweites Benutzerkonto sinnlos.
Aber ich habe auch öfter Besuch von Freunden,und die wollen auch mal surfen,bzw.wir arbeiten dann auch gemeinsam am PC.
Daher will ich meine Daten separat verschlüsseln.
Ich werde mir mal einige Verschlüsselungssoftware wie z.b. AxCrypt,Steganos Safe,BCArchive,Truecrypt,
oder Advanced Encryption Package 2009,ansehen,und mir das für meine bedürfnisse angepasste Software installieren.

[Stefan_der_held]

Zitat (Fat Tony: 18.11.2009, 10:55)

Verstehe ich das richtig,
Jeder,der sich mit meinen Kennwort an meinem PC anmeldet,kann sich meine verschlüsselten Dateien ansehen,ohne irgendein Passwort eingeben zu müssen ?

genau....

deshalb sollten Passwörter - seit jeher - nicht zu simpel gewählt werden.

Zitat

Dann würde ja eine verschlüsselung meiner Dateien,Ordner,etc. mit EFS nichts bringen,bzw.keinen Sinn machen,wenn auf meinen Heim-PC jeder User, ( mein Freund/in,Eltern,etc. ) der sich mit meinen Kennwort anmeldet,bzw.der auf mein PC surft,meine verschlüsselten Dateien,Ordner,etc.öffnen und lesen kann.
Das soll ja nicht sinn der verschlüsselung sein.
Ich möchte Dateien,Ordner separat verschlüsseln,mit eingabe des Passworts,wie bei PGP.

Dafür kannst du schließlich einzelne Benutzer anlegen.

Wenn du jemand den Schlüssel in deine Wohnung gibst brauchst du dich nicht zu wundern, wenn dieser ohne die Tür aufbrechen zu müssen hineinkommen kann

Gruß,

Stefan

EDIT:

Ich MEINE - selbst noch nicht geschaut - das es möglich ist, das PW fürs EFS Zertifikat so einzurichten, dass du bei jeder Anmeldung dieses erst eingeben musst.

[Fat Tony]

Habe mich entschlossen,neben der Bitlockerverschlüsselung,auch noch eine separate Verschlüsselungssoftware für meine Daten,Ordner,etc. zu installieren,wie z.b. AxCrypt,Challenger-Verschlüsselung,BCArchive,Advanced Encryption Package 2009 Professional oder eine vergleichbare.
Sicher ist Sicher.