[Graumagier]

Ja, wenn der Schlüssel bekannt ist

Oder unter Windows 2000 auch so, aber da ist die EFS-Implementierung ja bekanntermaßen nicht die beste.

[Rika]

Ist nur im Falle von Windows 2000 interessant, wo der Schlüssel unverschlüsselt aus der SAM extrahiert werden kann.
Ansonsten macht es nur BruteForce, und damit kommst du nur weit, wenn du, wie dort beschrieben, bereits einen Großteil des Schlüssels kennst. Oder halt des Schlüssel, mit dem der Schlüssel verschlüsselt ist, nämlich das Benutzerpasswort. Toll, was für eine Erkenntnis.

[gordon72]

hallo, ich interessiere mich auch für drivecrypt bzw drivecrypt plus.....nun ist es ja so, dass wenn ich die komplette partition verschlüsseln möchte, diese leer sein muss bzw. die daten darauf verloren gehen. richtig?

kann ich dann von meiner c partition ein image machen, dann verschlüsseln und danach das image wieder aufspielen und das system ist verschlüsselt?

[Rika]

Nein, das wird so nicht funktionieren. Zum einen muss ja die Verschlüsselungssoftware beim Start geladen werden, um den Rest überhaupt transparent einbinden zu können, zum anderen wird das Image vermutlich nicht in den Crypto-Container passen, geschweige denn seine Semantik behalten.

[gordon72]

die vorgehensweise wäre dann also, formatieren...verschlüsseln und dann neu installieren, richtig?

gilt das dann nur für die systempartition, also wäre es möglich meine d partition mit meinen installierten programmen, persönlichen daten etc. auf eine externe hd zu sichern, anschl. zu verschlüsseln und die daten von der externen hd zurückspielen?

sorry wenn ich so blöd frage

[Rika]

Ja. Aber nur als Dateien, nicht als Image.

[gordon72]

ok, vielen dank rika. bei der systempartition funktioniert ein einfaches zurückkopieren dann ja nicht, daher werde ich es wohl mit der d partition versuchen.

[bwd]

EFS ist völlig unsicher!

Russisches Tool knackt EFS-Schutz:
http://www.heise.de/newsticker/result.xhtm...57091&words=EFS

Nachdem die EFS-Zertifikate aus den Systemdateien gezogen wurden, kann die Verschlüsselung einfach geknackt werden. Das heißt EFS unter XP/2003 arbeitet genauso unsicher wie unter 2000. Und zwar werden die verwendeten Schlüssel auf der Festplatte in entsprechende Zertifikate gespeichert. Diese Zertifikate kann das Knacktool auslesen. Selbst wenn nur ein Teil des Schlüssel wiederhergestellt werden konnte ist eine Entschlüsselung möglich ---> RICHTIG LESEN !!!

Also EFS bitte nicht weiter empfehlen, dass ist eine Kindersicherung. Das ist auch der Grund, warum EFS in Firmen, die eine korrekte Sicherheitsstruktur besitzen, keine Beachtung findet.

[Graumagier]

Du solltest lernen zu lesen.

Besagtes Tool kann das Zertifikat nur auslesen, wenn Windows 2000 installiert ist. Das ist aber ein schon lange bekanntes Problem. Unter Windows XP ist das Auslesen nur noch mit vorhandenem Zertifikat/Passwort möglich.

Dieser Beitrag wurde von Graumagier bearbeitet: 24. November 2005 - 13:47

[bwd]

Bin ich jetzt blöt?

--

Bisher galt das Encrypted File System (EFS) von Windows XP als sicher. Mit Version 3 von "Advanced EFS Data Recovery" (AEFSDR) der russischen Software-Schmiede ElcomSoft hat sich das möglicherweise geändert. Die Software mit der man schon seit längerem unter Windows 2000 EFS-geschützte Dateien entschlüsseln konnte, soll in der neuen Ausgabe auch unter Windows XP und Windows Server 2003 funktionieren.

Elcomsoft sieht das Haupteinsatzgebiet seiner Software im Retten von EFS-verschlüsselten Dateien von beschädigten Windows-System, die nicht mehr starten. Dazu durchsucht AEFSDR die Systemdateien nach den EFS-Zertifikaten. Ohne zumindest einen Teil dieser Schlüssel kann AEFSDR das EFS nicht knacken. Ein Notebook-Dieb könnte die Software aber auch dazu nutzen, um gestohlene Dateien vom Schutz zu befreien.

--

Die Schlüssel können immer durch Adminrechte aus den Zertifikaten entnommen werden. Es wird also nicht die Verschlüsselung geknackt, sondern die Schwachstelle der Zertifikate benutzt, um an die Schlüssel zu gelangen. Das Adminkennwort dürfte nun gar keine Probleme darstellen.

[Graumagier]

bwd sagte:

Dazu durchsucht AEFSDR die Systemdateien nach den EFS-Zertifikaten.

Ja, bei Windows 2000. Bei Windows XP liegen die Zertifikate nicht mehr unverschlüsselt vor.

Zum Rest: Ich hatte dich falsch verstanden, du hast ja schon darauf hingewiesen dass das ganze nur bei vorhandenen Zertifikaten funktioniert. Dennoch ist das Tool nicht wirklich interessant, da man zum Entschlüsseln wie gesagt nur die Zertifikate benötigt.

[bwd]

Du kommst mit Adminrechten - nach wie vor - an die verschlüsselten Zertifikate heran. Es ist ein Aberglaube, dass sich das unter XP geändert hat. Die Zertifikate sind zwar verschlüsselt, Hacker&Co. wissen jedoch wie. Das ist auch der Grund, warum es teilweise hochpreisige Konkurrenzprodukte gibt und Firmen (zumindest mit Sicherheitsberater) kein EFS, sondern nur dritte Softwareprodukte empfehlen und einsetzen.

[Rika]

Nein, kommst du nicht. Du brauchst die EFS-Schlüssel-Backup-Rechte, die haben per Default aber nur alle in der Gruppe Backup-Operatoren - zu denen gehört der Admin normalerweise nicht. Er kann sich aber hinzufügen. Der einfachste Weg ist daher, einfach keinen Export des EFS-Schlüssels zu erlauben - ja, das kann der Benutzer festlegen. Außerdem ist das sowieso der Fall, wenn zur Erstellungszeit kein Mitglied in der Backup-Operator-Gruppe vorhanden ist.

Die Kenntnis der Verschlüsselung (FIPS-konformes 3DES oder AES256 im CBC-Modus mit Salt) ist auch nix besonderes, was aber nix daran ändert, daß der Schlüssel nun einmal mit dem Passwort des Benutzers verschlüsselt ist, und ohne dessen Kenntnis kommst du einfach nicht an den Schlüssel ran.

Der Grund, warum Experten von EFS abraten, sind Applikationen, die die Administratoren mit temporären Dateien quälen. Mit EFS kann man nur Dateien verschlüsseln bzw. diese Policy auf Ordner anwenden, aber temporäre Dateien können überall auftreten und die komplette Platte kann man leider nicht verschlüsseln (da der Schlüssel erst nach dem Login verfügbar ist und bis dahin auch einiges an Systemdateien geladen werden muss).
Ein weiterer Grund ist Portabilität und Recovery.

[profiler]

Zum Thema Sicherheit der Verschlüsselung ist mir noch etwas eingefallen: Es gab ja vor kurzer Zeit dayu einen Test in der Computerbild. Ich persönlich halte diesen Test eigentlich für yiemlichen Müll, aber nach diesem Artikel konnten die Tester 2 von 8 Verschlüsselungen knacken!? Ich habe mir danach mal die Internetseiten der getesteten Produkte angesehen, und ich habe bei mehren Produkten das Feature gefunden, dass man die Daten mit mehren Schlüsseln entschlüsseln kann (z.B. Steganos Safe 2006 Professional).
Ich kenne mich mit Verschlüsselung ja nicht wirklich aus, aber kann man so etwas überhaupt sicher in eine Verschlüsselungslösung integrieren? Da ich momentan (noch) Steganos verwende finde ich dieses Feature ziehmlich beunruhigend, vor allem da Steganos auf meine Anfrage in dieser Richtung nur versichert hat, dass sie keine Hintertüren eingebaut haben - allerdings sind diese nach der Produktbeschreibung durchaus möglich. Weiß jemand wie das funktioniert und ob das sicher ist?

MfG
Profiler
(link zu Steganos Safe 2006 Professional: http://www.steganos.....layout=default)

[Rika]

Natürlich geht das, ebenso trivial wie sicher: Du verschlüsselst einfach den Schlüssel mit mehreren verschiedenen Schlüsseln und verwendest einen Keyed MAC.

Vor Hintertüren in der Verschlüsselungssoftware selbst jedoch schützt es nicht. Dagegen schützt gar nichts, beweisbarerweise.