Vesrchlüsselte Daten unter XP wieder anzeigen

Pit_3b450b · 25. Dezember 2003 um 20:39

Ich habe unter Win XP Daten verschlüsselt (unter Eigenschaften der Dateien). Bis vor der Neuinstallation von Windows verbunden mit einer Festplattenformatierung konnte ich die Daten auch einwandfrei öffnen und bearbeiten. Nun hat anscheinend Windows die FP intern neu bezeichnet. Ein Zugriff ist nunmehr nicht mehr möglich. Auch kann ich die Dateien nicht verschieben, kopieren oder neu speichern. Die Bezeichnung der FP habe ich genau wie zuvor gewählt. Hinzufügen von weiteren berechtigten Personen ist ebenfalls nicht möglich.

Hat einer eine Idee?

Danke und noch schöne Feiertage,

Pit

pumpkin_1768a9 · 25. Dezember 2003 um 21:25

Moin

Ich habe unter Win XP Daten verschlüsselt (unter Eigenschaften
der Dateien).

Dann werden die Dateien mit einem Windows-internen Schüssel kodiert.

Bis vor der Neuinstallation von Windows

Wobei ein neuer, anderer Schlüssel erzeugt wurde…

verbunden mit einer Festplattenformatierung

Ja dann ist der alte Schlüssel also definitiv weg.

Ein Zugriff
ist nunmehr nicht mehr möglich.

oh Wunder… Such nach Knack-programmen. So wie ich mircosoft kenne ist es eine einfache, leicht zu knackende Verschlüsselung.

cu

Paul_auch_einer · 25. Dezember 2003 um 21:43

verbunden mit einer Festplattenformatierung

Ja dann ist der alte Schlüssel also definitiv weg.

s.u.

Ein Zugriff
ist nunmehr nicht mehr möglich.

oh Wunder… Such nach Knack-programmen. So wie ich mircosoft
kenne ist es eine einfache, leicht zu knackende
Verschlüsselung.

Wiederherstellen ist trivial, sofern man die entsprechenden Festplattenereiche mit dem alten Schluessel nicht ueberschrieben hat. Bei einer Formatierung inkl. Neuinstallation allerdings fraglich. In dem Fall ist es allerdings wirklich Pech, denn Microsoft hat hier eine ganze Arbeit geleistet, mir sind keine kostenlosen Recovery-Tools bekannt, es gibt wohl welche fuer den Preis um 100$ herum die aber auch nicht wirklich zuvelaessig arbeiten. Bleibt noch ein Data-Recovery Unternehmen. Teuer, sehr teuer.

cu

Gruss
Paul

pumpkin_1768a9 · 25. Dezember 2003 um 22:06

Nach/Zwischenfrage
Moin

Wiederherstellen ist trivial, sofern man die entsprechenden
Festplattenereiche mit dem alten Schluessel nicht
ueberschrieben hat.

Und den Bereich findet… Der FAT-eintrag für die Datei ist weg (da es eine Datei unter dem Namen gibt), in der Cluster-Kette der Datei steht der Name nicht drin… Der Schüssel dürfte aussehen wie alle anderen binär-Daten auch, „voll-disk“-Suche ist auch nicht möglich.

In dem Fall ist es
allerdings wirklich Pech, denn Microsoft hat hier eine ganze
Arbeit geleistet, mir sind keine kostenlosen Recovery-Tools
bekannt, es gibt wohl welche fuer den Preis um 100$ herum die
aber auch nicht wirklich zuvelaessig arbeiten.

Ist bekannt was die da an Verschlüsselung verbaut haben ? Bei Office war ja lange Zeit eine vigenère-Verschlüsselung im Einsatz. Die konnte man schneller knacken als Office sie mit Schlüssel öffenen konnte…

Wenn’s aber jetzt mal was „anständiges“ wie 3DES ist…

Bleibt noch ein
Data-Recovery Unternehmen. Teuer, sehr teuer.

oh ja… das gibt viele Nullen und alle links vom Komma.

cu

Paul_auch_einer · 25. Dezember 2003 um 22:46

Moin,

Ist bekannt was die da an Verschlüsselung verbaut haben ? Bei
Office war ja lange Zeit eine vigenère-Verschlüsselung im
Einsatz. Die konnte man schneller knacken als Office sie mit
Schlüssel öffenen konnte…

Wenn’s aber jetzt mal was „anständiges“ wie 3DES ist…

http://www.winntmag.com/Articles/Index.cfm?ArticleID… (englisch)

Gruss
Paul

pumpkin_1768a9 · 26. Dezember 2003 um 12:55

Danke (o.T)
http://www.winntmag.com/Articles/Index.cfm?ArticleID…

Werd ich mir mir mal näher ansehen.

cu

Anonym · 28. Dezember 2003 um 07:00

Moin Pumpkin,

[…]

Bis vor der Neuinstallation von Windows

Wobei ein neuer, anderer Schlüssel erzeugt wurde…

verbunden mit einer Festplattenformatierung

Ja dann ist der alte Schlüssel also definitiv weg.

Ein Zugriff
ist nunmehr nicht mehr möglich.

1.) Muß ich also nun davon ausgehen, daß es latent gefährlich ist, unter XP Ordner zu verschlüsseln? Gilt das für alle NTFS-Systeme?
1.a) Zumindest unter dem (wie ich meine berechtigten) Gesichtspunkt, daß WinXP Pro irgendwann mal neu installiert werden muß und
1.b) eventuell dazu die Bootpartition geputzt (formatiert) werden muß?

Zum Glück habe ich noch nichts verschlüsselt, weil ich dieses OS erst seit ein paar Wochen habe und nun teste und lerne …

Besteht eigentlich hinsichtlich der NTFS-Komprimierung (nicht Zip!) das gleiche Risiko, daß ich womöglich mit einem neu erstellten System (2.a) und 2.b) analog zu 1.) nicht mehr zugreifen kann?

So nebenbei, wenn dem so ist, was machen diese Funktionen dann für einen Sinn?? Systemsicherheit ist ja wohl allererste User-Pfllicht für ein halbwegs sorgenfreies Windows-Leben.

Da ist mir noch etwas eingefallen:
3. Wenn ich die Bootpartition komplett kopiere und als BackUp verstecke (z.B. mit PartitionMagic). Bleiben dann die Verschlüsselungs-Algorithmen gleich, wenn ich sie im Defektfalle zurückkopiere?
Müßte doch eigentlich so sein, erscheint mir jedenfalls logisch. Normalerweise würde ich so eine dämliche Frage nicht stellen, aber da ich noch kaum XP-Erfahrung habe und MS mal grundsätzlich alles zutraue (ich denk’ mal, daß das eine gesunde Einstellung ist) …

Guten Rutsch
und vielen Dank für eventuelle Hinweise,

Gruß,
Kristian

pumpkin_1768a9 · 28. Dezember 2003 um 17:14

Moin

1.) Muß ich also nun davon ausgehen, daß es latent gefährlich
ist, unter XP Ordner zu verschlüsseln? Gilt das für alle
NTFS-Systeme?

Hab mir den Artikel durchgelesen der hier gepostet wurde (nochmals danke). In dem wurden ein paar Interna die mir neu waren diskutiert. Wenn das alles so stimmt:

Verschlüsselung dieser Art gibts bei NTFS unter win2k und unter winXP (evtl auch unter win2003, aber der Artikel war von 2002). Beide benutzen genau das gleiche Prinzip. Was rausgekommen kann hast du erlebt. An sich ist das System „sicher“ in dem Sinn dass man die Dateien nicht verliert wenn man Windows nicht verändert und die Schüssel-Dateien nicht löscht/verliert/verändert/weg-formatiert/durch einen Festplattencrash flöten gehen. Vor Zugriff durch Fremde schützt das System eigentlich nicht.

1.a) Zumindest unter dem (wie ich meine berechtigten)
Gesichtspunkt, daß WinXP Pro irgendwann mal neu installiert
werden muß und
1.b) eventuell dazu die Bootpartition geputzt (formatiert)
werden muß?

Man muss die „Schlüssel“ retten. Sie stehen (angeblich, kanns nicht testen da kein windows greifbar ist) in einem Unterverzeichniss von „c:\Documents“ (und in der Registery ?). Versteckt und unter windows nicht auslesbar/backup-bar/kopierbar.

Unter Linux oder mit dem NTFS-DOS-Treiber kann man die Schlüssel-Dateien (wie jede andere Datei auch, Benutzerrechte hin oder her) frei auslesen. Weshalb das System auch nicht sicher ist. Man klaut die Platte/Laptop, schraubt das Ding in ein DOS oder Linux-System, holt sich die Schüssel und decodiert die Dateien. Ist eine Sache von einer Viertelstunde, entsprechende Hinweise lieftert Google. (nicht getestet, da kein windows greifbar. Wenn du kannst wäre ein Erfahrungsbericht willkommen… Bei den alten Dateien hilfts nichts da der Schlüssel weg ist)

Ist eigentlich praktisch, dann muss man nicht so lange nach wichtigen Dateien suchen. Die verschlüsselten werdens wahrscheinlich sein… Wiedermal was das ich meinem Chef in nächsten Jahr unter die Nase reiben kann.

Zum Glück habe ich noch nichts verschlüsselt, weil ich dieses OS
erst seit ein paar Wochen habe und nun teste und lerne ?

lern wie man’s deinstalliert. Das ist der beste Teil…

Besteht eigentlich hinsichtlich der NTFS-Komprimierung
(nicht Zip!) das gleiche Risiko, daß ich womöglich mit einem neu
erstellten System (2.a) und 2.b) analog zu 1.) nicht mehr
zugreifen kann?

Die „NTFS-Komprimierung“ ist ein netter Werbegag. Das wird seit win2k angepriessen, wurde aber nie wirklich umgesetzt. Die Dateien nehmen durch die Komprimierung nicht weniger Platz weg, es passen auch nicht mehr Dateien auf die Platte weil man sie komprimiert. Das einzige was sich ändert die Grössenanzeige in Windows. Kann man relativ einfach testen: erstell eine 1GB-NTFS-Partition, erstell ein Verzeichnis, markiers als Komprimiertes Verzeichnis und versuch eine 1.1 GB-Datei reinzukopieren. Es wird nicht gehen, egal wie gut die Datei komprimierbar ist.

(An sich werden die Dateien mit einer Art gzip komprimiert. Der dadurch gewonnene Speicherplatz wird aber nicht freigegeben. Damit ist das System sinnfrei. Da die Komprimierungsalgor. immer die gleichen sind ist das System aber ungefährlich. Man kann komprimierte Dateien also nicht durch eine Neuinstallation verlieren, es sei denn der Installer überschreibt sie oder sie fallen einer Formatierung zum Opfer. Aber das kann bei normalen Dateien auch passieren.)

So nebenbei, wenn dem so ist, was machen diese Funktionen dann
für einen Sinn?? Systemsicherheit ist ja wohl allererste
User-Pfllicht für ein halbwegs sorgenfreies Windows-Leben.

Sinn ? in Windows-Systemen ? nein, nie gesehen, wovon sprichst du ?

Wenn ich die Bootpartition komplett kopiere und als BackUp
verstecke (z.B. mit PartitionMagic). Bleiben dann die
Verschlüsselungs-Algorithmen gleich, wenn ich sie im Defektfalle
zurückkopiere?

(Die Algorithmen bleiben immer gleich, nur die Schlüssel ändern sich)

Das müsste gehen wenn PM eine „Bitwise-Komplett“-Kopie macht. (Ich weis nicht ob Partitionmagic alles kopiert oder nur die nicht versteckten Dateien. Wenn du dich drauf verlassen willst tests vorher.)

Müßte doch eigentlich so sein, erscheint mir jedenfalls logisch.

Es hängt davon ab wie gut Windows die Schlüssel schützt. Als unter Linux die „shadow“-Passwort-Dateien aufgetaucht sind hatten einige Festplatten-Kopier-programme damit grosse Probleme. Hatte sich aber nach 1-2 Monaten erledigt. Kann mir durchaus vorstellen das PM in höheren Versionen das problemlos macht.

Normalerweise würde ich so eine dämliche Frage nicht stellen,
aber da ich noch kaum XP-Erfahrung habe und MS mal grundsätzlich
alles zutraue (ich denk’ mal, daß das eine gesunde
Einstellung ist)

Jupp ist es. Die 2. gute Einstellung sind BACKUPS. Desdo mehr, desdo besser. Unbehängig vom System.

Guten Rutsch

Danke gleichfalls.

und vielen Dank für eventuelle Hinweise,

Das meiste gilt für win2k, winXP und windows „2003“. Offizel heist das Verschlüsselungssystem EFS, falls du mal was zu dem Thema suchts.

cu

Anonym · 29. Dezember 2003 um 04:10

Moin Pumpkin,

vielen Dank, für deine schnelle und umfangreiche Antwort.

[…]

Hab mir den Artikel durchgelesen der hier gepostet wurde
(nochmals danke).

Hä?? – Keine Ursache

In dem wurden ein paar Interna die mir neu
waren diskutiert. Wenn das alles so stimmt:

Ich hatte mich auf DEINEN Text bezogen. Was meinst Du?

Verschlüsselung dieser Art gibts bei NTFS unter win2k und
unter winXP (evtl auch unter win2003, aber der Artikel war von
2002).

Pit hatte einfach nur „Win XP“ angegeben und sein Posting war vom 25.12.2003 20:39 Uhr – Was meinst Du?

Beide benutzen genau das gleiche Prinzip. Was
rausgekommen kann hast du erlebt.

Nun ja, ich denke Pit hat’s erlebt.

[Sicher] […] wenn man Windows nicht verändert und die Schüssel-Dateien nicht
löscht/verliert/verändert/weg-formatiert/durch einen
Festplattencrash flöten gehen.

Eben.

Vor Zugriff durch Fremde schützt das System eigentlich nicht.

Das hatte ich auch nicht gemeint.

[…]

Man muss die „Schlüssel“ retten. Sie stehen (angeblich, kanns
nicht testen da kein windows greifbar ist) in einem
Unterverzeichniss von „c:\Documents“

Also ich übersetze mal in die deutsche Version: „C:\Dokumente und Einstellungen“ – korrekt?
Da habe ich (Ordner nicht mitgerechnet) 108743 Einträge, wenn alles sichtbar ist. Und das ohne eingetragene Benutzer oder Gäste, nur mit dem Administrator, dem „Default User“ und den „All Users“. Ich würde mal sagen, das ist das gesamte System mit allen Dateien, die überhaupt auf dem Rechner sind. Ich fange an zu begreifen, daß dieser ganze Ordner „Dokumente und Einstellungen“ nur ein Spiegel ist.
Man müßte also schon mehr wissen. Dateiname, -Typ, -Größe, -Attribut? Irgendwas, was die Suche eingrenzen könnte.

(und in der Registery ?).

Na da müßte man erst recht genau wissen wo und was.

Versteckt und unter windows nicht
auslesbar/backup-bar/kopierbar.

Aber sichtbar schon, oder?

Unter Linux oder mit dem NTFS-DOS-Treiber kann man die
Schlüssel-Dateien (wie jede andere Datei auch, Benutzerrechte
hin oder her) frei auslesen.

Linux kann ich nicht. „NTFS-DOS-Treiber“ höre ich eben das erste Mal, kann man per Google suchen, als Freeware gibt es allerdings offensichtlich nur reine Reader. Um schreiben zu können, braucht es mehrere 100 € teuere Progis.

Weshalb das System auch nicht sicher ist. […] (nicht getestet, da kein windows
greifbar. Wenn du kannst wäre ein Erfahrungsbericht willkommen…

Das ist mir im Moment zu aufwendig. Ich habe ja (gottseidank!) keinen Notfall.

Bei den alten Dateien hilfts nichts da der Schlüssel weg ist)

So hatte ich Dich verstanden.

Ist eigentlich praktisch, dann muss man nicht so lange nach
wichtigen Dateien suchen. Die verschlüsselten werdens
wahrscheinlich sein… […]

Du sprichst in Rätseln. Wie erkenne ich verschlüsselte Dateien, ohne den Versuch zu unternehmen, sie zu öffnen?

[…]

Die „NTFS-Komprimierung“ ist ein netter Werbegag. […] Das einzige was sich
ändert die Grössenanzeige in Windows.

Ach, ist ja ein Ding!

Kann man relativ einfach testen:
erstell eine 1GB-NTFS-Partition, erstell ein Verzeichnis,
markiers als Komprimiertes Verzeichnis und versuch eine 1.1
GB-Datei reinzukopieren. Es wird nicht gehen, egal wie gut die
Datei komprimierbar ist.

So, wie du es beschreibst, wundert es mich nicht. Die Komprimierung findet ja erst in dem als komprimiert gesetzten Laufwerk statt. Dort kommt die Datei aber nicht an (zumindest nicht vollständig), weil sie ja 0,1 GB zu groß ist.

(An sich werden die Dateien mit einer Art gzip komprimiert.

Was ist denn das? Kann man das auch mit WinZip öffnen?

Der dadurch gewonnene Speicherplatz wird aber nicht
freigegeben. Damit ist das System sinnfrei.

Würde ich dann auch so sehen. Das werde ich gelegentlich mal testen.

[…] Man kann komprimierte Dateien also nicht
durch eine Neuinstallation verlieren, […]

… zumindest nicht wegen des Komprimierens.

[…]

[…]

Wenn ich die Bootpartition komplett kopiere und als BackUp
verstecke (z.B. mit PartitionMagic). Bleiben dann die
Verschlüsselungs-Algorithmen gleich, wenn ich sie im Defektfalle
zurückkopiere?

(Die Algorithmen bleiben immer gleich, nur die Schlüssel
ändern sich)

Das müsste gehen wenn PM eine „Bitwise-Komplett“-Kopie macht.

Das ist eben der Sinn einer Partitionskopie: Bit-weise. Das tut es. Es kopiert ohne nach dem Sinn zu fragen. Es kopiert auch gelöschte Daten, sofern sie noch nicht überschrieben wurden.

[…]

Es hängt davon ab wie gut Windows die Schlüssel schützt. Als
unter Linux die „shadow“-Passwort-Dateien aufgetaucht sind
hatten einige Festplatten-Kopier-programme damit grosse
Probleme. Hatte sich aber nach 1-2 Monaten erledigt. Kann mir
durchaus vorstellen das PM in höheren Versionen das problemlos
macht.

[…]

[…] Die 2. gute Einstellung sind BACKUPS. Desdo mehr,
desdo besser. Unbehängig vom System.

Das kann ich nur bestätigen. Es kommt sehr darauf an, Brain 1.0 oder höher zu verwenden.

Das meiste gilt für win2k, winXP und windows „2003“.

Was ist Win „2003“? Hab ich da was verpaßt? Ich kenn’ nur Office XP und Office 2003.

Offizel heist das Verschlüsselungssystem EFS, falls du mal was zu dem
Thema suchts.

Vielen Dank jedenfalls, hat meinen Überblick erweitert und zu weiteren Überlegungen angeregt.

Flutschigen Gruß,
Kristian

pumpkin_1768a9 · 29. Dezember 2003 um 20:47

Moin

Pit hatte einfach nur „Win XP“ angegeben und sein Posting war
vom 25.12.2003 20:39 Uhr ? Was meinst Du?

Den Link: http://www.winntmag.com/Articles/Index.cfm?ArticleID…

von Paul. (3-4 Artikel unter diesem, Titel „Nach/Zwischenfrage“)

Also ich übersetze mal in die deutsche Version: „C:\Dokumente
und Einstellungen“ ? korrekt?

jupp. (ist in jeder Sprache anders…)

Da habe ich (Ordner nicht mitgerechnet) 108743 Einträge, wenn
alles sichtbar ist.

ufff. Das System ist etwas voll oder ?

Ich würde mal sagen, das ist das gesamte System
mit allen Dateien, die überhaupt auf dem Rechner sind.

Von der Zahl her geb ich dir mal Recht. Nun sinds auf meinem win2k-Rechner nur 904 Einträge mit 128MB. ähm… irgendwas passt da nicht.

Ich fange an zu begreifen, daß dieser ganze Ordner „Dokumente
und Einstellungen“ nur ein Spiegel ist.

An sich normalerweise nicht (Verzeichniss „recent“ mal ausgenommen). läuft dein System stabil ? Sonst keine Auffälligkeiten ? die Platte ist nicht zu 120% belegt… oder so was in der Art ?

Man müßte also schon mehr wissen. Dateiname, -Typ, -Größe,
-Attribut? Irgendwas, was die Suche eingrenzen könnte.

Im Netz hab ich als Beispiel
Administrator\Application Data\Microsoft\SystemCertificates\My\Certificates\CD099602FD898D7EFCDC4283C6742D30A15A0062 gefunden.

Also erstmal alles unter
Application Data\Microsoft\SystemCertificates\

für alle Benutzer.

(und in der Registery ?).

Na da müßte man erst recht genau wissen wo und was.

HKEY_CURRENT_USER\Software\ Microsoft\Windows NT\ CurrentVersion\ EFS\

und folgende.

Aber sichtbar schon, oder?

Bei mir so direkt nicht. Aber theo. sind aus auch nur Dateien.

Unter Linux oder mit dem NTFS-DOS-Treiber kann man die
Schlüssel-Dateien (wie jede andere Datei auch, Benutzerrechte
hin oder her) frei auslesen.

Linux kann ich nicht. „NTFS-DOS-Treiber“ höre ich eben das
erste Mal, kann man per Google suchen, als Freeware gibt es
allerdings offensichtlich nur reine Reader.

Reicht doch… Man will den Schlüssel ja nicht ändern, nur auslesen.

Ist eigentlich praktisch, dann muss man nicht so lange nach
wichtigen Dateien suchen. Die verschlüsselten werdens
wahrscheinlich sein… [?]

Du sprichst in Rätseln. Wie erkenne ich verschlüsselte
Dateien, ohne den Versuch zu unternehmen, sie zu öffnen?

Der Linux-NTFS-Treiber markiert verschlüsselte Dateien mit einem Attribut nach dem man suchen kann. Sowas wie das Attribut „read-only“ unter windows.

Kann man relativ einfach testen:
erstell eine 1GB-NTFS-Partition, erstell ein Verzeichnis,
markiers als Komprimiertes Verzeichnis und versuch eine 1.1
GB-Datei reinzukopieren. Es wird nicht gehen, egal wie gut die
Datei komprimierbar ist.

So, wie du es beschreibst, wundert es mich nicht. Die
Komprimierung findet ja erst in dem als komprimiert gesetzten
Laufwerk statt. Dort kommt die Datei aber nicht an (zumindest
nicht vollständig), weil sie ja 0,1 GB zu groß ist.

Es funktioniert auch nicht wenn du 1100 Dateien à 1 MB reinkopierst. Nach 1000 Dateien ist Feierabend.

(An sich werden die Dateien mit einer Art gzip komprimiert.

Was ist denn das? Kann man das auch mit WinZip öffnen?

Im Notfall müsste das gehen. Allerdings würd ich dafür meine Hand nicht ins Feuer legen.

Das müsste gehen wenn PM eine „Bitwise-Komplett“-Kopie macht.

Das ist eben der Sinn einer Partitionskopie: Bit-weise. Das
tut es. Es kopiert ohne nach dem Sinn zu fragen. Es kopiert
auch gelöschte Daten, sofern sie noch nicht überschrieben
wurden.

Gut. (Es gibt ja auch Programme die nur die benutzten Teile der Parition kopieren. Macht ja auch Sinn, meistens will man die gelöschten Dateien ja nicht auch noch haben)

Das meiste gilt für win2k, winXP und windows „2003“.

Was ist Win „2003“? Hab ich da was verpaßt? Ich kenn’ nur
Office XP und Office 2003.

Und was soll die bescheuerte Werbung die bis vor 2-3 Wochen lief bewerben ? gings da nicht um die server-version von Longhorn, genannt 2003 ?

cu