Moien
Taugen tut der Algo schon was. Ist ein modifizierter
triple-DES. Ohne Spezialhardware nicht zu knacken.
Ich dachte seit SP2 wird AES benutzt?
Wenn du EFS nach der Installation von SP2 einschaltest (und noch ein bisschen an den Configs rumspielst): ja.
Gegen was/wen schützt das ganze?
Hauptsächlich gegen Neuinstallationen. Wenn man windows neu
installiert ist kein Zugriff mehr auf die Dateien möglich
(wenn man die Keys nicht vorher gesichert hat).
Ja, so soll es doch sein. Sinn der Verschlüsselung ist doch
nicht es mit Leichtigkeit wieder knacken zu können.
Nur wissen die meisten Heimanwender nicht nach einer Neuinstallation alle EFS-Daten weg sind. Für Profis mit einem Domaincontroller der die Keys, Zertifikate, …usw backuped ist es kein Thema.
D.h. wenn dein
Windows irgendwann die Segel streicht war’s das.
In deiner Argumentationslinie frage ich mich, wenn man sein
eigenes (altes) PW ja kennt, warum man dann nicht die Dateien
wieder mit Leichtigkeit herstellen können sollte
Das Passwort alleine reicht nicht.
(wenn man das
Zertifikat natürlich gesichert hat- aber wahrscheinlich liegt
da dein Ansatz).
Nun erklär das mal einem Heimanwender …
Was würdest du zum Verschlüsseln empfehlen (auch hinsichtlich
der Performance und Usability)?
ATA-Security Commands. Für den Heimanwender sicher genug, komplett unabhängig vom OS.
Schöner wäre natürlich, wenn die ganze HDD verschlüsselt
werden könnte, also auch Startpartition mit Auslagerungsdatei
etc ohne große Performanceeinbußen. Vielleicht hast du da eine
Empfehlung?
Es gibt (IMHO allerdings nicht für windows) einen Kerneltreiber der alles ausser /boot AES verschlüsselt. AES auf normalen Systemen schon ziemlich fix, aber zusammen mit einer VIA C7 CPU kommt man auf > 200MB/s verschlüsselung. Für Dateiserver ganz nett.
TrueCrypt? Was ist mit kommerziellen Produkten,
die die ganze Partition verschlüsseln?
Die meisten partitionsweise arbeitenden Tools haben ein simples Problem: Wenn ein Rechner abschmiert ist NTFS (in der Theorie) immer in einem konsistenten Zustand. D.h. alleine mit dem Log sollte es möglich sein alle abgebrochenen Schreibvorgänge irgendwie in einen sinnvollen Zustand zu überführen. Das klappt bei partitionsweiser Verschlüsselung nicht mehr. Die meisten erzeugen eine vituelle Platte und verschlüsseln Blockweise mit Blockgrössen von 16KB bis 256KB. Damit kann sich die Reihenfolge beim zurückschreiben ändern (die wenigsten hören auf sync-commands) und es können ganz Blöcke über die Wupper gehen (erster Teil geschrieben, Rechnercrash, inkonsistenter Block => kein Entschlüsseln möglich).
cu