Wie gut ist die Verschlüsselung von WinXP?

Hallo Leute

Ich setze WinXP SP2 ein. Im Eigenschaften-Dialog einer Datei bzw. eines Ordners kann man die Option „Verschlüsseln“ angeben. Danach wird die Datei/Ordner in einer anderen Farbe angezeigt. Man kann aber weder Optionen noch Passwörter o.ä. dabei angeben.

Daher die Frage: wozu taugt diese Verschlüsselung? Gegen was/wen schützt das ganze?

Hat da jemand Erfahrungen damit? Ich könnte natürlich auch selber herumprobieren, kostet aber viel Zeit.

Im speziellen Interessiert mich ja folgendes: Der Zugriffsschutz im XP ist zwar recht nett, boote ich aber von einer Knoppix-CD (oder BartPE oder was auch immer), so kann ich alle Dateien auslesen, egal welche Attribute die Datei hat. Schützt die Verschlüsselung von XP wirksam vor so einem Zugriff?

lg
Erwin

Moien

Man kann aber weder Optionen noch Passwörter o.ä.
dabei angeben.

Es wird dein Loginpasswort (über 7 Ecken) benutzt.

Daher die Frage: wozu taugt diese Verschlüsselung?

Taugen tut der Algo schon was. Ist ein modifizierter triple-DES. Ohne Spezialhardware nicht zu knacken.

Allerdings ist dein Loginpasswort selbst nicht sonderlich gut geschützt. Man kann es sich im Internet recover lassen: http://www.loginrecovery.com/

Gegen was/wen schützt das ganze?

Hauptsächlich gegen Neuinstallationen. Wenn man windows neu installiert ist kein Zugriff mehr auf die Dateien möglich (wenn man die Keys nicht vorher gesichert hat). D.h. wenn dein Windows irgendwann die Segel streicht war’s das.

Im speziellen Interessiert mich ja folgendes: Der
Zugriffsschutz im XP ist zwar recht nett, boote ich aber von
einer Knoppix-CD (oder BartPE oder was auch immer), so kann
ich alle Dateien auslesen, egal welche Attribute die Datei
hat. Schützt die Verschlüsselung von XP wirksam vor so einem
Zugriff?

Jupp. Bis jemand dein Loginpasswort knackt.

cu

Hallo,

Taugen tut der Algo schon was. Ist ein modifizierter
triple-DES. Ohne Spezialhardware nicht zu knacken.

Ich dachte seit SP2 wird AES benutzt?

Gegen was/wen schützt das ganze?

Hauptsächlich gegen Neuinstallationen. Wenn man windows neu
installiert ist kein Zugriff mehr auf die Dateien möglich
(wenn man die Keys nicht vorher gesichert hat).

Ja, so soll es doch sein. Sinn der Verschlüsselung ist doch nicht es mit Leichtigkeit wieder knacken zu können.

D.h. wenn dein
Windows irgendwann die Segel streicht war’s das.

In deiner Argumentationslinie frage ich mich, wenn man sein eigenes (altes) PW ja kennt, warum man dann nicht die Dateien wieder mit Leichtigkeit herstellen können sollte (wenn man das Zertifikat natürlich gesichert hat- aber wahrscheinlich liegt da dein Ansatz).

Was würdest du zum Verschlüsseln empfehlen (auch hinsichtlich der Performance und Usability)? Benutze selbst EFS für Office-Dateien und Mail und merke da Performance-mäßig keine Einbußen.

Schöner wäre natürlich, wenn die ganze HDD verschlüsselt werden könnte, also auch Startpartition mit Auslagerungsdatei etc ohne große Performanceeinbußen. Vielleicht hast du da eine Empfehlung? TrueCrypt? Was ist mit kommerziellen Produkten, die die ganze Partition verschlüsseln?

Viele Grüße,
Knut

Moien

Taugen tut der Algo schon was. Ist ein modifizierter
triple-DES. Ohne Spezialhardware nicht zu knacken.

Ich dachte seit SP2 wird AES benutzt?

Wenn du EFS nach der Installation von SP2 einschaltest (und noch ein bisschen an den Configs rumspielst): ja.

Gegen was/wen schützt das ganze?

Hauptsächlich gegen Neuinstallationen. Wenn man windows neu
installiert ist kein Zugriff mehr auf die Dateien möglich
(wenn man die Keys nicht vorher gesichert hat).

Ja, so soll es doch sein. Sinn der Verschlüsselung ist doch
nicht es mit Leichtigkeit wieder knacken zu können.

Nur wissen die meisten Heimanwender nicht nach einer Neuinstallation alle EFS-Daten weg sind. Für Profis mit einem Domaincontroller der die Keys, Zertifikate, …usw backuped ist es kein Thema.

D.h. wenn dein
Windows irgendwann die Segel streicht war’s das.

In deiner Argumentationslinie frage ich mich, wenn man sein
eigenes (altes) PW ja kennt, warum man dann nicht die Dateien
wieder mit Leichtigkeit herstellen können sollte

Das Passwort alleine reicht nicht.

(wenn man das
Zertifikat natürlich gesichert hat- aber wahrscheinlich liegt
da dein Ansatz).

Nun erklär das mal einem Heimanwender …

Was würdest du zum Verschlüsseln empfehlen (auch hinsichtlich
der Performance und Usability)?

ATA-Security Commands. Für den Heimanwender sicher genug, komplett unabhängig vom OS.

Schöner wäre natürlich, wenn die ganze HDD verschlüsselt
werden könnte, also auch Startpartition mit Auslagerungsdatei
etc ohne große Performanceeinbußen. Vielleicht hast du da eine
Empfehlung?

Es gibt (IMHO allerdings nicht für windows) einen Kerneltreiber der alles ausser /boot AES verschlüsselt. AES auf normalen Systemen schon ziemlich fix, aber zusammen mit einer VIA C7 CPU kommt man auf > 200MB/s verschlüsselung. Für Dateiserver ganz nett.

TrueCrypt? Was ist mit kommerziellen Produkten,
die die ganze Partition verschlüsseln?

Die meisten partitionsweise arbeitenden Tools haben ein simples Problem: Wenn ein Rechner abschmiert ist NTFS (in der Theorie) immer in einem konsistenten Zustand. D.h. alleine mit dem Log sollte es möglich sein alle abgebrochenen Schreibvorgänge irgendwie in einen sinnvollen Zustand zu überführen. Das klappt bei partitionsweiser Verschlüsselung nicht mehr. Die meisten erzeugen eine vituelle Platte und verschlüsseln Blockweise mit Blockgrössen von 16KB bis 256KB. Damit kann sich die Reihenfolge beim zurückschreiben ändern (die wenigsten hören auf sync-commands) und es können ganz Blöcke über die Wupper gehen (erster Teil geschrieben, Rechnercrash, inkonsistenter Block => kein Entschlüsseln möglich).

cu

hi pumpkin

das war ja alles schon mal ganz aufschlussreich und hat sich ein sternchen verdient. die grosse preisfrage: ich habe ein verzeichnis verschlüsselt. nun kopiere ist die die daten auf ein anderes medium (wechselfestplatte, usb-stick, cd-rom, wasauchimmer). für mein verständnis müssten nun die daten unverschlüsselt am anderem medium sein. wenn ich aber die daten am wechselmedium explizit nochmal verschlüssele (wird vermutlich beim cd-rom nicht so leicht sein), wie kann ich die daten nun noch lesen?

sprich: ich habe zwei pcs mit jeweils dem selben benutzernamen und dem selben passwort. daten werden am rechner a auf usb-stick geschrieben und verschlüsselt. wie kann ich die daten am rechner b einlesen? sinngemäss gilt das natürlich auf für backups, wiederherstellen einer defekten installation usw.

offenbar gibt es da ja zertifikate, schlüsseldateien etc. nur wie komme ich an die ran bzw. nehme die auf einen anderen rechner mit? gibt es da eine vernünftig doku im netz?

ich persönlich würde mich als ziemlich erfahrenen anwender bezeichnen (arbeite mit windows seit 2.0 und habe keine hemmungen vor dem regedit), suche aber nach einer lösung für einen ziemlichen dau.

lg
erwin

Hallo,
deine Umschalttaste scheint defekt zu sein. Zur Verbesserung der Lesbarkeit und damit einhergehenden Steigerung der Chancen auf hilfreiche Antworten, solltest du das beheben.

ich habe ein verzeichnis verschlüsselt. nun kopiere ist die die
daten auf ein anderes medium (wechselfestplatte, usb-stick, cd-rom,
wasauchimmer).

EFS ist eine Erweiterung des Dateisystems NTFS. Ist der USB-Stick etwa mit einem FAT-Dateisystem versehen, müsste die Datei entschlüsselt werden: der Explorer etwa fragt dann nach, ob die Datei wirklich entschlüsselt abgelegt werden soll; andere Programme legen die Datei stillschweigend entschlüsselt ab oder sie speichern nur den verschlüsselten Datenstrom in die Datei, was eine im Grunde wertlose Datei hinterlässt.

für mein verständnis müssten nun die daten unverschlüsselt am
anderem medium sein. wenn ich aber die daten am wechselmedium
explizit nochmal verschlüssele (wird vermutlich beim cd-rom nicht
so leicht sein), wie kann ich die daten nun noch lesen?

Das kommt darauf an, wie du sie `explizit nochmal verschlüsselt’ hast.

sprich: ich habe zwei pcs mit jeweils dem selben benutzernamen
und dem selben passwort.

Zwei Benutzer, die auf verschiedenen Rechnern liegen sind im Allgemeinen auch dann zwei verschiedene Benutzer, wenn sie denselben Benutzernamen und dasselbe Passwort haben. Sie haben insbesondere unterschiedliche Security-IDs (SID) und benutzen unterschiedliche Zertifikate für EFS.

daten werden am rechner a auf usb-stick geschrieben
und verschlüsselt.

Wie - USB-Sticks sind im Allgemeinen nicht mit NTFS formatiert?

offenbar gibt es da ja zertifikate, schlüsseldateien etc. nur
wie komme ich an die ran bzw. nehme die auf einen anderen
rechner mit?

Das Zertifikat, das von EFS verwendet wird, kann über das Zertifikate-Snap-In der Managment-Konsole (certmgr.msc - Eigene Zertifikate - Zertifikate) eingesehen und auch gesichert werden.


Philipp

1 „Gefällt mir“

hi Philipp

Wie ich schon mal in einem anderen Posting/andere Brett erwähnt habe, ist die linke Shifttaste meines Laptops nach einem gezielten Fausschlag meines kleinen Sohnes tatsächlich defekt (besser gesagt, vollständig aus der Tastatur entfernt). Reparieren ist eine gute Idee aber aufwändig und nicht so einfach (müsste das Gerät zumindest einschicken…). Es geht zwar auch mit der rechten Taste und notfalls auch mit der CAPSLOCKTASTE, ist aber mühsam.

Danke auf jeden Fall für deine Antwort. Bin gerade dabei es auszuprobieren. Exportieren hab ich schon geschafft, allerdings wird der private Schlüssel nicht mitexportiert. Keine Ahnung, ob das relevant ist oder nicht. Wie das ganze in das Zweitsystem wieder reinkommt, werde ich noch testen müssen…

Insofern nochmal die Frage: da muss doch irgendwo eine Doku dazu zu finen sein. Gibt es da eine halbwegs leicht verständliche? Mit dem theoretischen Blabla der RFCs ohne Beispiele komme ich nicht so leicht zurecht.

lg
Erwin