Wie sicher sind die Daten in einem verschlüsselten NTFS-Ordner unter Windows (XP, 7)?

Was ist EFS?

Ordner unter NTFS verschlüsselt mit einer speziellen Teilmenge von NTFS namens Encrypting File System (EFS). EFS ist eine Verschlüsselung auf Dateiebene in NTFS. Der Ordner ist eigentlich ein spezieller Dateityp, der auf alle Dateien im Ordner denselben Schlüssel anwendet. NTFS auf Festplattenformat 3.1 wurde mit Windows XP veröffentlicht. Windows 7 verwendet NTFS auf der Festplatte. Der NTFS-Treiber wurde jedoch von 5.1 unter Windows XP auf 6.1 unter Windows 7 geändert. Die Bits auf der Festplatte haben sich nicht geändert, aber das Protokoll für die Verarbeitung der Bits zur und von der Festplatte hat Funktionen in Windows 7 hinzugefügt.

Welchen Algorithmus wird verwendet?

Windows XP (kein Service Pack): DES-X (Standard), Triple DES (verfügbar)

Windows XP SP1 - Windows Server 2008: AES -256 symmetrisch (Standard), DES-X (verfügbar), Triple DES (verfügbar)

Windows 7, Windows Server 2008 R2: Betrieb im gemischten Modus des ECC- und RSA-Algorithmus

Welche Schlüsselgröße wird verwendet?

Windows XP und Windows 2003: 1024 Bit

Windows Server 2003: 1024 Bit (Standard), 2048 Bit, 4096 Bit, 8192 Bit, 16384 Bit

Windows Server 2008: 2048 Bit (Standard), 1024 Bit, 4096 Bit, 8192 Bit, 16384 Bit

Windows 7, Windows Server 2008 R2 für ECC: 256-Bit (Standard), 384-Bit, 512-Bit

Windows 7, Windows Server 2008 R2 für AES, DES-X , Triple DES: RSA 1024-Bit (Standard), 2048-Bit, 4096-Bit, 8192 Bit, 16384 Bit;

Wie ist der Verschlüsselungsschlüssel geschützt?

Der Dateiverschlüsselungsschlüssel (FEC) wird mit dem öffentlichen RSA-Schlüssel des Benutzers verschlüsselt und an die verschlüsselte Datei angehängt.

Wie ist der private RSA-Schlüssel des Benutzers geschützt?

Der private RSA-Schlüssel des Benutzers wird mit einem Hash des NTLM-Kennwort-Hash des Benutzers plus dem Benutzernamen verschlüsselt.

Wie ist das Kennwort des Benutzers geschützt? ?

Das Kennwort des Benutzers wird gehasht und in der SAM-Datei gespeichert.

Wenn ein Angreifer eine Kopie der SAM-Datei erhalten kann, kann er möglicherweise das Kennwort des Benutzers bei einem Regenbogentabellenangriff ermitteln.

Mit dem Benutzernamen und dem Kennwort kann ein Angreifer den privaten RSA-Schlüssel entschlüsseln. Mit dem privaten RSA-Schlüssel kann der Angreifer jede mit einer verschlüsselten Datei gespeicherte FEC entschlüsseln und die Datei entschlüsseln.

Also ...

Der Inhalt des verschlüsselten Ordners ist so sicher wie das Passwort des Benutzers.

Wenn der Benutzer ein anständiges Passwort verwendet, können diese Daten (leicht?) entschlüsselt werden, wenn sie sich beispielsweise auf einem Laptop befinden und das heißt gestohlen?

Wahrscheinlich nicht von einem Gegner mit einem typischen PC. Bei ausreichenden Ressourcen wie einer GPU oder einem FPGA-System zum Knacken von Passwörtern können EFS-Daten jedoch innerhalb kurzer Zeit anfällig sein.

Ein zufälliges 12-stelliges Passwort (oberes unteres und Symbol) kann Wochen oder Monate lang gegen ein Passwort-Cracking-System gelten. Siehe "Leistung von Grafikprozessoren kann die Kennwortsicherheit gefährden" Ein erheblich längeres Kennwort kann Jahre oder Jahrzehnte dauern.

Es ist genau so sicher wie das schwächste Kennwort für jedes Konto, das auf die Datei zugreifen kann. Wenn dieses Passwort "7XhqL3w0, DBC1y" lautet, ist es praktisch unverwundbar. Wenn es "il0veu" ist, kann es genauso gut überhaupt nicht verschlüsselt werden.

kurze Antwort ...

Ja, EFS ist sicher, wenn (und nur wenn) das Kennwort eines bestimmten Benutzerkontos nicht trivial ist.

jedoch ...

Es gibt bessere Lösungen wie FDE mit Smartcard + PIN oder TPM (plus PIN und / oder Token). Viel zu oft wird die Verschlüsselung von schlecht ausgewählten Passwörtern unbrauchbar gemacht, daher korrigieren die obigen Angaben dies. Darüber hinaus löst FDE das Problem, dass Reste von Dateien in temporären Ordnern, Paging- oder Ruhezustandsdateien usw. entdeckt werden.

BEARBEITEN: Als Antwort auf Benutzerkommentare ...

FDE = voll Festplattenverschlüsselung, bei der die gesamte Festplatte oder ein wesentlicher Teil (dh die Festplatte mit Ausnahme bestimmter Startkomponenten) über eine hardware- oder softwarebasierte Implementierung verschlüsselt wird.

TPM = Trusted Platform Module, bezogen auf ein festes, manipulationssicheres Modul Chip zum Speichern kryptografischer Informationen

Das Passwort ist der schwächste Teil des Systems. Sie müssten ein sehr langes (mehr als 14 Zeichen) und sehr zufälliges Passwort haben, um zu verhindern, dass es gehackt wird.

Die anderen Teile sind sicher. Der private Schlüssel und der Verschlüsselungsschlüssel sind mit der heutigen Technologie nicht zu knacken.

Es gibt immer noch Möglichkeiten, dies zu umgehen. Zum Beispiel könnte jemand einen USB-Keylogger zwischen Ihrer Tastatur und Ihrem Computer installieren und Ihr Passwort auf diese Weise stehlen.

Es verwendet AES-256 in XP und ECC in Windows 7 Wenn jedoch jemand Ihren Computer in die Hand nimmt und Ihr Kennwort knacken kann, kann er auf Ihre Dateien zugreifen. Also besser als nichts, aber nur knapp.

Beachten Sie, dass der Schlüssel zur Messung der Sicherheit nicht nur die Entropie des Kennworts ist, sondern das schwächste Glied in der Kette. In diesem Fall spielt die physische Sicherheit des Computers eine Rolle, zusätzlich dazu, ob sich der Computer in einer Windows-Domäne befindet.

Es ist ziemlich trivial, ein Windows-Kennwort mit Trinity zurückzusetzen, vorausgesetzt, Sie können eine DVD einlegen das Laufwerk und starten Sie den Computer neu. Das nächst schwächste Glied sind andere Administratoren in einem Windows-Domänennetzwerk, die einfach Ihr Kennwort zurücksetzen und Zugriff auf die Dateien erhalten können.