it-swarm-eu.dev

Jak bezpečné je šifrování NTFS?

Jak zabezpečená jsou data ve šifrované složce NTFS ve Windows (XP, 7)?

(Možnost šifrování ve složce | složka -> vlastnosti -> pokročilé -> šifrování.)

Pokud uživatel používá slušné heslo, lze tato data dešifrovat (snadno?), Pokud se například nachází v notebooku a to je ukradeno?

32
Martin

Jak zabezpečená jsou data ve šifrované složce NTFS ve Windows (XP, 7)?

Co je EFS?

Složky na NTFS jsou šifrovány pomocí specializované podmnožiny NTFS nazvané Encrypting File System (EFS). EFS je šifrování na úrovni souborů v NTFS. Složka je ve skutečnosti specializovaný typ souboru, který aplikuje stejný klíč na všechny soubory ve složce. NTFS ve formátu disku 3.1 byl vydán v systému Windows XP. Windows 7 používá NTFS ve formátu disku. Ovladač NTFS však přešel z 5.1 na Windows XP na 6.1 na Windows 7. Bity na disku se nezměnily, ale protokol pro zpracování bitů na az disku přidal funkce v Windows 7.

Jaký algoritmus používá?

Windows XP (bez aktualizace Service Pack): DES-X (výchozí), Triple DES (k dispozici))

Windows XP SP1 - Windows Server 2008: AES-256 symetrický (výchozí), DES-X (k dispozici), Triple DES (k dispozici))

Windows 7, Windows Server 2008 R2: „smíšený režim“ algoritmu ECC a RSA

Jakou velikost klíče používá?

Windows XP a Windows 2003: 1024 bitů)

Windows Server 2003: 1024 bitů (výchozí), 2048 bitů, 4096 bitů, 8192 bitů, 16384 bitů

Windows Server 2008: 2048 bitů (výchozí), 1024 bitů, 4096 bitů, 8192 bitů, 16384 bitů

Windows 7, Windows Server 2008 R2 pro ECC: 256bitový (výchozí), 384bitový, 512bitový

Windows 7, Windows Server 2008 R2 pro AES, DES-X, Triple DES: RSA 1024 bitů (výchozí), 2048 bitů, 4096 bitů, 8192 bitů, 16384 bitů;

Jak je šifrovací klíč chráněn?

Klíč šifrování souborů (FEC) je šifrován veřejným klíčem RSA uživatele a připojen k šifrovanému souboru.

Jak je chráněn soukromý klíč RSA uživatele?

Soukromý klíč RSA uživatele je šifrován pomocí hashe hash hesla NTLM uživatele plus uživatelského jména.

Jak je chráněno heslo uživatele?

Heslo uživatele je hashováno a uloženo do souboru SAM.

Pokud tedy útočník může získat kopii souboru SAM, může být schopen zjistit heslo uživatele pomocí útoku tabulky Rainbow.

Vzhledem k uživatelskému jménu a heslu může útočník dešifrovat soukromý klíč RSA. Se soukromým klíčem RSA může útočník dešifrovat jakýkoli FEC) uložený v libovolném šifrovaném souboru a dešifrovat soubor.

Tak...

Obsah šifrované složky je stejně bezpečný jako heslo uživatele.

Pokud uživatel používá slušné heslo, lze tato data dešifrovat (snadno?), Pokud se například nachází v notebooku a to je ukradeno?

Pravděpodobně ne protivníkem s typickým osobním počítačem. Avšak vzhledem k dostatečným zdrojům, jako je systém prolomení hesla GPU nebo FPGA, mohou být data EFS zranitelná během krátké doby.

Náhodné 12místné (horní a symbolické) heslo se může vydržet týdny nebo měsíce proti systému prolomení hesla. Viz „Výkon jednotek grafického zpracování může ohrozit zabezpečení heslem“ Výrazně delší heslo může trvat roky nebo desetiletí.

39
this.josh

Je stejně bezpečné jako nejslabší heslo pro jakýkoli účet, který má přístup k souboru. Pokud je toto heslo „7XhqL3w0, DBC1y“, je to prakticky nezranitelné. Pokud je to „il0veu“, nemusí být vůbec šifrováno.

7
David Schwartz

stručná odpověď ...

Ano, EFS je bezpečný, pokud (a pouze pokud) heslo daného uživatelského účtu není netriviální.

nicméně ...

Existují lepší řešení, jako je FDE s čipovou kartou + PIN nebo TPM (plus PIN a/nebo token). Až příliš často je šifrování zbytečné b/c špatně zvolených hesel, takže výše uvedené to napraví. Dále, FDE řeší problém zbytků souborů objevených ve složce dočasných, stránkovacích nebo hibernačních atd.

ÚPRAVA: V reakci na komentář uživatele ...

FDE = plné šifrování disku, přičemž celý disk nebo významná část (tj. Disk vylučující určité spouštěcí komponenty) je šifrován pomocí hardwarové nebo softwarové implementace

TPM = důvěryhodný platformový modul, odkazující na tvrdý čip odolný proti neoprávněné manipulaci používaný k ukládání kryptografických informací

1
Garrett

Heslo je nejslabší částí systému. Museli byste mít velmi dlouhé (více než 14 znaků) a velmi náhodné heslo, abyste zabránili jejich napadení.

Ostatní části jsou bezpečné. Soukromý klíč i šifrovací klíč jsou s dnešními technologiemi nerozbitné.

Stále existují způsoby, jak to obejít. Například někdo může nainstalovat keylogger USB mezi klávesnici a stroj a tímto způsobem ukrást vaše heslo.

1

Používá AES-256 v XP a ECC ve Windows 7 Pokud ale někdo chytí váš počítač a dokáže rozbít vaše heslo, může přistupovat k vašim souborům. Takže lepší než nic, ale jen stěží.

0
devnul3

Mějte na paměti, že klíčem k měření bezpečnosti není jen entropie hesla, ale nejslabší článek v řetězci. V tomto případě hraje roli kromě toho, zda je počítač v doméně Windows, fyzické zabezpečení počítače.

Je docela triviální resetovat všechna hesla systému Windows pomocí Trinity za předpokladu, že můžete do jednotky připojit disk DVD a restartovat počítač. Dalším nejslabším odkazem jsou další správci v doméně sítě Windows, kteří mohou jednoduše resetovat vaše heslo a získat přístup k souborům.

0
Michael Brown