it-swarm-eu.dev

Wie sicher ist die NTFS-Verschlüsselung?

Wie sicher sind die Daten in einem verschlüsselten NTFS-Ordner unter Windows (XP, 7)?

(Die Verschlüsselungsoption unter Datei | Ordner -> Eigenschaften -> Erweitert -> Verschlüsseln.)

Wenn der Benutzer ein anständiges Passwort verwendet, können diese Daten (leicht?) Entschlüsselt werden, wenn sie sich beispielsweise auf einem Laptop befinden und gestohlen werden?

32
Martin

Wie sicher sind die Daten in einem verschlüsselten NTFS-Ordner unter Windows (XP, 7)?

Was ist EFS?

Ordner in NTFS werden mit einer speziellen Teilmenge von NTFS namens Encrypting File System (EFS) verschlüsselt. EFS ist eine Verschlüsselung auf Dateiebene in NTFS. Der Ordner ist eigentlich ein spezieller Dateityp, der auf alle Dateien im Ordner denselben Schlüssel anwendet. NTFS auf Festplattenformat 3.1 wurde mit Windows XP veröffentlicht. Windows 7 verwendet NTFS auf der Festplatte. Der NTFS-Treiber wurde jedoch von 5.1 unter Windows XP auf 6.1 unter Windows 7) geändert. Die Bits auf der Festplatte haben sich nicht geändert, aber das Protokoll für die Verarbeitung der Bits zur und von der Festplatte hat Funktionen hinzugefügt Windows 7.

Welchen Algorithmus verwendet es?

Windows XP (kein Service Pack): DES-X (Standard), Triple DES (verfügbar))

Windows XP SP1 - Windows Server 2008: AES-256 symmetrisch (Standard), DES-X (verfügbar), Triple DES (verfügbar))

Windows 7, Windows Server 2008 R2: "Mixed-Mode" -Operation des ECC- und RSA-Algorithmus

Welche Schlüsselgröße wird verwendet?

Windows XP und Windows 2003: 1024-Bit

Windows Server 2003: 1024 Bit (Standard), 2048 Bit, 4096 Bit, 8192 Bit, 16384 Bit

Windows Server 2008: 2048 Bit (Standard), 1024 Bit, 4096 Bit, 8192 Bit, 16384 Bit

Windows 7, Windows Server 2008 R2 für ECC: 256-Bit (Standard), 384-Bit, 512-Bit

Windows 7, Windows Server 2008 R2 für AES, DES-X, Triple DES: RSA 1024 Bit (Standard), 2048 Bit, 4096 Bit, 8192 Bit, 16384 Bit;

Wie ist der Verschlüsselungsschlüssel geschützt?

Der File Encryption Key (FEC) wird mit dem öffentlichen RSA-Schlüssel des Benutzers verschlüsselt und an die verschlüsselte Datei angehängt.

Wie ist der private RSA-Schlüssel des Benutzers geschützt?

Der private RSA-Schlüssel des Benutzers wird mit einem Hash des NTLM-Kennwort-Hash des Benutzers plus dem Benutzernamen verschlüsselt.

Wie ist das Passwort des Benutzers geschützt?

Das Kennwort des Benutzers wird gehasht und in der SAM-Datei gespeichert.

Wenn ein Angreifer eine Kopie der SAM-Datei erhalten kann, kann er möglicherweise das Kennwort des Benutzers bei einem Rainbow-Tabellenangriff ermitteln.

Mit dem Benutzernamen und dem Kennwort kann ein Angreifer den privaten RSA-Schlüssel entschlüsseln. Mit dem privaten RSA-Schlüssel kann der Angreifer jedes FEC, das mit einer beliebigen verschlüsselten Datei gespeichert ist, entschlüsseln und die Datei entschlüsseln).

Damit...

Der Inhalt des verschlüsselten Ordners ist so sicher wie das Passwort des Benutzers.

Wenn der Benutzer ein anständiges Passwort verwendet, können diese Daten (leicht?) Entschlüsselt werden, wenn sie sich beispielsweise auf einem Laptop befinden und gestohlen werden?

Wahrscheinlich nicht von einem Gegner mit einem typischen Personal Computer. Bei ausreichenden Ressourcen wie einem GPU- oder FPGA-System zum Knacken von Passwörtern können EFS-Daten jedoch innerhalb kurzer Zeit anfällig sein.

Ein zufälliges 12-stelliges Passwort (oberes unteres und Symbol) kann Wochen oder Monate lang gegen ein Passwort-Cracking-System bestehen. Siehe "Leistung von Grafikprozessoren kann die Kennwortsicherheit gefährden" Ein erheblich längeres Kennwort kann Jahre oder Jahrzehnte dauern.

39
this.josh

Es ist genau so sicher wie das schwächste Passwort für jedes Konto, das auf die Datei zugreifen kann. Wenn dieses Passwort "7XhqL3w0, DBC1y" lautet, ist es praktisch unverwundbar. Wenn es "il0veu" ist, kann es genauso gut überhaupt nicht verschlüsselt werden.

7
David Schwartz

kurze Antwort ...

Ja, EFS ist sicher, wenn (und nur wenn) das Kennwort eines bestimmten Benutzerkontos nicht trivial ist.

jedoch ...

Es gibt bessere Lösungen wie FDE mit Smartcard + PIN oder TPM (plus PIN und/oder Token). Viel zu oft wird die Verschlüsselung b/c von schlecht ausgewählten Passwörtern unbrauchbar gemacht. Das oben Gesagte behebt dies. Darüber hinaus löst FDE das Problem, dass Reste von Dateien in temporären Ordnern, Paging- oder Ruhezustandsdateien usw. entdeckt werden.

EDIT: Als Antwort auf Benutzerkommentar ...

FDE = vollständige Festplattenverschlüsselung, wobei die gesamte Festplatte oder ein wesentlicher Teil (d. H. Die Festplatte mit Ausnahme bestimmter Startkomponenten) über eine hardware- oder softwarebasierte Implementierung verschlüsselt wird

TPM = vertrauenswürdiges Plattformmodul, das sich auf einen harten, manipulationssicheren Chip bezieht, der zum Speichern kryptografischer Informationen verwendet wird

1
Garrett

Das Passwort ist der schwächste Teil des Systems. Sie müssten ein sehr langes (mehr als 14 Zeichen) und sehr zufälliges Passwort haben, um zu verhindern, dass es gehackt wird.

Die anderen Teile sind sicher. Der private Schlüssel und der Verschlüsselungsschlüssel sind mit der heutigen Technologie nicht zu knacken.

Es gibt immer noch Möglichkeiten, dies zu umgehen. Zum Beispiel könnte jemand einen USB-Keylogger zwischen Ihrer Tastatur und Ihrem Computer installieren und Ihr Passwort auf diese Weise stehlen.

1

Es verwendet AES-256 in XP und ECC in Windows 7 Wenn jedoch jemand Ihren Computer in die Hand nimmt und Ihr Kennwort knacken kann, kann er auf Ihre Dateien zugreifen. Also besser als nichts, aber nur knapp.

0
devnul3

Beachten Sie, dass der Schlüssel zur Messung der Sicherheit nicht nur die Entropie des Kennworts ist, sondern das schwächste Glied in der Kette. In diesem Fall spielt die physische Sicherheit des Computers eine Rolle, zusätzlich dazu, ob sich der Computer in einer Windows-Domäne befindet.

Es ist ziemlich trivial, ein Windows-Kennwort mit Trinity zurückzusetzen, vorausgesetzt, Sie können eine DVD in das Laufwerk einlegen und den Computer neu starten. Das nächst schwächste Glied sind andere Administratoren in einem Windows-Domänennetzwerk, die einfach Ihr Kennwort zurücksetzen und Zugriff auf die Dateien erhalten können.

0
Michael Brown