EFS - Ungewollte Neuverschlüsselung

#0
28.07.2005, 19:31
Member

Beiträge: 15
#1 Hallo Leute, folgendes Szenario gäbe es zu klären (System ist W2000 Professional, SP4):

Ich habe 2 User, Bob und Alice. Beide haben schon auf einer NTFS-Partition ein verschlüsseltes Verzeichnis angelegt wo sie ihre Daten speichern. D.h. beide haben jeweils ihren Schlüssel. Der jeweilige Schlüssel wurde auch passwortgeschützt in ein Schlüsselfile exportiert.

Alice meldet sich an und legt in ihrem Verzeichnis eine Textdatei an ("geheim.txt"). Meldet sich jetzt Bob an und versucht "geheim.txt" zu lesen, so geht das nicht - was ja auch bezweckt ist.
Jetzt aber will Alice, daß Bob ihre Datei lesen soll. Also teilt sie Bob ihr Paßwort für das Schlüsselfile mit, sodaß er Alices Schlüssel importieren kann. Macht Bob das, so werden (bei den Zertifikaten) zwei Schlüssel angezeigt (sein eigener und der von Alice). Öffnet Bob jetzt "geheim.txt" so geht das ohne Probleme - wunderbar!

Aber jetzt kommt das Malheur:
Bob hat also "geheim.txt" geöffnet, die Datei betrachtet und dann wieder geschlossen. Er hat NICHTS geändert! Wenn sich jetzt Alice wieder anmeldet und "ihre" Datei betrachten will, so wird das VERWEIGERT!

Ich habe es dann ausprobiert - mit Bobs Schlüssel kann ich diese Datei lesen. D.h. sie wurde nur durch das Betrachten (es wurde nichts geändert) anscheinend mit Bobs-Schlüssel neu verschlüsselt.

Das ist doch nicht normal, oder?
Ist das ein Bug oder soll das so sein (dann habe ich aber das EFS doch nicht so ganz kapiert)?
Seitenanfang Seitenende
29.07.2005, 08:34
...neu hier

Beiträge: 1
#2 Hallo,

ich kenne EFS von Windows XP her, wo es schon etwas weiter entwickelt worden ist. Ich denke aber, das gesagte gilt auch für Windows 2000.

Um den Zugriff auf eine Datei durch mehrere Benutzer zu ermöglichen, kann der FEK (File Encryption Key) (also der Schlüssel für die geheime Datei) durch die public keys mehrerer Benutzer verschlüsselt werden.

Dazu ist es nicht nötig (wie Du es hier gemacht hast) die Schlüssel des jeweils anderen Benutzers in die Zertifikatliste aller beteiligten Benutzer zu kopieren.

Klartext:
rM ( auf die Datei ) -> Eigenschaften -> erweitert -> Inhalt verschlüsseln, um Daten zu schützen -> Ok (jetzt ist sie verschlüsselt)

dann:

rM (auf die Datei ) -> Eigenschaften -> erweitert -> Details -> Hinzufügen -> Benutzer auswählen -> Ok -> Ok


Ich bin nicht sicher, ob das bei Windows 2000 schon implementiert ist, aber es sollte etwas Äquivaltentes geben.

Anmerkung: Man kann nur Benutzer in die Liste der Zugriffsberechtigten aufnehmen, die ein Zertifikat auf dem Rechner haben. Dies wird angelegt, sobald der Benutzer das erste Mal eine Datei mit EFS verschlüsselt.

Ich hoffe ich konnte helfen.
Seitenanfang Seitenende
29.07.2005, 11:02
Member

Themenstarter

Beiträge: 15
#3 Danke für den Hinweis. Soweit ich es abgecheckt habe, geht es leider bei W2K nicht. Bei den erweiterten Attributen gibt es keinen "Detail"-Button o.ä. (nur Hakerl für verschlüsseln, komprimieren, indizieren,...). Auch sonst wo habe ich nichts Äquivalentes gefunden. Das ist vielleicht ein Grund, doch mal auf XP umzusteigen.

Trotzdem würde mich interessieren, warum allein durch das Öffnen der Datei durch einen anderen User, diese für den ursprünglichen User nicht mehr lesbar ist (weil eben unerwartet mit dem Fremdschlüssel neu verschlüsselt wurde)

Gibt es W2K-User, die dieses Phänomen auch beobachten?
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: