EFS-Fragen - Online Sicherheit, Bearbeitung im Netzwerk, privater Schlüssel.

#1 Hallo zusammen,

ich bin neu hier gelandet, da ich dieses Thema http://board.protecus.de/t21863.htm?highlight=efs hier gefunden habe. Fast alle meine Fragen wurden beantwortet, beeindruckend und viele konnte ich verifizieren.

Meine Frage nur, könnte man so etwas erweitern, für die aktuellen Systeme wie Vista (W7) Ultimat x64?
Ich hätte da noch 3 offene Fragen. Ich schreibe die mal hin:

- Wie kann man in einem Netzwerk (Workgroup) EFS-verschlüsselte Dateien untereinander austauschen und bearbeiten? Privater Schlüssel steht jedem zur Verfügung.
- Wie sicher ist EFS bezüglich Online Angriffe aus dem Internet? Ich kann ja eine EFS-verschlüsselte Datei einfach so öffnen, nur mit Zertifikat. Kann das eine Schadsoftware im Hintergrund auch und dann ins Internet übertragen?
- Bekommt man es hin, den privaten Schlüssel nicht im Profil zu speichern, sondern auf einem USB-Stick. Beim Öffnen einer Datei muss halt der USB-Stick eingesteckt sein.

#2

Zitat

Meine Frage nur, könnte man so etwas erweitern, für die aktuellen Systeme wie Vista (W7) Ultimat x64?

Klar, warum nicht? Grundsätzlich sind die elementaren EFS-Optionen auch bei den von dir genannten OSe vorhanden bzw. sollten
beachtet werden. Evtl. Feinheiten oder neue Features, die ab Vista eingeführt wurden, können gerne von jedermann gepostet
werden. Ich pers. nutze Vista nicht und eine Migration von XP auf Win 7 steht erst im kommenden Jahr an.

Zitat

Wie kann man in einem Netzwerk (Workgroup) EFS-verschlüsselte Dateien untereinander austauschen und bearbeiten? Privater Schlüssel steht jedem zur Verfügung.

In einer Arbeitsgruppenumgebung per default gar nicht (XP und neuer). Nur wenn die EFS kodierten Dateien auf einem PC mit
Win 2000 liegen, können diese remote übers LAN -sofern freigegeben- von authentifizierten Benutzen genutzt werden.

Wenn hingegen die verschlüsselten Datein auf einem Kasten mit Win XP vorhanden sind, kannst du sie nur für andere lokale User sharen.
Via LAN wären diese nur in einer Domäne mit AD als Freigaben nutzbar, ein Server ist also notwendig.

Zitat

Wie sicher ist EFS bezüglich Online Angriffe aus dem Internet? Ich kann ja eine EFS-verschlüsselte Datei einfach so öffnen, nur mit Zertifikat. Kann das eine Schadsoftware im Hintergrund auch und dann ins Internet übertragen?

Wenn dein System korrumpiert wurde und die Schadsoftware im selben Benutzer-Kontext läuft, mit dem deine Daten verschlüsselt
wurden, ist der Schutz hinfällig. Die böse Software (oder der "Angreifer") kann mit den Dateien machen, was sie/er will.
EFS ist in diesem Szenario genauso unsicher respektive "gebrochen" wie ein Truecrypt Container, der vor der Infektion
(bzw. dem "Angriff") bereits gemounted wurde.

Zitat

Bekommt man es hin, den privaten Schlüssel nicht im Profil zu speichern, sondern auf einem USB-Stick. Beim Öffnen einer Datei muss halt der USB-Stick eingesteckt sein.

Du kannst das Zertifikat jederzeit aus dem gleichnamigen Speicher exportieren und danach auf den USB-Stick schieben.
Danach könntest du das Zertifikat aus dem Speicher löschen. Um später an deine EFS kodierten Dateien Zugriff zu gelangen,
mußt du dementsprechend zunächst das gesicherte Zertifikat wieder importieren.

Das Ganze ist aber nicht wirklich geschmeidig, denn es existieren zumindest zwei Fallstricke, die dagegen sprechen:

1.: Gegen einen Export des Zertifikats im Sinne eines Backups ist nichts einzuwenden. Ist das exportierte Zertifikat
jedoch ein Unikat und folgerichtig das "Orginal" nicht mehr im Zertifikatsspeicher vorhanden, wird laut Murphys Law genau
das Medium von einem Defekt heimgesucht, welche das einzige Orginal aufweist.
Bezüglich USB-Stick wäre ich noch vorsichtiger, denn die Teile sind nicht gerade für eine dauerhafte Konistenz der Daten bekannt.

2.: Gesetzt den Fall, du hast das Zertifikat exportiert und aus dem Speicher gelöscht, kann folgendes passieren:
Wenn du dann neue Dateien in ein bereits existierendes EFS verschlüsseltes Verzeichnis kopierst/erstellst, legt Windows ein neues
Zertifikat an. Dieses Zertifikat ist nicht in der Lage, ältere, mit dem alten Zertifikat erstellte Dateien zu lesen! Genausowenig ist das alte,
exportierte Zertifikat fähig, die neuen Dateien zu bearbeiten!

Somit benötigst du also ab sofort 2 Zertifikate für deine kodierten Dateien. Du mußt nun auch beide Zertifikate sichern und ebenfalls beide
wieder importieren.
Vergisst du den Re-Import der beiden Zertifikate und erstellst/kopierst wieder eine neue Datei in ein vorhandenes EFS-Verzeichnis, legt
Windows erneut ein neues Zertifikat an, welches wiederum nur für die neuen Dateien gültig ist. Somit wären wir bei nunmehr
3 Zertifikaten...usw.usf.

Solltest du also tatsächlich vorhaben, dein Zertifikat -bei gleichzeitiger Löschung des "Orginals"- zu exportieren, solltest du vor-
teilhafterweise niemals vergessen, das Teil vor einer weiteren Nutzung von EFS wieder zu importieren!

Gruß,

Sepia

#3 Hallo Sepia,

danke für die ausführlichen Antworten, die ich auch nachvollziehen kann.

Gut das du das so klar betonst. Bei mir ist der persönliche Schlüssel (PS) nicht mehr exportierbar und ich habe neben Arbeitskopie noch weiter 2! original PS-Kopien auf unterschiedlichen Medien.
Aus dem certmgr lösche ich mein(1) Zertifikat nie, da ich immer temporäre Dateien habe, die ich nicht sofort extern auslagere (in verschlüsselten USB-HDD-Ordner). Genau das liebe ich an EFS, das es extrem transparent arbeitet.

Wichtig war mir auch die Bestätigung, dass EFS von sich aus keinen "intelligent" Eigenschutz hat, um ein entschlüsseln im Hintergrund durch eine Schadsoftware und kopieren übers Internet zu verhindern, ausgenommen mit Smartcard, aber das habe ich schon verworfen.
Ach ja, da ist ja auch noch der Virenscanner.

Ich versuche mich mal mit EFS im TC Container. Bitte halte mich nicht für verrückt, aber wieso EFS 24/7 "offen" lassen, wenn ich es 1mal am Tag kurz benötige.

Danke und Gruß

#4

Zitat

[...]und ich habe neben Arbeitskopie noch weiter 2! original PS-Kopien auf unterschiedlichen Medien.

Meiner Meinung nach sind das zuviele Sicherheitskopien. Ich bevorzuge die Lösung, dass die einzige Kopie des EFS-Zertifikats im
Voll-Backup meiner Systempartition zu finden ist. Somit ist also das Image als solches die Sicherung. Ein Wiederherstellungsagent
existiert übrigens auch nicht.
Der Grund dafür ist folgender: Ich fand/finde zu wenig Informationen bzgl. der Sicherheit der Datei, welche das exportierte
Zertifikat enthält. Obwohl dieses durch ein Passwort gesichert ist und dementsprechend nicht automagisch von jedermann
re-importiert werden könnte, bin ich mangels Fakten eher vorsichtig.

Ich will hier aber keine Gerüchte ob der "Knackbarkeit" von MS-Zertifikatsdateien in die Welt setzen noch die Pferde scheu
machen.
Es mag auch sein, dass akuell die mir fehlenden Infos mittlerweile im Netz verfügbar sind. Als ich vor Urzeiten recherchierte, waren
sie es nicht.

[Konjunktiv beachten!]:
Würde ich externe Zertifikatsdateien sichern/exportieren, gelängen sie ausnahmslos in einen TC-Container.

Wäre es nämlich möglich, dass exportierte Zertifikat als solches anzugreifen bzw. zu brechen, könnte es Hans und Franz
nach vorheriger "harter" Änderung/Rücksetzung des Windows-Login Kennwortes zurückspielen und EFS wäre nutzlos.

Andererseits spricht gegen diese Möglichkeit, dass man genau von solchen Aktionen noch nichts gehört hat.

Zitat

Ich versuche mich mal mit EFS im TC Container.

Bringt nicht wirklich was, vor allem kein Sicherheitsgewinn. TC ist ausreichend. Außerdem müßtest du den Container NTFS
formatieren, und das will man eigentlich nicht unbedingt. FAT oder exFAT ist das Dateisystem der ersten Wahl, wenn
man TC unter Windows benutzt. Es hat seinen Grund, warum TC bei der Einrichtung eines neuen Containers automatisch
FAT als Filesystem vorschlägt, sobald der User die Frage, ob Dateien >4 GB verwendet werden, verneint.

Gruß,

Sepia

#5 Hallo Sepia,

es macht mir schon Sorgen, dass ich grundsätzlich die falsche Verschlüsselung gewählt habe, nicht wegen der Handhabung, sondern wegen dem mangelnden Onlineschutz, obwohl ich mir vorstellen kann, dass das Onlineaushebeln von EFS wahrscheinlich nicht ganz trivial wäre.
Dann werde ich mir überlegen komplett umzusteigen, evtl. TC. Ich betreibe doch das ganze Verschlüsseln um auch Online meine Daten zu schützen. Mit ungemountetem TC wäre der Onlinedatenklau nicht so einfach möglich, wenn überhaupt, zumal ich sicher nicht einer bin, der dazu einlädt.

#6 Sagen wir es mal so: Ich stufe EFS bei richtiger Konfiguration als hinreichend sicher ein. Der von dir genannte worst case bei
einem "Online Angirff" (das müßtest du mal genauer definieren) ist existent, wenn du damit meinst, dass im Falle einer Infektion
mit Schadsoftware deine verschlüsselten Daten irgendeiner Manipulation unterliegen könnten. Ebenfalls wäre es möglich,
dass diese Daten deinen PC verlassen und als Kopie irgendwo in der Welt auftauchen.

Die Frage ist jedoch primär: Wie hoch ist die Chance, dass genau das passiert? Nicht nur, dass die besagte Schadsoftware intelligent
sein müßte, genau die Dateien, die du per EFS auf irgendeinem Laufwerk in irgendeinem Pfad gesichert hast, zu kopieren.
Nein, auch Präventivmaßnahmen deinerseits (Virenscanner, Gehirn u.ä.) müssen vorab schon versagt haben.

Ich gebe dir ja in allerletzter Konsequenz Recht, wenn du aufgrund des Restrisikos bzgl. einer möglichen (aber sehr unwahrscheinlichen)
Infektion von EFS absiehst. Jedoch mußt du auch folgendes bedenken: Würde dieser Fall tatsächlich überdurchschnittlich häufig
eintreten, wären auch Voll-Verschlüsselungen mit Pre-Boot-Auth nutzlos bzw. kaum jemand würde dieses Feature in An-
spruch nehmen.

EFS ist keine fire & forget Lösung. Es ist halt bequem -weil transparent- und erfüllt seinen Zweck.

Lange Rede, kurzer Sinn: Du wirst schon die richtigen Prioritäten setzen. Wenn du der Meinung bist, deine Anforderungen
betreffend der Sicherheit deiner Daten gegen spezielle "Online Angriffe" werden durch TC besser realisiert, nutze es!
Sofern du deinen Container/deine Partition nicht gerade dann mountest, wenn Schadsoftware akitv im Hintergund
werkelt, ist das vollkommen o.k.

Gruß,

Sepia