Jump to content
Sign in to follow this  
ulitik

EFS-Dateien wiederherstellen

Recommended Posts

Hallo Leute,

 

ich beschäftige mich gerade mit EFS. Habe die Lösung soweit in die Domain integriert und es funktioniert auch :-)

 

Wenn ich die Datei zum ersten Mal mit EFS verschlüssele, bekomme ich ein EFS-Zertifikat von der CA der 2 Jahre gültig ist.

 

Solange ich vom User exportiertes Zertifikat habe, kann ich die Dateien auch entschlüsseln. Was passiert aber nach 2 Jahren, wen das vorhandene Zertifikat ausläuft und CA ein Renew ausstellt.

 

Kann ich dann die Dateien, die mit dem "neuen" Zertifikat verschlüsselt wurden mit dem alten Zertifikat auch wieder entschlüsseln?

 

Environment: AD(2k8R2), CA(2k8R2), Clients(W7Ult).

Share this post


Link to post

Hallo und herzlich Willkommen,

 

Kann ich dann die Dateien, die mit dem "neuen" Zertifikat verschlüsselt wurden mit dem alten Zertifikat auch wieder entschlüsseln?

 

öhm ...warum brauchst du ein altes Zertifikat um neue Dateien zu entschlüsseln ?

Share this post


Link to post

also:

 

User loggt sich ein und verschlüssele eine Datei. Damit ich diese Dateien im Notfall wiederherstellen kann, brauche ich ja das Zertifikat. Nach 2 Jahren wird ein neues Zertifikat bzw. Renew ausgestellt und wie das immer in der Praxis so ist, bekomme ich das neue Zertifikat vom User nicht.

 

Der User verschlüsselt seine Dateien fleißig weiter und nach dem das neue Zertifikat z.B. 3 Monate im Einsatz ist. Kommt es zum OS-Crash und man kann das System nicht mehr noch fahren. Ich klemme die Platte an einen Rechner, importier das vorhandene "alte" User Zertifikat und versuche mit Rocovery Agenten die Daten wiederherzustellen.

 

Werde ich alle Dateien mit dem alten Zertifikat wiederherstellen können?

 

Oder anders gefragt: Wie komme ich an die Dateien, wenn ich das aktuelle Zertifikat nicht habe und System nicht mehr hoch fährt?

Share this post


Link to post

Danke für den Link, aber diese beantwortet leider meine Frage nicht. Außerdem sollte man nicht nur das DRA Zertifikat haben sondern auch den von User sonst kann man auf die Dateien nicht zugreifen.

 

Ich meine, es ist klar, dass man vorsorgen muss. Aber, woher soll ein User wissen, dass sein Zertifikat erneuert wurde und er dieses erneut Exportieren muss?

So was in der Praxis nachzuhalten ist doch unmöglich. Wie macht man das bei großen Firmen den? Wo es mehrere hundert User gibt? Es muss doch eine Lösung geben.

Share this post


Link to post

Der User sollte sein Zertifikat (privaten Schlüssel) nicht exportieren!

 

Private Schlüssel, die auf irgendwelchen USB Sticks, Disketten, FileShares liegen, sind der erste Schritt zur Kompromittierung!

Die privaten Schlüssel sollten im AD oder auf SmartCard gespeichert werden.

 

Zusätzlich sollte bei EFS Zertifikaten die Archivierung des privaten Schlüssels auf der CA konfiguriert werden.

 

Für die Benutzerzertifikate kann über GPO ein Auto-Rollout und Auto-Renewal konfiguriert werden.

Das abgelaufene Zertifikat kann dabei nicht mehr für die Verschlüsselung neuer Dateien verwendet werden. Bereits verschlüsselte Dateien lassen sich damit aber noch entschlüsseln.

 

Buchtip:

Brian Komar: PKI & Certificate Security

Share this post


Link to post

Hi,

 

Du gehst hier von einem vollkommen "falschen" Ansatz aus: Generell hast Du als Admin erst einmal gar kein "Recht" auf das Benutzerzertifikat. Das ist wie ein Kennwort zugehörig zum Benutzer und Du solltest - auch im Kontext des Datenschutzes - die Finger davon lassen. Sonst kannst Du auch gleich die Verschlüsselung sein lassen.

 

Das DRA Zertifikat ist genau für den von Dir beschriebenen Fall gedacht: Der Benutzer kann seine Dateien nicht mehr entschlüsseln, weil etwa das Schlüsselmatierial weg oder der Benutzer nicht mehr im Unternehmen ist. Nun greifst Du auf den DRA Account zurück, der die Daten wieder entschlüsseln kann, ohne Zugriff auf das Schlüsselmaterial des Bneutzers zu haben.

 

Genau aus diesem Grund ist der oben genannte Artikel auf ServerHowTo.de der richtige für Dich.

 

Wie Dunkelmann schon schrieb: Schau Dir einmal den genannten Literaturvorschlag an - dann entzerrt sich vielleicht einiges. Bevor Du mit der Verschlüsselung von Daten anfängst empfehle ich dringend, sich mit der PKI Thematik als solches zu beschäftigen. Sonst läuft Du ggf. schnell in wirklich große Probleme.

 

P.S.: Bitte nicht falsch verstehen, ich meine es nur gut. :)

 

Viele Grüße

olc

Share this post


Link to post

Hallo Leute,

 

danke für die Posts. Hatte das Ganze, glaube ich, einfach von anderer Seite betrachtet.

 

Mann kann entweder mit einem User Zertifikat die Dateien entschlüsseln oder mit DRA Zertifikat.

Share this post


Link to post
Mann kann entweder mit einem User Zertifikat die Dateien entschlüsseln oder mit DRA Zertifikat.

 

Richtig. Deswegen der Link in Posting #4.

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...