Jump to content

EFS - Kein Zugriff mehr auf verschlüsselte Dateien.


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich stehe hier vor einer mittelschweren Katastrophe und einem Rätsel.

Ich habe einige Ordner/Dateien unter einer nicht mehr existierenden

XP-Installation mittels EFS verschlüsselt, und damals natürlich auch

das Zertifikat gebackupt - d.h. das ist noch vorhanden.

 

Diese Dateien habe ich anschließend auf meine aktuelle Installation

übernommen, hier das Zertifikat importiert - lief alles super, über

ein halbes Jahr.

 

Bis gestern. Bei Zugriffen auf die Dateien erhalte ich konsequent

"Access denied". Ein reines NTFS-Problem kann ich eigentlich aus-

schließen, weil es dabei nur um die verschlüsselten Files geht, und

ich auch als Owner eingetragen bin.

 

Das Zertifikat, mit dem die Files ursprünglich verschlüsselt wurden

habe ich mehrfach wieder eingespielt - ohne Erfolg. Auch habe ich

AEFSDR schon probiert, der markiert mir die entsprechenden Files rot,

also nicht entschlüsselbar.

 

Was mir noch eingefallen ist: nachdem ich festgestellt hatte, dass

kein Zugriff mehr möglich ist, und bevor ich das alte Zertifikat neu

importiert habe, habe ich die bestehenden Zertifikate unter "Personal"

gelöscht, das waren zwei - mir schwant, dass ich da etwas voreilig

gewesen bin.

 

Wäre es irgendwie möglich, dass die neue Installation automatisch ein

neues Zertifikat erstellt hat, mit dem die Files nun allesamt

verschlüsselt sind, anstelle des alten? Wenn ja, krieg ich das noch

irgendwie hingebogen?

 

Nochmal die Fakten:

 

- Windows XP Pro SP2 (sowohl damals als auch heute)

- KEINE Neuinstallation in den letzten Monaten

- User NICHT gelöscht

- Ging bis gestern.

 

Danke schonmal

Link zu diesem Kommentar

Es sollte eigentlich nichts ausmachen, wenn man alle Zertifikate in der neuen Installation löscht und dann das alte EFS Zertifikat importiert.

Wichtig dabei ist nur, dass der private Schlüssel vorhanden ist, nicht nur das Zertifikat. Bitte prüfe nochmal, ob bei der Anzeige des EFS Zertifikats auch steht "Sie sind im Besitz des privaten Schlüssels" (oder so ähnlich).

Link zu diesem Kommentar

Ja, hab ich. Scheint soweit alles korrekt zu sein.

 

Allerdings ist das eingetreten was ich befürchtet habe - wenn ich in den Eigenschaften der Verschlüsselung nachschaue, steht bei "Users who can transparently access this file" leider ein user mit nem zertifikat, was nen anderen fingerprint hat als mein Original.

 

Ich sitze in der Tinte - sehe ich das richtig?

Link zu diesem Kommentar

Das heißt die Datei ist mit einem öffentlichen Schlüssel verschlüsselt, zu dem dein eingespieltes Zertifikat nicht den privaten Schlüssel hat.

Die Frage ist nur, wie sowas zustande gekommen ist? Die Dateien sind doch von dem alten System kopiert worden und dort waren sie doch nur mit dem einem EFS Zertifikat verschlüsselt, oder?

 

Hast du das alte Benutzerprofil des Users der die Dateien verschlüsselt hat noch? War da eine Zertifizierungsstelle und / oder Domäne im Spiel?

Es gibt Datenrettungsprogramme, die aus einem beschädigtem Profil (das Kennwort des Benutzers muss bekannt sein!) den Schlüssel extrahieren können. Allerdings habe ich diese noch nie testen müssen, daher kann ich leider keine Erfahrungen weitergeben.

Link zu diesem Kommentar

Ja, *das* frage ich mich auch - wieso die Files plötzlich mit nem anderen Cert verschlüsselt sind.

 

Die einzige nennenswerte Änderung, die ich in den letzten Tagen am Rechner gemacht habe, ist übrigens die Installation eines Zyxel-VPN-Clients.

 

Zum alten Account: leider nicht mehr, das System ist längst platt gemacht und wegformatiert.

Link zu diesem Kommentar
Es gibt Datenrettungsprogramme, die aus einem beschädigtem Profil (das Kennwort des Benutzers muss bekannt sein!) den Schlüssel extrahieren können. Allerdings habe ich diese noch nie testen müssen, daher kann ich leider keine Erfahrungen weitergeben.

 

Was mir gerade einfällt: mein Problem ist ja nicht, dass ich das Cert nicht mehr habe, mit dem ich ursprünglich auf dem alten Account verschlüsselt habe, sondern dass mit dem neuen Account plötzlich ein neues Cert verwendet wurde - was ich nicht mehr habe.

 

Das heißt: ja, ich hab den Account noch - ist ja der aktuelle, von dem ich gerade schreibe.

 

Dir fällt jetzt nicht zufällig eines dieser Tools oder ein Weg dazu ein, das Cert wieder zu bekommen? Wie gesagt, User und System sind ja noch original vorhanden.

Link zu diesem Kommentar
Hab das nicht mehr genau in erinnerung, aber bestimmte konten können ja als wiederherstellungs-agent verwendet werden. kann man über das admin konto was machen?

Nur wenn der Rechner in der Domäne hängt (Was hier ja anscheinend nicht der Fall ist). Dann ist der Benutzer Administrator standardmäßig Wiederherstellungsagent und kann alle verschlüsselten Daten öffnen und bei Bedarf entschlüsseln.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...