Jump to content
Sign in to follow this  
Waschbecken

EFS - Kein Zugriff mehr auf verschlüsselte Dateien.

Recommended Posts

Hallo zusammen,

 

ich stehe hier vor einer mittelschweren Katastrophe und einem Rätsel.

Ich habe einige Ordner/Dateien unter einer nicht mehr existierenden

XP-Installation mittels EFS verschlüsselt, und damals natürlich auch

das Zertifikat gebackupt - d.h. das ist noch vorhanden.

 

Diese Dateien habe ich anschließend auf meine aktuelle Installation

übernommen, hier das Zertifikat importiert - lief alles super, über

ein halbes Jahr.

 

Bis gestern. Bei Zugriffen auf die Dateien erhalte ich konsequent

"Access denied". Ein reines NTFS-Problem kann ich eigentlich aus-

schließen, weil es dabei nur um die verschlüsselten Files geht, und

ich auch als Owner eingetragen bin.

 

Das Zertifikat, mit dem die Files ursprünglich verschlüsselt wurden

habe ich mehrfach wieder eingespielt - ohne Erfolg. Auch habe ich

AEFSDR schon probiert, der markiert mir die entsprechenden Files rot,

also nicht entschlüsselbar.

 

Was mir noch eingefallen ist: nachdem ich festgestellt hatte, dass

kein Zugriff mehr möglich ist, und bevor ich das alte Zertifikat neu

importiert habe, habe ich die bestehenden Zertifikate unter "Personal"

gelöscht, das waren zwei - mir schwant, dass ich da etwas voreilig

gewesen bin.

 

Wäre es irgendwie möglich, dass die neue Installation automatisch ein

neues Zertifikat erstellt hat, mit dem die Files nun allesamt

verschlüsselt sind, anstelle des alten? Wenn ja, krieg ich das noch

irgendwie hingebogen?

 

Nochmal die Fakten:

 

- Windows XP Pro SP2 (sowohl damals als auch heute)

- KEINE Neuinstallation in den letzten Monaten

- User NICHT gelöscht

- Ging bis gestern.

 

Danke schonmal

Share this post


Link to post

Es sollte eigentlich nichts ausmachen, wenn man alle Zertifikate in der neuen Installation löscht und dann das alte EFS Zertifikat importiert.

Wichtig dabei ist nur, dass der private Schlüssel vorhanden ist, nicht nur das Zertifikat. Bitte prüfe nochmal, ob bei der Anzeige des EFS Zertifikats auch steht "Sie sind im Besitz des privaten Schlüssels" (oder so ähnlich).

Share this post


Link to post

Ja, hab ich. Scheint soweit alles korrekt zu sein.

 

Allerdings ist das eingetreten was ich befürchtet habe - wenn ich in den Eigenschaften der Verschlüsselung nachschaue, steht bei "Users who can transparently access this file" leider ein user mit nem zertifikat, was nen anderen fingerprint hat als mein Original.

 

Ich sitze in der Tinte - sehe ich das richtig?

Share this post


Link to post

Das heißt die Datei ist mit einem öffentlichen Schlüssel verschlüsselt, zu dem dein eingespieltes Zertifikat nicht den privaten Schlüssel hat.

Die Frage ist nur, wie sowas zustande gekommen ist? Die Dateien sind doch von dem alten System kopiert worden und dort waren sie doch nur mit dem einem EFS Zertifikat verschlüsselt, oder?

 

Hast du das alte Benutzerprofil des Users der die Dateien verschlüsselt hat noch? War da eine Zertifizierungsstelle und / oder Domäne im Spiel?

Es gibt Datenrettungsprogramme, die aus einem beschädigtem Profil (das Kennwort des Benutzers muss bekannt sein!) den Schlüssel extrahieren können. Allerdings habe ich diese noch nie testen müssen, daher kann ich leider keine Erfahrungen weitergeben.

Share this post


Link to post

Ja, *das* frage ich mich auch - wieso die Files plötzlich mit nem anderen Cert verschlüsselt sind.

 

Die einzige nennenswerte Änderung, die ich in den letzten Tagen am Rechner gemacht habe, ist übrigens die Installation eines Zyxel-VPN-Clients.

 

Zum alten Account: leider nicht mehr, das System ist längst platt gemacht und wegformatiert.

Share this post


Link to post

Wenn die Dateien wirklich mi einem anderen Zertifikat verschlüsselt wurden und du weder den privaten Schlüssel, noch das alte Benutzerprofil hast, dann hast du wirklich ein Problem.

Zumindest weiß ich nicht mehr weiter.

Share this post


Link to post
Es gibt Datenrettungsprogramme, die aus einem beschädigtem Profil (das Kennwort des Benutzers muss bekannt sein!) den Schlüssel extrahieren können. Allerdings habe ich diese noch nie testen müssen, daher kann ich leider keine Erfahrungen weitergeben.

 

Was mir gerade einfällt: mein Problem ist ja nicht, dass ich das Cert nicht mehr habe, mit dem ich ursprünglich auf dem alten Account verschlüsselt habe, sondern dass mit dem neuen Account plötzlich ein neues Cert verwendet wurde - was ich nicht mehr habe.

 

Das heißt: ja, ich hab den Account noch - ist ja der aktuelle, von dem ich gerade schreibe.

 

Dir fällt jetzt nicht zufällig eines dieser Tools oder ein Weg dazu ein, das Cert wieder zu bekommen? Wie gesagt, User und System sind ja noch original vorhanden.

Share this post


Link to post

Da geht sie dahin, meine letzte Hoffnung. Das Tool taugt leider überhaupt nichts für diesen Zweck, lediglich wenn die Kisten icht mehr hochfährt kann man es gebrauchen - es macht nämlich nichts anders als Windows selbst, nur das es vorher die entsprechenden Zertifikate zusammensucht.

 

Schade ... muss die Daten wohl begraben.

Share this post


Link to post

Hab das nicht mehr genau in erinnerung, aber bestimmte konten können ja als wiederherstellungs-agent verwendet werden. kann man über das admin konto was machen?

 

hatte irgendwas mit einer gpo zu tun...

vielleicht hilft das als ideen-anstoß

Share this post


Link to post

Hallo

 

also will dir mal keine große hoffnung machen ,aber es gibt ein tool (encase).

wenn du das cert. noch hast solltest du einen schlüßel haben.

wenn dem so ist kannst du mit encase ein Image ziehen, und durch den schlüßel versuchen die daten zu entschlüßeln.

Versuch das mal...:shock:

Share this post


Link to post
Hab das nicht mehr genau in erinnerung, aber bestimmte konten können ja als wiederherstellungs-agent verwendet werden. kann man über das admin konto was machen?

Nur wenn der Rechner in der Domäne hängt (Was hier ja anscheinend nicht der Fall ist). Dann ist der Benutzer Administrator standardmäßig Wiederherstellungsagent und kann alle verschlüsselten Daten öffnen und bei Bedarf entschlüsseln.

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...