[HaBo]

Vanillekipferl · 12.01.09, 16:32

Wie allseits bekannt, funktionieren die Funktionen CryptProtectData und CryptUnprotectData nur bei ein und dem selben User.

Auf manchen Seiten die man bei google findet steht, dass die SID des gerade angemeldeten Users miteinbezogen wird.

Wie ich meinem User die selbe SID geben kann, habe ich im Thread ERLEDIGT SID für User ändern (Benutzer-ID manuell belegen) schon behandelt und versucht.

Das Entschlüsseln hat aber, trotz der selben SID, noch immer nicht funktioniert.

Was wird noch miteinbezogen beim Verschlüsseln mit CryptProtectData außer die SID?
Computername ist auch der selbe, Win-NT-Username ist auch der selbe.
Ich frage micht, was noch dahinter stecken könnte?
Macht es eine Unterscheidung von auf einem Domänen-betriebenen Rechner verschlüsselt, und auf einem Workgroup-betriebenen Rechner entschlüsselt wird?

Manche Homepages schreiben etwas von einem "Machine-Key" der miteingearbeitet wird. Nur was ist der Machine-Key, wenn nicht SID und Computername? Was ist noch charakteristisch für eine Machine?
Wenn man bedenkt, er darf sich nicht verändern, da ja sonst das Entschlüsseln auf dem selben PC auch nicht mehr funktionieren würde.

Microsoft selbst schreibt von "Logon credentials":
http://msdn.microsoft.com/en-us/library/aa380261.aspx

Typically, only a user with logon credentials that match those of the encrypter can decrypt the data. In addition, decryption usually can only be done on the computer where the data was encrypted. However, a user with a roaming profile can decrypt the data from another computer on the network.

Was ist genau damit gemeint?

end4win · 15.01.09, 10:54

Zitat:

Original von Vanillekipferl

Was ist genau damit gemeint?

Unter anderem das User Passwort

http://www.skilldrive.com/book/DOTNE...#_Toc112335249

und

http://msdn.microsoft.com/en-us/library/ms995355.aspx

Zu deinen versuchen es zu knacken

http://support.microsoft.com/kb/309408/en-us

Gruss

Anzeige

- Anzeige -

Vanillekipferl · 16.01.09, 19:12

Danke! Sehr interessante Links die du gepostet hast.

Man braucht also gar nicht die SID, sondern in erster Linie muss der richtige Masterkey im Profil sein

Muss ich mir nochmal in Ruhe durchlesen...

HK.Freak · 30.06.09, 16:28

Mit folgender Konstellation hat es bei mir funktioniert:
[list=1][*]Mit newsid die SID des Rechners anpassen[*]Einen Nutzer anlegen, der die gleiche RID hat wie der erstellende Benutzer[*]Die Datei mit dem Masterkey* aus dem Verzeichnis %userdir%\Anwendungsdaten\Microsoft\Protect\%SID\ in das entsprechende Verzeichnis des anderen Nutzers kopieren[*]RDP-Datei verwenden[/list=1]
*Das ist die Datei mit der Hexadezimalzahlenfolge als Dateiname, ggf. gibt es davon mehrere.

Damit in einen Nutzeraccount einzubrechen ist denkbar schwierig, denn um an den Masterkey heranzukommen muss man sowieso die Rechte haben um auf das Profil des Nutzers zuzugreifen.

hth
Jürgen

Anzeige

- Anzeige -

12.01.09, 16:32	#1 (permalink)
Vanillekipferl Registriert seit: 07.01.09 Likes: 0	Welche Verschlüsselungsparameter verwendet CryptProtectData? Anzeige Wie allseits bekannt, funktionieren die Funktionen CryptProtectData und CryptUnprotectData nur bei ein und dem selben User. Auf manchen Seiten die man bei google findet steht, dass die SID des gerade angemeldeten Users miteinbezogen wird. Wie ich meinem User die selbe SID geben kann, habe ich im Thread ERLEDIGT SID für User ändern (Benutzer-ID manuell belegen) schon behandelt und versucht. Das Entschlüsseln hat aber, trotz der selben SID, noch immer nicht funktioniert. Was wird noch miteinbezogen beim Verschlüsseln mit CryptProtectData außer die SID? Computername ist auch der selbe, Win-NT-Username ist auch der selbe. Ich frage micht, was noch dahinter stecken könnte? Macht es eine Unterscheidung von auf einem Domänen-betriebenen Rechner verschlüsselt, und auf einem Workgroup-betriebenen Rechner entschlüsselt wird? Manche Homepages schreiben etwas von einem "Machine-Key" der miteingearbeitet wird. Nur was ist der Machine-Key, wenn nicht SID und Computername? Was ist noch charakteristisch für eine Machine? Wenn man bedenkt, er darf sich nicht verändern, da ja sonst das Entschlüsseln auf dem selben PC auch nicht mehr funktionieren würde. Microsoft selbst schreibt von "Logon credentials": http://msdn.microsoft.com/en-us/library/aa380261.aspx Typically, only a user with logon credentials that match those of the encrypter can decrypt the data. In addition, decryption usually can only be done on the computer where the data was encrypted. However, a user with a roaming profile can decrypt the data from another computer on the network. Was ist genau damit gemeint?

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Welche IDE verwendet ihr ?	LukeGee	Umfragen	31	04.12.07 17:13
Welche Bildhoster verwendet Ihr?	Chrisiaut	Umfragen	7	17.10.06 21:12
Welche Grafikkarten eignen sich für meinen Pc bzw welche kann ich einbauen??	alexp	Hardware Probleme	7	28.05.06 13:19
Welche W LAN Karte Verwendet Ihr?	cpt.jonti	Hardware Probleme	1	22.03.05 16:04

16.01.09, 19:12	#3 (permalink)
Vanillekipferl Themenstarter Registriert seit: 07.01.09 Likes: 0	Danke! Sehr interessante Links die du gepostet hast. Man braucht also gar nicht die SID, sondern in erster Linie muss der richtige Masterkey im Profil sein Muss ich mir nochmal in Ruhe durchlesen...

30.06.09, 16:28	#4 (permalink)
HK.Freak Registriert seit: 29.06.09 Likes: 0	Mit folgender Konstellation hat es bei mir funktioniert: [list=1][]Mit newsid die SID des Rechners anpassen[]Einen Nutzer anlegen, der die gleiche RID hat wie der erstellende Benutzer[]Die Datei mit dem Masterkey aus dem Verzeichnis %userdir%\Anwendungsdaten\Microsoft\Protect\%SID\ in das entsprechende Verzeichnis des anderen Nutzers kopieren[]RDP-Datei verwenden[/list=1] Das ist die Datei mit der Hexadezimalzahlenfolge als Dateiname, ggf. gibt es davon mehrere. Damit in einen Nutzeraccount einzubrechen ist denkbar schwierig, denn um an den Masterkey heranzukommen muss man sowieso die Rechte haben um auf das Profil des Nutzers zuzugreifen. hth Jürgen

[HaBo]

Welche Verschlüsselungsparameter verwendet CryptProtectData?