EFS mit Brute Force

I

Icke

0
Hi

Ich suche nun schon seit Tagen ...

Ich weiß, dass es nahezu unmöglich ist. Auch diverse Tools habe ich bereits probiert. Alles ohne Erfolg. Ich habe nämlich schon SP3 drauf gehabt.

Ich habe nur eine einzige (1kB) Datei, die ich unbedingt entschlüsselt brauche. Ich weiß, die größe ist egal.

Ich kenne sowohl den User als auch dessen PW. Es ist nämlich mein eigener. Ich hatte einen Plattencrash. Teile der Platte habe ich jedoch täglich gesichert. Die Datei ist dabei. Nun funktioniert leider der Schlüssel aber nicht.

Denn, wie ich heute weiß kann man den exportierten Schlüssel nur zum entschlüsseln verwenden. Er wird jedoch nicht wieder zum Verschlüsseln benutzt. Und da ich das System schon einmal neu aufsetzen mußte ... dann den Schlüssel importiert ... Ich ging davon aus, das ich ja den Schlüssel besitze und habe mir keine Sorgen gemacht ... FATAL.

Nun benötige ich aber wirklich diese eine Datei.

Deshalb nun meine Frage: Gibt es ein "Brute Force" Tool zum knacken des Codes? Mir ist wirklich egal wie lange es dauert. Ich stell auch einen Extra-Rechner irgendwo in die Ecke und lasse ihn rattern bis er es geschafft hat.

NUR: GIBT ES IRGENDEINEN WEG?

(Bitte nicht den Andvanced EFS Dings von Elcomsoft und auch nicht diesen anderen, der das gleich macht. Die klappen nicht.)
 
Lies dir mal die Wikipedia-Artikel darueber durch. Der von der englischen Wikipedia ist wesentlich umfangreicher.

Ich habs nur kurz ueberflogen, aber wenn ich das richtig verstanden habe, besteht das System aus mehreren Schluesseln.

Zum einen gibt es da das Benutzerpasswort (welches du ja hast) und ein automatisch generierter Schluessel. Der automatisch generierte wird mit Hilfe des Benutzerpasswortes verschluesselt. Wenn du also das Benutzerpasswort eingibst, entschluesselt er den eigentlichen (automatisch generierten) Schluessel, welcher letztendlich die verschluesselte Datei entschluesselt.

Ich weiss nicht, wo der verschluesselte, automatisch generierte Schluessel liegt. Ist der mit in der Datei eingebaut oder hast du ihn verloren? Wenn er verloren sein sollte schaetze ich deine Chancen schlecht ein.

"In Windows 2000, XP or later, the user's RSA private key is encrypted using a hash of the user's NTLM password hash plus the user name - use of a salted hash makes it extremely difficult to reverse the process and recover the private key without knowing the user's passphrase." - Wikipedia

Wenn du also den gleichen Benutzernamen und das gleiche Passwort fur deinen Windows-Account benutzt koenntest du damit den privaten Schluessel entschluesseln; vorrausgesetzt du hast ihn irgendwo in verschluesselter Form.

http://www.beginningtoseethelight.org/efsrecovery/index.php auf der Seite stehen 3 Moeglichkeiten, wie man trotzdem rankommen soll, das Tool von Elcomsoft ist auch aufgefuehrt.


Warum funktioniert es nicht?

Wenn dir die Daten so extrem wichtig sind wuerde ich den als zweiten Punkt aufgefuehrten Weg gehen oder die Platte zu einer professionellen Firma schicken. Die koennten dir die kompletten Daten der Platte auf eine neue schreiben, sodass du deine komplette XP-Installation wiederbekommst (wenn du Glueck hast und die Platte nicht zu sehr beschaedigt ist).
Anlaufstellen fuer solche Firmen gibt es viele, google einfach mal nach "Datenrettung". Ich selbst hab gutes von OnTrack gehoert. Allerdings kostet soetwas gleich mehrere hundert Euro.

Ich kann mich nur noch wiederholen: Wenn dir die Daten wirklich so wichtig sind ist die Datenrettung wirklich die beste Wahl.
 
Hallo ... Und vielen Dank für die sehr schnelle und auch sehr ausführliche Antwort.

Leider bin ich aber immer noch nicht weiter. Zunächst einmal: Diese kleine Datei hat zwar einen recht hohen ideellen Wert, mehrere hundert Euro möchte ich aber nicht dafür ausgeben. Dann will ich lieber noch warten, bis es irgendeine (russiche) Firma geschafft hat die Verschlüsselung zu knacken.

So ... Punkt 01 und 03 aus deinem Link habe ich natürlich schon durch. Die fanden zwr etwas, konnten aber damit auch die Dateien nicht entschlüsseln (auch nicht mit Passwort-Hash). Aber das steht ja auch in der Hilfe von Elcom (Nur bis XP SP1). Punkt 02 konnte ich noch nicht testen, da ich noch keine (DEMO) dafür gefunden habe.

!!! EDIT:

WO KANN MAN DIESES TOOL (reccerts.exe) BEKOMMEN? JEDE SUCHE DANACH FÜHRT IN EINE SACHGASSE. IRGENDWIE SCHEINT ES NICHT MEHR ZU EXISTIEREN. Es hat irgendwie meine Hoffnung geweckt, man könnte es damit schaffen. Irgendwo habe ich gelesen:

reecerts.exe -pfad -benutzer -passwort
Zum Vergrößern anklicken....

Oder so ähnlich. Sonst nichts weiter. Diese 3 Parameter habe ich ja. Vielleicht kann es klappen.

/EDIT !!!

Ich hoffte eigentlich, es gäbe ein Tool das (ähnlich wie Brute Force) alle Möglichkeiten probiert. Dieses Tool könnte ja (theoretisch) auch diese Schlüsseldatei erzeugen.

Aber wenn es so etwas noch nicht gibt werde ich wohl noch etwas warten ... Kommt Zeit kommt Tool zum knacken. Irgendwann wird es gehen. Schön wäre es, wenn es nicht so lange dauert.
 
Hallo Icke,

vielleicht sollte ich Dir mal eine kleine Aufklärung über das EFS (Encrypting File System) von Microsoft Windows geben.

Das EFS ist zur Verschlüsselung von Dateien / Ordnern vorgesehen, dazu gibt es ein Zertifikat und einen privaten Schlüssel, welche der Besitzer der Dateien bzw. Ordner zugeordnet wird, dieses Zertifikat bzw. private Schlüssel wird mit der Sicherheits - ID des Benutzers generiert und ist NUR von diesem Benutzer wieder benutzbar, bzw. nur der Benutzer kann die Dateien / Ordner wieder entschlüsseln. Solltest Du in einer Domäne integriert sein (sprich einem Active Directory) hat der Administrator die Möglichkeit einen Wiederherstellungsagenten zu bestimmen und MUSS das Zertifikat und den privaten Schlüssel sichern.

Solltest Du 1. in keiner Domäne sein und 2. Dein Zertifikat und Deinen privaten Schlüssel nicht gesichert haben, ist es UNMÖGLICH die Verschlüsselten Dateien wiederherzustellen.

Also wirst Du mit keiner Deiner Ideen weiter kommen und es ist nicht mal bei Microsoft bekannt, dass es irgendwelche Tools o.ä. gibt die EFS "knacken" können.

Tut mir leid für Dich, aber da wirst Du null Chancen haben. Da kannst Du mir glauben, ich habe genug mit EFS und allem dem zu tun.

Grüße

Zephyros
 
Hallo Zephyros

Na das klingt ja mal garnicht gut ...

Kann man noch irgendetwas mit den "Schlüsselfragmenten" die diese EFS-Tool von Elcomsoft gefunden hat anfangen?

Bringt es etwas, wenn ich eine unverschlüsselte Datei habe, die identisch mit einer verschlüsselten ist? So eine Art "Vergleichsalgorhytmus". Kann man dann noch was machen?
 
Guten Abend Icke,

ich denke, so leid es mir auch nun tut, dass Du Dir auf jeden fall mal diese Webseite von Microsoft anschauen solltest:

http://www.microsoft.com/germany/kl...rtikel/schuetzen-von-daten-mit-efs.mspx#EKMAE

Solltest Du wegen den "Schlüsselfragmenten" nichts finden, vermute ich stark, dass sich Deine Dateien damit "ad acta" gelegt haben.

Mir persönlich ist nichts bekannt, dass ich mit den "Schlüsselfragmenten" etwas anfangen könnte.

Tut mir leid.

Grüße

Zephyros
 
Hallo alle zusammen

Ich bin der Verfasser dieses Thread´s. Leider hatte ich sowohl das PW als auch die registrierte eMail-Adresse vergessen.

Jedenfalls habe ich immer noch sämtlich oben genannten, verschlüsselten Daten. Sie auch immer noch von sehr großer Wichtigkeit für mich.

Ich wollte einfach noch einmal nachfragen, ob es inzwischen eine Möglichkeit gibt, diese Dateien zu entschlüsseln. Wie damals schon geschrieben: Ich kenne sowohl den Benutzer als auch dessen Passwort. Eben nur das Zertifikat habe ich nicht mehr.

Jetzt kommt noch ein neues Problem auf mich zu. Ich habe die Dateien auf einer NTFS-Platte, die so langsam der Hufe hoch reizt. Soll heißen, von Zeit zu Zeit rattern sie schon ein wenig. Ich würde mir die Dateien gerne anderweitig sichern. Das geht aber nicht, da ich nicht darauf zugreifen darf.

Ich habe eigentlich schon alles mit den Besitzrechten versucht ... Klappt nicht. Was kann ich tun? Denn eines Tages wird es die Möglichkeit der Entschlüsselung geben. Die Rechner werden leistungsfähiger. Hinzu kommt, dass bisher alles, was Microsoft mitgegeben hat eine Schwachstelle hatte. Irgendein Hacker wird das rausbekommen. Und bis dahin will ich meine Dateien auf jeden Fall sicher aufheben.

Vielen Dank vorab
 
Nun sind mittlerweile schon 3 Jahre vergangen und es gibt nach meinem aktuellen Kenntnisstand noch keine "einigermaße umsetzbare" lösung für das problem (Wobei es eigentlich ja kein direktes Problem, sondern eher Unwissenheit der User ist, zumindest zum Teil).
Stehe am selben Punkt wie ICKE, habe auch schon einiges recherchiert.
Da hat Windoof wohl für die mächstigste Verschlüsselung überhaupt gesorgt ^.^

Nach meinem wissen wäre direktes bruteforcen, viel viel viel zu aufwendig, weil es wohl wirklich nicht nur Jahre bräuchte und das bei Verwendung eines Supercomputer, welchen ich auch nicht hätte. Selbst mit noch den Hinweisen von einigen Passwörtern im Kopf, also user-pw, etc. würde es noch zuviel an zeit brauchen.
So wie das ganze ausschaut müsste man vielleicht tiefer oder an ganz anderen stellen ansetzten, falls das überhaupt geht aber dazu fehlt mir doch die Aussicht, dass auch was bei rauskommt und da haben sich schon ganz andere leute drangesetzt.
Naja. Bin am überlegen, ob sich's wirklich noch lohnt, die Daten aufzuheben bis es dazu möglichkeiten gibt (falls das überhaupt passiert).
Naja, hoffe trotzdem das Beste für dich, ICKE.
Viele Grüße
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben