EFS unter win xp knacken

B

Bleeding666

0
Ein Bekannter von mir hat einige seiner Daten auf seinen PC mit dem Encrypting File System unter Windows XP verschlüsselt.Jetzt hat er sein Windows neu installiert und kommt an die Daten nicht mehr ran.
Gibt es irgendeine Möglichkeit die Verschlüsselung zu knacken, wenn man seine Zertifikate nicht gesichert hat?

Unter http://www.heise.de/security/artikel/38009/2 steht:

"Viele Anwender überrascht, dass Windows EFS-verschlüsselte Dateien auf Datenträgern mit Dateisystemen wie FAT16/32 oder in Verzeichnisse auf NTFS-Partitionen für die EFS nicht aktiviert wurde, unverschlüsselt ablegt. Auch auf einer Diskette landen Dateien nach dem Kopieren unverschlüsselt. Der Transfer über ein Netzwerk erfolgt ebenfalls ohne EFS-Schutz."

Hab die Festplatte in meine Linux- Rechner eingebaut und versucht die Daten auf meine Festplatte zu kopieren. Hat nicht geklappt. Konnte sie nicht richtig kopieren.
Weiss jemand da Rat?

mfg
BleedingSoul
 
Hi

Also wenn du das Zertifikat nicht mehr hast, ist es so zimmlich unmöglich. Ausser du hast so ein paar Jahre dafür Zeit oder du bekommst einen Earthsimulator zu Weihnachten geschenkt.

mfg
 
Viele Anwender überrascht, dass Windows EFS-verschlüsselte Dateien auf Datenträgern mit Dateisystemen wie FAT16/32 oder in Verzeichnisse auf NTFS-Partitionen für die EFS nicht aktiviert wurde, unverschlüsselt ablegt. Auch auf einer Diskette landen Dateien nach dem Kopieren unverschlüsselt. Der Transfer über ein Netzwerk erfolgt ebenfalls ohne EFS-Schutz.
Zum Vergrößern anklicken....

Hast du dein linux auf NTFS oder FAT 16/32 ?

mfg
 
Weder noch. Linux läuft im normalem ext2 - Dateisystem, denke ich. Nur die Partition auf der die Daten sind ist NTFS. Und ich dachte wenn Windows nicht aktiv ist können die Daten kopiert werden.
Hab die Daten aber auch versucht sie über das Netzwerk zu kopieren. Hat leider nicht geklappt. Das Problem ist das Kopieren der Daten, auch unter Linux klappt es nicht richtig.

mfg BleedingSoul
 
Hi

Eine kleine Frage. Was bringt es dir, wenn du die Daten auf dein Linux kopieren könntest? Danach sind sie ja immer noch verschlüsselt. Und das EFS basiert auf dem RSA Verschlüsselungsverfahren. RSA arbeitet normaler weise mit 1024 Bit oder 2048 Bit Schlüsseln. Ab und zu auch mit 512 Bit. Wobei 512 Bit erst einmal gecknakt wurde und das wohl kaum mit einem normalen Rechner.
Für 128 bit Schlüssel zu knacken bräuchtest du vermutlich so um die 100'000'000'000'000 Jahre und mehr!!!! 8o

Also wenn du genug Zeit hast, kannst du die Daten versuchen zu Retten.

Hier noch ein Link

mfg
 
Ich weiss, dass es Jahre dauer würde selbst einen 128 bit Schlüssel zu knacken,
Ich bezog mich auf den Beitrag von heise, dass die Verschlüsselung beim kopieren der Daten über ein Netzwerk oder auf eine Festplatte bei der EFS nicht aktiv ist ( und das ist bei Linux ja der Fall ) zerstört wird, so wie es im Artikel heißt.
Wenn ich die Daten also kopieren könnte dann wird die Verschlüsselung unweigerlich zerstört, wie der Beitrag belegt, egal wie viel Bit der Schlüssel verwendet. Bei meinen Versuch konnte ich die Daten aber nicht kopieren, Linux gab eine Fehlermeldung das auf die Daten nicht zugegriffen werden konnte.


mfg BleedingSoul
 
Hallo,

soviel ich weiß ging es um NTFS-Laufwerke bei dem Sicherheitsproblem. Diese kannst Du tatsächlich öffnen, da sie eben nicht verschlüsselt werden.

Heise sagt ja auch: Bei Windows XP funktioniert dieser Angriff nicht.


EFS verschlüsselt aber und da bleibt halt nur rechnen. Aber hier zeigt sich mal wieder, dass Windows es dem User einfach zu leicht macht. Ein Häckchen bei EFS und das Problem ist da.

Benutzerfreunlichkeit ist toll, aber "poblematische" Funktionen sollten nicht so einfach sein.


Viele Grüße
Düssi
 
soviel ich weiß ging es um NTFS-Laufwerke bei dem Sicherheitsproblem. Diese kannst Du tatsächlich öffnen, da sie eben nicht verschlüsselt werden.

Heise sagt ja auch: Bei Windows XP funktioniert dieser Angriff nicht.
Zum Vergrößern anklicken....

Wie meinst du das mit NTFS-Laufwerke öffnen? Versteht ich nicht, ich meine Daten auf nem NTFS-Laufwerk, die Verschlüsselt sind.

Das mit der Benutzerfreundlichkeit ist zwar völlig richtig, andererseitz könnte man auch sagen: Wer nicht weiss was er tut ist selber schuld.

Und ich such immer noch nach ner Lösung, ich brach die Daten dringend.
Und es wär doch nicht schlecht wieder mal Microsoft auszutricksen.

mfg BleedingSoul
 
Ich meine herkömmliche NTFS Laufwerke ohne EFS.

Dein Problem wird sich nicht lösen lassen. IMO gibt es glücklicherwiese keinen Bug, mit dem sich ein Schlüssel herzaubern lässt.

Dein Artikel bezieht sich übrigens auf die Situation, bei der Du von einem aktiven Windows-System mit EFS-Laufwerk Daten auf ein andere Medium verschiebst. Dann entschlüsselt Windows die Daten und speichert sie unverschlüsselt.

Ohne Schlüssel aber kein Entschlüsseln.

Das ist wie mit einer Haustür. Nur dass das Einbrechen einer Haustür schneller gehen dürfte als das Aufbrechen Deiner verschlüsselten Daten.

Mfg
Düssi
 
Hi!
Das Kopieren klappt bei mir leider auch nicht, es gibt aber noch zwei andere Möglichkeiten.
Elcomsoft bietet das Produkt Advanced EFS Data Recovery an, damit lassen sich verschlüsselte Daten wieder entschlüsseln. Man sollte allerdings das Passwort des privaten SChlüssels kennen, das rechnen dauert wirklich recht lange X(

Einfacher ist es, mit Partition Magic 8 die Partition auf Fat32 zu konvertieren, dabei gehen wirklich die EFS-Verschlüsselungen verloren, damit habe ich meine Daten auch retten können.
Mein Zertifikat habe ich extra exportiert, nach der Neuinstallation paßte es aber trotzdem nicht mehr zu den Daten :(
 
Hallo gasp,
ich habe deinen Tip versucht aber es klappt nicht. Partion Magic gibt eine Fehler Meldung aus, als ob es die verschlüsselten Daten nicht konvertieren kann. Ich konnte die Partionen mit den Daten zaer kopieren mit PartMagic aber das nützt mir nichts. Ich habe nämlich dasselbe Problem. Ich habe meine Bewerbungen,Word,Excel Daten usw. auf
Laufwerk d: abgelegt und Windows neu installiert. Dabei wurde natürlich mein persönlicher Schlüssel gelöscht. Ich wußte über diesem Umstand nichts. Jetzt ist mein Ärger sehr groß.
Ich würde mich freuen wenn jemand mir helfen kann..
 
Hi!
Hmm..wenn es mit Partition Magic nicth funktioniert, kannst du nur noch das Programm Advanced EFS Data Recovery von Elcomsoft ausprobieren.
Wenn du dein Passwort noch weißt, ist das Retten der Daten schnell erledigt.
Mit der Testversion des Programms klappt es leider nicht, dort werden nur die ersten KByte einer Datei entschlüsselt.
 
Hallo gasp,
das Tool zeigt alle Files als rot markiert an. Was meinst du mit passwort ? Ich habe damals doch einfach nur ein Häkchen bei "Datein verschlüsseln" gesetzt. Dort wurde nach keinem Passwort gefragt. Wie gesagt schlüssel habe ich nicht mehr. Kannst Du helfen ?
Gruß THXFAN
 
Hi!
Die Verschlüsselung beruht auf deinem Benutzernamen und dem dazugehörigen Passwort, die kannst du EFS Recovery mitteilen damit die Entschlüsselung schneller läuft ;)
Auf der ersten Seite kannst du dann nach den Keys suchen lassen, das Programm wird dir dann verschiedene Privat-Keys oder Master-Keys anzeigen. Mithilfe deines Usernamen & Passworts kannst du diese dann schonmal wiederherstellen...auch wenn ich mir grade überlege, daß du die Platte ja formatiert hast...in dem Fall ist wahrscheinlich ein wenig Suchen nötig ?(
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben