onurbi 10 Geschrieben 29. Januar 2011 Melden Teilen Geschrieben 29. Januar 2011 Hallo, solange ich nach einer frischen XP Prof. Installation File mit EFS zum ersten Mal verschlüsselt habe, wird ja ein Zertifikat automatisch erstellt. Wa passiert aber, wenn ich weitere EFS-Zetifikate in den Personalstore eintrage oder erzeugen lasse. Konkret erzeugt auf meinem DELL die Embassy Security Suite ein Zertifikat, das irgendwie mit dem TPM-Chip verbunden sein soll. Doku habe ich über Details noch nciht gefunden. Stelle mir vor, dass der TPM-Chip sozusagen die Root-CA darstellt. Der zugehörige Wizard erstellt also auch ein EFS-Cert. Jetzt habe ich zwei. Jedes neue verschlüsselte File verwendet das neu erstellte Cert. Nun meine Fragen: - Wo steht, welches der Certs im Personalstore XP zum verschlüsseln eingesetzt wird? - Kann ich dann trotzdem auf Files zugreifen, die noch mit dem anderen Cert verschlüsselt sind? Bevor ich rumspiele, und nicht löschbaren Müll auf der Platte erzeuge, möchte ich mich lieber vorher schlau machen. Gruß, onurbi Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 29. Januar 2011 Melden Teilen Geschrieben 29. Januar 2011 Hi onurbi und willkommen an Bo(a)rd, :) das aktuell für die EFS Verschlüsselung des Benutzers eingesetzte Zertifikat wird in folgendem Registry Schlüssel angegeben: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\EFS\CurrentKeys Dort könntest Du - bei Bedarf - das "alte" Zertifikat bzw. dessen Hash hinterlegen. Du kannst auf die alten Dateien zugreifen, solange das alte Zertifikat inkl. des privaten Schlüssels auf dem Client vorhanden ist. Es ist also grundsätzlich erst einmal nicht notwendig, alle Dateien noch einmal anzufassen. Wenn Du möchtest, daß alle Dateien mit dem aktuellen Schlüssel verschlüsselt werden, kannst Du dies mit cipher.exe /u erledigen. Insgesamt macht eine Sicherung der EFS Zertifikate inkl. der privaten Schlüssel Sinn, um Datenverlust vorzubeugen. Frage am Rande: Handelt es sich um einen Domänenclient oder ein alleinstehendes System? Ich vermute letzteres, korrekt? Viele Grüße olc Zitieren Link zu diesem Kommentar
onurbi 10 Geschrieben 29. Januar 2011 Autor Melden Teilen Geschrieben 29. Januar 2011 Hallo olc, das aktuell für die EFS Verschlüsselung des Benutzers eingesetzte Zertifikat wird in folgendem Registry Schlüssel angegeben: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\EFS\CurrentKeys Und dann der Binärwert "Certificate Hash"? Ich habe das mal getestet dort den Fingerprint auszuwechseln. Es hat nicht geklappt. Entweder konnte ich dann auf Testfiles nicht zugreifen oder es stand dann plötzlich wieder der Fingerprint des Default Certs drin. Du kannst auf die alten Dateien zugreifen, solange das alte Zertifikat inkl. des privaten Schlüssels auf dem Client vorhanden ist. Ok, das Vorhandensein des Certs ist also ausreichend! Insgesamt macht eine Sicherung der EFS Zertifikate inkl. der privaten Schlüssel Sinn, um Datenverlust vorzubeugen. Dachte ich auch. Das Spezialzertifikat von Wave (Embassy Security Suite von Wave) läßt sich allerdings nicht exportieren und ist im Rahmen von testweise löschen meines Standard XP Certs und wieder importieren inzwischen verschwunden, obwohl ich es definitiv nicht gelöscht habe. Da stimmt irgendwas nicht. Ein Ticket bei Wave ist am Laufen. Zu meiner anschließenden Frage mache ich einen neuen Beitrag auf: Sollte es reichen verschlüsselte Files eines anderen XP-PCs bearbeiten zu können, wenn man einfach das Zertifikat importiert... Frage am Rande: Handelt es sich um einen Domänenclient oder ein alleinstehendes System? Ich vermute letzteres, korrekt? Ja, korrekt es ist ein Singlessystem Viele Grüße onurbi Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.