Waschbecken 10 Geschrieben 17. August 2006 Melden Teilen Geschrieben 17. August 2006 Hallo zusammen, ich stehe hier vor einer mittelschweren Katastrophe und einem Rätsel. Ich habe einige Ordner/Dateien unter einer nicht mehr existierenden XP-Installation mittels EFS verschlüsselt, und damals natürlich auch das Zertifikat gebackupt - d.h. das ist noch vorhanden. Diese Dateien habe ich anschließend auf meine aktuelle Installation übernommen, hier das Zertifikat importiert - lief alles super, über ein halbes Jahr. Bis gestern. Bei Zugriffen auf die Dateien erhalte ich konsequent "Access denied". Ein reines NTFS-Problem kann ich eigentlich aus- schließen, weil es dabei nur um die verschlüsselten Files geht, und ich auch als Owner eingetragen bin. Das Zertifikat, mit dem die Files ursprünglich verschlüsselt wurden habe ich mehrfach wieder eingespielt - ohne Erfolg. Auch habe ich AEFSDR schon probiert, der markiert mir die entsprechenden Files rot, also nicht entschlüsselbar. Was mir noch eingefallen ist: nachdem ich festgestellt hatte, dass kein Zugriff mehr möglich ist, und bevor ich das alte Zertifikat neu importiert habe, habe ich die bestehenden Zertifikate unter "Personal" gelöscht, das waren zwei - mir schwant, dass ich da etwas voreilig gewesen bin. Wäre es irgendwie möglich, dass die neue Installation automatisch ein neues Zertifikat erstellt hat, mit dem die Files nun allesamt verschlüsselt sind, anstelle des alten? Wenn ja, krieg ich das noch irgendwie hingebogen? Nochmal die Fakten: - Windows XP Pro SP2 (sowohl damals als auch heute) - KEINE Neuinstallation in den letzten Monaten - User NICHT gelöscht - Ging bis gestern. Danke schonmal Zitieren Link zu diesem Kommentar
ChristianHemker 10 Geschrieben 17. August 2006 Melden Teilen Geschrieben 17. August 2006 Es sollte eigentlich nichts ausmachen, wenn man alle Zertifikate in der neuen Installation löscht und dann das alte EFS Zertifikat importiert. Wichtig dabei ist nur, dass der private Schlüssel vorhanden ist, nicht nur das Zertifikat. Bitte prüfe nochmal, ob bei der Anzeige des EFS Zertifikats auch steht "Sie sind im Besitz des privaten Schlüssels" (oder so ähnlich). Zitieren Link zu diesem Kommentar
Waschbecken 10 Geschrieben 17. August 2006 Autor Melden Teilen Geschrieben 17. August 2006 Ja, hab ich. Scheint soweit alles korrekt zu sein. Allerdings ist das eingetreten was ich befürchtet habe - wenn ich in den Eigenschaften der Verschlüsselung nachschaue, steht bei "Users who can transparently access this file" leider ein user mit nem zertifikat, was nen anderen fingerprint hat als mein Original. Ich sitze in der Tinte - sehe ich das richtig? Zitieren Link zu diesem Kommentar
ChristianHemker 10 Geschrieben 17. August 2006 Melden Teilen Geschrieben 17. August 2006 Das heißt die Datei ist mit einem öffentlichen Schlüssel verschlüsselt, zu dem dein eingespieltes Zertifikat nicht den privaten Schlüssel hat. Die Frage ist nur, wie sowas zustande gekommen ist? Die Dateien sind doch von dem alten System kopiert worden und dort waren sie doch nur mit dem einem EFS Zertifikat verschlüsselt, oder? Hast du das alte Benutzerprofil des Users der die Dateien verschlüsselt hat noch? War da eine Zertifizierungsstelle und / oder Domäne im Spiel? Es gibt Datenrettungsprogramme, die aus einem beschädigtem Profil (das Kennwort des Benutzers muss bekannt sein!) den Schlüssel extrahieren können. Allerdings habe ich diese noch nie testen müssen, daher kann ich leider keine Erfahrungen weitergeben. Zitieren Link zu diesem Kommentar
Waschbecken 10 Geschrieben 17. August 2006 Autor Melden Teilen Geschrieben 17. August 2006 Ja, *das* frage ich mich auch - wieso die Files plötzlich mit nem anderen Cert verschlüsselt sind. Die einzige nennenswerte Änderung, die ich in den letzten Tagen am Rechner gemacht habe, ist übrigens die Installation eines Zyxel-VPN-Clients. Zum alten Account: leider nicht mehr, das System ist längst platt gemacht und wegformatiert. Zitieren Link zu diesem Kommentar
ChristianHemker 10 Geschrieben 17. August 2006 Melden Teilen Geschrieben 17. August 2006 Wenn die Dateien wirklich mi einem anderen Zertifikat verschlüsselt wurden und du weder den privaten Schlüssel, noch das alte Benutzerprofil hast, dann hast du wirklich ein Problem. Zumindest weiß ich nicht mehr weiter. Zitieren Link zu diesem Kommentar
Waschbecken 10 Geschrieben 17. August 2006 Autor Melden Teilen Geschrieben 17. August 2006 Es gibt Datenrettungsprogramme, die aus einem beschädigtem Profil (das Kennwort des Benutzers muss bekannt sein!) den Schlüssel extrahieren können. Allerdings habe ich diese noch nie testen müssen, daher kann ich leider keine Erfahrungen weitergeben. Was mir gerade einfällt: mein Problem ist ja nicht, dass ich das Cert nicht mehr habe, mit dem ich ursprünglich auf dem alten Account verschlüsselt habe, sondern dass mit dem neuen Account plötzlich ein neues Cert verwendet wurde - was ich nicht mehr habe. Das heißt: ja, ich hab den Account noch - ist ja der aktuelle, von dem ich gerade schreibe. Dir fällt jetzt nicht zufällig eines dieser Tools oder ein Weg dazu ein, das Cert wieder zu bekommen? Wie gesagt, User und System sind ja noch original vorhanden. Zitieren Link zu diesem Kommentar
ChristianHemker 10 Geschrieben 17. August 2006 Melden Teilen Geschrieben 17. August 2006 Hier hatte ich was darüber gelesen: heise online - Russisches Tool knackt EFS-Schutz Zitieren Link zu diesem Kommentar
Waschbecken 10 Geschrieben 17. August 2006 Autor Melden Teilen Geschrieben 17. August 2006 Da geht sie dahin, meine letzte Hoffnung. Das Tool taugt leider überhaupt nichts für diesen Zweck, lediglich wenn die Kisten icht mehr hochfährt kann man es gebrauchen - es macht nämlich nichts anders als Windows selbst, nur das es vorher die entsprechenden Zertifikate zusammensucht. Schade ... muss die Daten wohl begraben. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 17. August 2006 Melden Teilen Geschrieben 17. August 2006 Schade ... muss die Daten wohl begraben. Ohne Zert, ja. grizzly999 Zitieren Link zu diesem Kommentar
firefox80 10 Geschrieben 18. August 2006 Melden Teilen Geschrieben 18. August 2006 Hab das nicht mehr genau in erinnerung, aber bestimmte konten können ja als wiederherstellungs-agent verwendet werden. kann man über das admin konto was machen? hatte irgendwas mit einer gpo zu tun... vielleicht hilft das als ideen-anstoß Zitieren Link zu diesem Kommentar
sandro.lopopolo 10 Geschrieben 18. August 2006 Melden Teilen Geschrieben 18. August 2006 Hallo also will dir mal keine große hoffnung machen ,aber es gibt ein tool (encase). wenn du das cert. noch hast solltest du einen schlüßel haben. wenn dem so ist kannst du mit encase ein Image ziehen, und durch den schlüßel versuchen die daten zu entschlüßeln. Versuch das mal...:shock: Zitieren Link zu diesem Kommentar
ChristianHemker 10 Geschrieben 18. August 2006 Melden Teilen Geschrieben 18. August 2006 Hab das nicht mehr genau in erinnerung, aber bestimmte konten können ja als wiederherstellungs-agent verwendet werden. kann man über das admin konto was machen? Nur wenn der Rechner in der Domäne hängt (Was hier ja anscheinend nicht der Fall ist). Dann ist der Benutzer Administrator standardmäßig Wiederherstellungsagent und kann alle verschlüsselten Daten öffnen und bei Bedarf entschlüsseln. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.