Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Sicherheit von Brisanten Daten

Phoenix.Computer / 56 Antworten / Baumansicht Nickles

Hi,


ich stehe vor einem Problem


Wie sichere ich Brisante Daten (Überwiegend Kundendaten /Bankdaten) vor unautorisierten Zugriff?


Mometan packe ich wichtige Dateien mit WinRar und vergebe dann ein Passwort.


Wie Sicher ist die Methode?


Gibt es bessere Alternativen, Verschlüsselungsprogramme?


 

Phoenix.Computer
bei Antwort benachrichtigen
InvisibleBot Phoenix.Computer „Sicherheit von Brisanten Daten“
Optionen

Das Passwort von Winrar ist ein Witz, wenn es wirklich wichtige Daten sind. Außerdem ist es unpraktisch.
Verschlüsselungsprogramme gibt es ohne Ende, das verbreitetste ist wohl PGP.

Ich würde Dir die Steganos Security Suite empfehlen, da kannst Du virtuelle verschlüsselte Laufwerke mit bis zu 30GB anlegen. Das Laufwerk lässt sich per Passworteingabe öffnen und dann frei verwenden - bis man es schließt. Auch bei nem Absturz sind die Daten sicher, da sie trotzdem verschlüsselt sind. Das ganze Laufwerk besteht aus einer einzigen Datei auf der Platte, lässt sich also auch problemlos sichern.

- Beat the machine that works in your head! -
bei Antwort benachrichtigen
GarfTermy Phoenix.Computer „Sicherheit von Brisanten Daten“
Optionen

es gibt mehrere möglichkeiten...

* du verschlüsselst die dateien
* du arbeitest mit rechten und freigaben

beides in windows enthalten (gut ab w2k) [unter ntfs]

alternativ geht das auch mit...

* pgp
* steganos

mit beiden (kostenpflichtig) proggis kann man verschlüsselte virtuelle laufwerke erstellen, der passwortschutz ist bei beiden proggis bisher nicht geknackt worden.

am besten hat man hochsensible daten aber gar nicht auf rechnern, die direkten zugang zum internet haben.

ein weiterer aspekt ist dann noch das backup dieser daten - darüber solltest du ebenfalls nachdenken.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Andylol GarfTermy „es gibt mehrere möglichkeiten... du verschlüsselst die dateien du arbeitest...“
Optionen

Moin garf!

"du verschlüsselst die dateien ( -->aber nie!! mit dem EFS von 2k aufwärts)
* du arbeitest mit rechten und freigaben (-->i.o.)

beides in windows enthalten (gut ab w2k) [unter ntfs]"

--> Du solltest fairerweise aber auch erwähnen, dass die EFS-Verschlüsselung von Windows ein Witz ist:
Unter NTFS-Systemen klappt das zwar zuverlässig... aber dieselbe EFS-verschlüsselte Datei auf einen z.B. NICHT-NTFS-Datenträger (Diskette, USB-Stick, CD-R etc) kopiert (z.B. mit Linux etc.) ... und die Verschlüsselung ist nur noch so viel wert, wie ein Kühlschrank am Nordpol ;-)

EFS kann man niemandem guten Gewissens empfehlen.

Gruß
Andylol

bei Antwort benachrichtigen
GarfTermy Andylol „Moin garf! du verschlüsselst die dateien -- aber nie!! mit dem EFS von 2k...“
Optionen

"...EFS kann man niemandem guten Gewissens empfehlen..."

das kommt auf die gewünschte sicherheit an, außerdem gilt auch hier wieder, das man möglichst verschiedene maßnahmen kombinieren sollte.

vorsicht also bei pauschalen antworten auf pauschale antworten.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Andylol GarfTermy „ ...EFS kann man niemandem guten Gewissens empfehlen... das kommt auf die...“
Optionen

Moin garftermy,

wenn man verschiedene Sicherheitsfeatures kombiniert, sieht das meist anders aus.... aber EFS alleine (und dabei muss ich leider bleiben)..ist leider ein "Witz" ;-)

"vorsicht also bei pauschalen antworten auf pauschale antworten"
--> dabei gebe ich Dir recht:;-)

Gruß
Andylol

bei Antwort benachrichtigen
HADU Andylol „Moin garf! du verschlüsselst die dateien -- aber nie!! mit dem EFS von 2k...“
Optionen
aber dieselbe EFS-verschlüsselte Datei auf einen z.B. NICHT-NTFS-Datenträger (Diskette, USB-Stick, CD-R etc) kopiert (z.B. mit Linux etc.) ... und die Verschlüsselung ist nur noch so viel wert, wie ein Kühlschrank am Nordpol ;-)

Hmm - geht das wirklich so einfach? Benötigt man zum entschlüsseln nicht den entsprechenden Key?

Gruß HADU
bei Antwort benachrichtigen
Rigor Mortis HADU „aber dieselbe EFS-verschlüsselte Datei auf einen z.B. NICHT-NTFS-Datenträger...“
Optionen

wenn der User, mit dessen zertifikat die datei verschlüsselt wurde die datei auf ein nicht-ntfs-volume kopiert so wird diese automatisch entschlüsselt. versucht dies ein anderer user, so sollte es eigentlich nicht gehen.

bei Antwort benachrichtigen
HADU Rigor Mortis „wenn der User, mit dessen zertifikat die datei verschlüsselt wurde die datei...“
Optionen

So sehe ich das eingentlich auch.
Mir ist bekannt, dass EFS unter Windows 2000 nicht der Brüller ist, aber unter XP bzw. Windows Server 2003 dachte ich schon, dass das sicher ist.
Gruß
HADU

bei Antwort benachrichtigen
Andylol Rigor Mortis „wenn der User, mit dessen zertifikat die datei verschlüsselt wurde die datei...“
Optionen

Moin,

"versucht dies ein anderer user, so sollte es eigentlich nicht gehen"
--> denkst DU!

Wer auf die (unter NTFS liegenden ) Daten Zugriff hat.. von einem System, dem NTFS-Rechte "schnuppe" sind (Linux war ein beispiel) und diese Partition ...... hat vollen Zugriff auf die Daten (z.B. zum Kopieren auf Diskette etc.)und dies OHNE Verschlüsselung!
Denn NUR wenn ein Dateisystem die Rechtestruktur auch interpretiert (Windows ab NT tut dies unter NTFS, ...Linux z.B. aber nicht; bei DOS/9x wäre dies ebenfalls so, wenn sie denn NTFS-Laufwerke erkennen würden;-) sind sowohl die Zugriffsrechte als auch die Verschlüsselung unwirksam!

Deshalb gilt nach wie vor der alte Grundsatz:
Der SCHLIMMSTE Feind ist der PHYSIKALISCHE Zugriff auf einen Rechner...warum haben Firmen denn wohl Sicherheitsschleusen, bzw. ZUgangskontrollen ;-?).

Würde als Beweis gerne eine "Betriebsanleitung zum Datenklau geschützter bzw. EFS-verschlüsselter Dateien" anführen... aber dies hier ist ein DatenSCHUTZ-Board, deshalb halte ich mich wohlweislich zurück!
Dennoch: EFS zu umgehen ist keine Schwierigkeit....leider !

Gruß
Andylol




bei Antwort benachrichtigen
HADU Andylol „Moin, versucht dies ein anderer user, so sollte es eigentlich nicht gehen --...“
Optionen

Ich habe extra eine Quelle gesucht, die nicht von Microsoft ist:
http://www.heise.de/security/artikel/38009/2
Hier werden die Probleme von EFS unter Windows 2000 genannt und dass diese unter Windows XP nicht mehr bestehen.
Es ist wahr, dass EFS nicht 100%ig ist, aber ein einfaches Kopieren - z.B. unter Linux - bringt gar nichts. Die Dateien sind dann zwar kopiert, aber immer noch verschlüsselt.
Gruß
HADU

bei Antwort benachrichtigen
Olaf19 HADU „Ich habe extra eine Quelle gesucht, die nicht von Microsoft ist:...“
Optionen

Hi Hadu,

was würde eigentlich passieren, wenn man die Daten mit Hilfe von z.B. Knoppix auf eine FAT32-Partition umkopiert? Die EFS-Verschlüsselung ist doch, wenn ich das recht verstehe, an das Dateisystem NTFS gebunden. Könnte man sie nach dem Kopieren auf FAT32 dort nicht wieder lesen? Oder würde die Verschlüsselung fortbestehen?

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
InvisibleBot Olaf19 „Hi Hadu, was würde eigentlich passieren, wenn man die Daten mit Hilfe von z.B....“
Optionen

Da ist jetzt wohl einiges durcheinander geraten:

Dateien, die per NTFS-Verschlüsselung gesichert sind, sind auch dann verschlüsselt und nicht einsehbar wenn man mit Knoppix oder anderen Linux-Methoden dran geht. Es ist zwar möglich eine verschlüsselte Datei mit Knoppix o.ä. woanders hinzukopieren, aber das nützt nix, da sie trotzdem verschlüsselt bleibt. Die einzige Möglichkeit, eine solche Verschlüsselung aufzuheben ist, sich als derjenige Benutzer anmelden, der die Datei verschlüsselt hat. Und hier liegt das eigentliche Problem, denn das ist viel einfacher, als die verschlüsselte Datei zu knacken, was auch mit einem schnellen Rechner Wochen und Monate dauert.

Beim Kopieren z.B. auf ein FAT32-Laufwerk ist es auch nicht anders als oben beschrieben. Mit dem falschen Benutzeraccount oder Knoppix kopiert man nur sinnlosen Datenmüll, mit dem richtigen Benutzeraccount (der, der die Datei verschlüsselt hat) wird die Datei automatisch entschlüsselt, wenn man sich auf ein Nicht-NTFS-Dateisystem kopiert.

Bei Dateien die z.B. mit PGP oder Steganos verschlüsselt sind ist die Verschlüsselung unabhängig vom angemeldeten Benutzer, jeder der das Passwort hat kann diese Dateien öffnen.

- Beat the machine that works in your head! -
bei Antwort benachrichtigen
Olaf19 InvisibleBot „Da ist jetzt wohl einiges durcheinander geraten: Dateien, die per...“
Optionen

> Beim Kopieren z.B. auf ein FAT32-Laufwerk ist es auch nicht anders als oben beschrieben. Mit dem falschen Benutzeraccount oder Knoppix kopiert man nur sinnlosen Datenmüll

Danke, das war es was ich wissen wollte. Wäre sonst aber auch zu einfach gewesen, wenn man eine Verschlüsselung mit derart simplen "Hausmitteln" hätte aushebeln können ;-)

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Andylol Olaf19 „ Beim Kopieren z.B. auf ein FAT32-Laufwerk ist es auch nicht anders als oben...“
Optionen

Moin Olaf,

"Wäre sonst aber auch zu einfach gewesen, wenn man eine Verschlüsselung mit derart simplen "Hausmitteln" hätte aushebeln können ;-) "
--> OH DOCH !!!!

Gruß
Andylol

bei Antwort benachrichtigen
Olaf19 Andylol „Moin Olaf, Wäre sonst aber auch zu einfach gewesen, wenn man eine...“
Optionen

Ja - siehe weiter oben im Thread. Also hatte ich doch recht mit meiner ursprünglichen Vermutung...

Andy, eine Bitte und nur wenn du Zeit und Lust hast: Mail mir doch mal irgendeine mit EFS verschlüsselte Datei zu. Ich möchte die mal auf einer NTFS-Partition speichern und erfolglos(?!) unter XP öffnen, auf eine FAT32-Partition kopieren und dann noch einen Versuch machen. Allein kann ich dieses Experiment nicht durchführen, da ich nur die Home Edition habe.

Danke und CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Andylol Olaf19 „Ja - siehe weiter oben im Thread. Also hatte ich doch recht mit meiner...“
Optionen

Moin OLaf,

"Also hatte ich doch recht mit meiner ursprünglichen Vermutung... "
-->Hattest Du zu recht, aber das konnte Dir schon die Logik sagen: " wenn ich das recht verstehe, an das Dateisystem NTFS gebunden" ;-)
--> Genau DAS, aber das wollen die da oben einfach nicht verstehen, weil sie hintenrum immer noch an eine Art "Verschlüsselungstool a ´la Steganos" etc. denken und gedanklich nicht trenne können! Schade eigentlich.

"Mail mir doch mal irgendeine mit EFS verschlüsselte Datei zu."
--> Würde ich ja gerne tun, aber siehe mein Postings oben und unten:
Die Datei wäre EFS-verschlüsselt an das NTFS-Dateisystem gekoppelt, d.h. ohne dieses, wäre sie auch nicht mehr verschlüsselt ;-)

EFS-Verschlüsselung ist über ein Netzwerk ebenfalls nicht(!) möglich (kannst Du auch in dem Heise-Artikel nachlesen :-) -> Wenn ich sie Dir mailen würde, würde sie mein NTFS-System verlassen und wäre ergo auch nicht mehr verschlüsselt ... deshalb sorry ;-)

Wie gesagt, EFS ist kein Stand-alone-Tool :-)))

Gruß
Andylol

bei Antwort benachrichtigen
Andylol Nachtrag zu: „Moin OLaf, Also hatte ich doch recht mit meiner ursprünglichen Vermutung... --...“
Optionen

Moin,

habe mein Posting gerade noch einmal gelesen...klingt ja doch etwas "scharf gewürzt" ;-)
War (auf Dich bezogen) aber nicht meine Absicht.sorry...;-(.

aber zu Deiner Mailfrage: Ich könnte Dir erstazweise eine unverschlüsselte Textdatei mailen...hätte denselben Effekt, denn die Mail würde auf dem Weg zu Dir, ohnehin sicherlich über mehrere Unix/Linux-Mailserver gehen...die müssten dann leider sagen "EFS".."NTFS-Rechte"???? wat denn dat ?? ;-)))

Gruß
Andylol

bei Antwort benachrichtigen
Rigor Mortis InvisibleBot „Da ist jetzt wohl einiges durcheinander geraten: Dateien, die per...“
Optionen

der administrator des betreffenden systems tut es auch zum entschlüsseln, wobei es wirklich in der regel einfacher ist an die daten eines benutzeraccounts als an die daten des administratoraccounts zu kommen.

bei Antwort benachrichtigen
GarfTermy Rigor Mortis „der administrator des betreffenden systems tut es auch zum entschlüsseln, wobei...“
Optionen

@rigor...

der admin entschlüsselt mal so einfach nichts. und mit dem account hat´s erstmal auch nichts zu tun.

schonmal was vom wiederherstellungsagenten gehört?

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Rigor Mortis GarfTermy „@rigor... der admin entschlüsselt mal so einfach nichts. und mit dem account...“
Optionen

<ZITAT MICROSOFT>Bei Windows 2000 ist der Administrator automatisch auch Wiederherstellungsagent, da sich bei diesem System ohne den Agenten EFS nicht nutzen lässt. Bei Windows XP muss man den Agenten erst manuell einrichten</ZITAT MICROSOFT>

was soll also dein posting?

bei Antwort benachrichtigen
Andylol Rigor Mortis „Bei Windows 2000 ist der Administrator automatisch auch Wiederherstellungsagent,...“
Optionen

Moin,

@rigor
"Bei Windows 2000 ist der Administrator automatisch auch Wiederherstellungsagent"
-->was hat denn eine "default-Einstellung" mit Sicherheit im Netzwerk zu tun? Gar nichts,..im Gegenteil! Die Wiederherstellungsagenten-Rechte bekommt i.d.R. nicht der Original-Administrator zugewiesen (kleine "Klitschen-Netzwerke" mit "Hobbby-Admins" einmal ausgenommen!).

Garftermy hat mit seinem Posting gar nicht unrecht:
-oder heißt das Administrator-Konto bei Dir etwa noch "Administrator"?... dann machst Du es Hackern einfacher als nötig) !!!

-oder läßt Du etwa wichtige Netzwerk-Server etwa noch unter "Lokales System" laufen? Freut den Cracker beim Ausnutzen eines Exploits...dann hat er nach dem "Abschießen" dieses Systems auch gelich noch quasi Vollzugriff auf den gesamten restlichen Server-Rechner!

-oder speicherst Du wichtige Daten zuhause etwa noch unter "Eigene Dateien" ab?

-oder
-oder
-oder .....

Klar sind belassene defaults einfach zu handeln... aber für die Sicherheit ist das absolut kontraproduktiv! Denn die default-Eindringtürchen kenne auch die "bösen Jungs" nur zu gut ;-)

Gruß
Andylol

bei Antwort benachrichtigen
Olaf19 Andylol „Moin, @rigor Bei Windows 2000 ist der Administrator automatisch auch...“
Optionen

Moin Andy,

> ...oder speicherst Du wichtige Daten zuhause etwa noch unter "Eigene Dateien" ab?

Da würde ich weder wichtige noch unwichtige Sachen hintun - den Ordner benutze ich überhaupt nicht :-)

Genauer gesagt: Die ganze Systempartition würde ich nie zum Speichern von persönlichen Daten nutzen. Wenn ich nämlich mal wieder ein Image drüberbügele - und das kann schneller gehen, als einem mitunter lieb ist! - dann werden die alle mal eben einkassiert. Wenn überhaupt lege ich Daten auf dem Desktop ab, z.B. nach Downloads. Da habe ich sie die ganze Zeit im Blick; wenn ich das Zeug wirklich behalten will, schicke ich's aber rüber auf die andere Platte bzw. eine andere Partition.

Klar, man kann den Ordner eigene Dateien auch auf eine andere Partition verlagern - aber wozu? Dann kann man sich dort gleich individuelle Ordner anlegen. Aber da hat jeder so seine Vorlieben :-)

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Andylol Olaf19 „Eigene Dateien“
Optionen

Moin Olaf,

Full Ack !

Du hast das System verstanden :-)
Viele andere wundern sich später immer wieder über (überflüssige) Datenverluste...

Gruß
Andylol

bei Antwort benachrichtigen
Andylol InvisibleBot „Da ist jetzt wohl einiges durcheinander geraten: Dateien, die per...“
Optionen

Moin,

@rigor @hadu @invisible:
Diese Ignoranz ist ja fast schon erschreckend ;-):

"Dateien, die per NTFS-Verschlüsselung gesichert sind, sind auch dann verschlüsselt und nicht einsehbar wenn man mit Knoppix oder anderen Linux-Methoden dran geht"

"Die einzige Möglichkeit, eine solche Verschlüsselung aufzuheben ist, sich als derjenige Benutzer anmelden, der die Datei verschlüsselt hat"

"Mit dem falschen Benutzeraccount oder Knoppix kopiert man nur sinnlosen Datenmüll, mit dem richtigen Benutzeraccount..."
usw...

Sagt mal könnt ihr nur nicht oder wollt ihr nur nicht verstehen, z.B. auch den angeführten Artikel von hadu?

Ich zitiere gerne noch einmal Schlüsselpassagen des (korrekten) Artikels:
(HEISE) "Viele Anwender überrascht, dass Windows EFS-verschlüsselte Dateien auf Datenträgern mit Dateisystemen wie FAT16/32 oder in Verzeichnisse auf NTFS-Partitionen für die EFS nicht aktiviert wurde, unverschlüsselt ablegt. Auch auf einer Diskette landen Dateien nach dem Kopieren unverschlüsselt...(/HEISE)

--> DIE VERSCHLÜSSELUNG IST AN DAS NTFS-DATEISYSTEM! GEBUNDEN.... ALS EINE ZUSATZATTRIBUT DER DATEI (GENAUSO WIE z.B. ZUGRIFFSRECHTE)!!!!!
Wenn die Datei ihr NTFS-(verschlüsseltes)-Umfeld verlässt, sind auch diese Zusatzattribute weg!. Wenn die verschlüsselte Datei von NTFS auf z.B. FAT-Datenträger kopiert wird, wird diese zuerst zum Kopieren entschlüsselt... dann aber nicht! wieder verschlüsselt, d.h. lesbar, .. und KEIN Datenmüll (wer´s nicht glaubt: Ausprobieren von einem Nicht-NTFS-System aus!) ;-)


(HEISE)"Gerne übersehen wird auch, dass EFS nicht vor dem Löschen von Dateien durch einen Administrator schützt"
oder
"Unter Windows 2000 lässt sich EFS relativ leicht aushebeln [2]. Es genügt, die Zugangspasswörter zu ändern, etwa durch Starten von einer Diskette und einem Passwortänderungsprogramm (siehe auch c't 11/03, S. 210).......Bei Windows XP funktioniert dieser Angriff nicht" (/HEISE)

-->Natürlich funktioniert das unter XP nicht! Aber bitte genau lesen und verstehen: Das Beispiel bezieht sich auf den Zugriff per z.B. PasswordChanger auf das ! NTFS-System! Dann hat man zwar vielleicht Adminrechte...aber die Verschlüsselung ist trotzdem weiterhin aktiv, da dieser "gehackte Admin" eben NICHT der verschlüsselnde ORIGINAL-ADMIN ist, sondern für das EFS ein fremder benutzer, der somit folglich auch keinen Zugriff erhält!
Ihr könnt ja gerne einmal mit einem Administrator-Account eiene datei verschlüsseln .. und anschließend dessen Passwort ändern + Neustart !
Dan werdet ihr froh sein, dass es einen Wiederherstellungsagenten gibt ;-)))

Will ja wirklich nicht belehren.. aber eines kleines Nachschlagen unter der Funktionsweise von NFTS würde euch vieles deutlicher werden lassen ;-)

Gruß
Andylol

bei Antwort benachrichtigen
xafford Andylol „Moin, @rigor @hadu @invisible: Diese Ignoranz ist ja fast schon erschreckend - :...“
Optionen

Soben bist Du in mein persönliches Killfile gewandert!

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
GarfTermy xafford „Soben bist Du in mein persönliches Killfile gewandert!“
Optionen

@ xaff.

to be ignored

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
GarfTermy xafford „Soben bist Du in mein persönliches Killfile gewandert!“
Optionen

zitat...

Datenverschlüsselung mit EFS

Die unter Sicherheitsaspekten wohl wichtigste Neuerung in NTFS stellt die ebenfalls seit Windows 2000 verfügbare Dateiverschlüsselung (Encrypting Filesystem, EFS) dar. Damit ist erstmals eine transparente Ver- und Entschlüsselung von sensitiven Daten ohne Zuhilfenahme zusätzlicher Programme möglich. Die Verschlüsselung beruht dabei auf einer Kombination eines symmetrischen Verschlüsselungsalgorithmus mit einem Public-Key-Verfahren auf der Basis von öffentlichen und privaten Schlüsseln und arbeitet für den Nutzer vollkommen transparent.

Arbeitsweise - Verschlüsselung

Bei der erstmaligen Verwendung von EFS durch einen Benutzer wird für diesen ein Schlüsselpaar, bestehend aus einem öffentlichem und einem privatem Schlüssel generiert und anschließend seinem Benutzerkonto hinzugefügt. Dieses Schlüsselpaar wird normalerweise auf der Festplatte gesichert. Idealerweise sollte es jedoch auf einem externen Medium, wie z.B. einer Smartcard gespeichert werden.

Wird eine Datei verschlüsselt, so wird für diese eine Zufallszahl erzeugt, die als File Encryption Key (FEK) bezeichnet wird. Mit Hilfe des so ermittelten Schlüssels wird die Datei danach unter Verwendung einer stärkeren Variante des Data Encryption Standards (DES), von Microsoft mit DESX bezeichnet, verschlüsselt.



--------------------------------------------------------------------------------
Hinweis: Eine weitere Verbesserung der Sicherheit kann durch die Aktivierung des stärkeren Triple-DES-Algorithmus (3DES) erreicht werden.

--------------------------------------------------------------------------------

Der FEK wird nun mit dem öffentlichen Schlüssel des Nutzers sowie dem öffentlichen Schlüssel mindestens eines sog. Wiederherstellungsagenten über einen RSA-Public-Key-Algorithmus verschlüsselt und die resultierenden Zeichenfolgen zusammen mit der Datei in speziellen Feldern gespeichert. Der Einsatz eines Wiederherstellungsagenten ermöglicht es, bei Verlust oder Beschädigung des Schlüsselpaares eines Nutzers trotzdem auf die von ihm verschlüsselten Daten zuzugreifen, welche ansonsten unwiederbringlich verloren wären. Standardmäßig übt der lokale bzw. Domänenadministrator die Rolle des Wiederherstellungsagenten aus.

Entschlüsselung

Bei der Entschlüsselung der Daten wird zunächst geprüft, ob der aktuelle Nutzer Zugriffsrechte auf die Datei und den zur Entschlüsselung notwendigen privaten Schlüssel besitzt. Ist dies nicht der Fall, so wird der Zugriff auf die Datei verweigert. Ansonsten wird der FEK durch Entschlüsselung des zusammen mit der Datei gespeicherten verschlüsselten FEKs mit Hilfe des privaten Schlüssels des Nutzers wiedergewonnen und anschließend für die Entschlüsselung der eigentlichen Nutzdaten mittels DESX oder 3DES verwendet.

Einschränkungen

Der Einsatz von EFS unterliegt gewissen Beschränkungen, derer man sich bewusst sein sollte.

Antivirenprogramme haben bei verschlüsselten Dateien im Normalfall keinen Zugriff auf den eigentlichen Dateiinhalt und können diesen daher auch nicht auf einen möglichen Virenbefall überprüfen. Als Lösung bietet sich die Schaffung eines gesonderten Benutzers an, der als zusätzlicher Wiederherstellungsagent fungiert und dessen einzige Aufgabe die Durchführung von Virenscans ist. In ähnlicher Weise sollte verfahren werden, falls ein Backup-Programm genutzt wird, das die Daten nicht direkt unter Erhaltung der EFS-Verschlüsselung sichern kann. Derzeit unterstützt nur Microsoft Backup diese Funktionalität.

Mit EFS ist es nicht möglich, komprimierte Daten oder Systemdaten zu verschlüsseln. Diese Eigenschaft gewährleistet u.a. einen fehlerfreien Systemstart, da EFS zu diesem Zeitpunkt noch nicht aktiv ist.

Wenn Dateien innerhalb einer Domäne oder Arbeitsgruppe von mehreren Nutzern bearbeitet werden, so hat jeder dieser Nutzer Schreibrechte auf die betroffenen Dateien. Falls diese Dateien auf einem NTFS-Dateisystem liegen und EFS auf dem Hostsystem nicht deaktiviert wurde, ist es damit auch jeder dieser Personen möglich, die Daten zu verschlüsseln und somit den Zugriff für alle anderen Nutzer zu unterbinden. Da dieses Verhalten in der Regel unerwünscht ist, sollte EFS auf dem entsprechenden Dateiserver deaktiviert werden.

Zu beachten ist weiterhin, dass temporäre Dateien, die möglicherweise bei der Bearbeitung eines verschlüsselten Dokumentes entstehen, nur dann verschlüsselt werden, wenn diese in einem verschlüsselten Ordner liegen. Es bietet sich daher an, einen zentralen Ordner für solchen temporären Dateien zu erstellen und für diesen das Attribut zur Verschlüsselung zu aktivieren.

Werden temporäre Dateien programmbedingt im selben Ordner wie die zu bearbeitende verschlüsselte Datei erstellt, wie dies z.B. bei Microsoft Word der Fall ist, so kann eine Verschlüsselung derselben nur durch die Aktivierung von EFS für den gesamten Ordner erreicht werden. Diese Vorgehensweise empfiehlt sich generell, da bei der nachträglichen Verschlüsselung einer einzelnen Datei Teile derselben innerhalb des Dateisystems erhalten bleiben können, da die zur Speicherung genutzten Sektoren auf der Festplatte beim Löschen der Ausgangsdatei nicht überschrieben werden.

Um Datenverlust durch einen möglichen Systemabsturz während eines laufenden Verschlüsselungsvorgangs zu vermeiden, wird beim Verschlüsseln einer einzelnen Datei immer eine unverschlüsselte Kopie erstellt, die erst nach der erfolgreichen Verschlüsselung gelöscht, jedoch ebenfalls nicht überschrieben wird. Mit dem von Microsoft ab Service Pack 1 für Windows 2000 bereitgestellten Programm CIPHER ist ein manuelles Überschreiben der als gelöscht markierten Sektoren möglich.

Mit EFS verschlüsselte Daten werden zudem automatisch entschlüsselt, wenn diese auf ein Dateisystem übertragen werden, das keine Verschlüsselung unterstützt. Beim Kopieren auf Netzwerklaufwerke werden die Daten grundsätzlich unverschlüsselt im Netzwerk übertragen und auf der Gegenseite erneut verschlüsselt, sofern das dort verwendete Dateisystem ebenfalls NTFS ist und die Verschlüsselung auf dem betroffenen System nicht deaktiviert wurde. Die Abhörsicherheit bei der Übertragung sensitiver Daten innerhalb des Netzwerks muss somit gegebenenfalls durch zusätzliche Maßnahmen gewährleistet werden.

Nicht zuletzt hat EFS je nach Anwendung einen mehr oder weniger starken Einfluss auf die Systemleistung, so dass sich der Einsatz in bestimmten Situationen als wenig sinnvoll erweisen kann. So ist bei der Verwendung von EFS auf einem File-Server zu bedenken, dass durch die zusätzlich benötigte Rechenzeit eine starke CPU-Last erzeugt werden kann, die eine erhebliche Verschlechterung von Datendurchsatz und Reaktionszeit des Servers zur Folge haben kann.
Empfehlungen:

Um einen bestmöglichen Schutz der Daten zu gewährleisten, sollte unter Windows 2000 und XP unbedingt das NTFS-Dateisystem auf sämtlichen Laufwerken eingesetzt werden. Weiterhin sollten Zugriffsrechte für die einzelnen Nutzer so gewährt werden, dass diese bei ihrem täglichen Umgang mit Daten zwar keinerlei Einschränkungen in Kauf nehmen müssen, jedoch ebenfalls keine nicht benötigten Zugriffsprivilegien besitzen.

Bei der Verwendung von EFS können eine Reihe von Sicherheitsrisiken auftreten. Insbesondere besteht hierbei die Gefahr, seine Daten allein durch den bloßen Einsatz der Dateiverschlüsselung mittels EFS in vollkommener Sicherheit zu wähnen. Ohne eine Reihe von zusätzlichen Maßnahmen ist dies jedoch keineswegs der Fall.

Besonders problematisch ist die Verwendung von EFS auf standalone Systemen, zu welchen ein potentieller Angreifer womöglich auch noch ungehinderten physischen Zugriff hat. So kann es dem Angreifer durch die im nächsten Abschnitt dieses Artikels zum Thema "Schwachstelle Kennwort" beschriebenen Vorgehensweisen z.B. möglich sein, Zugang zum System als lokaler Administrator zu erlangen. Da dieser, wie bereits erwähnt, standardmäßig als Wiederherstellungsagent für alle lokalen Benutzer fungiert, hat der Angreifer somit Zugriff zu allen auf dem System von den einzelnen Nutzern verschlüsselt oder unverschlüsselt gespeicherten Daten.

Lässt sich der Betrieb als standalone System aus verschiedenen Gründen nicht vermeiden und kann ein 100%iger Schutz vor einem Fremdzugriff nicht gewährleistet werden (z.B. bei Notebooks), so sollte unbedingt die Möglichkeit der Verwendung von Chipkarten zur Aufbewahrung der jeweiligen Schlüsselpaare erwogen werden. Gerät ein derart gesichertes System etwa durch Diebstahl in die Hände eines Angreifers, so kann dieser die Daten nicht entschlüsseln. Selbst wenn der Angreifer ebenfalls in den Besitz der Smartcard gelangt, benötigt er außerdem noch die alphanumerische PIN der Smartcard, durch welche die auf der Karte enthaltenen Daten zusätzlich gesichert werden. Ein Erraten der PIN wird dadurch vereitelt, dass nach einer Anzahl von Fehleingaben eine vollständige und irreversible Sperrung der Smartcard erfolgt.

Alternativ könnten die Schlüssel auch auf ein anderes Speichermedium, wie etwa eine Diskette oder Speicherkarte exportiert und nur bei Bedarf herangezogen werden. Letztere Vorgehensweise ist jedoch meist wenig praktikabel, da hierbei mit der transparenten Arbeitsweise einer der großen Vorteile von EFS verloren geht.

zitat ende.

falls jemand noch fragen hat - fragt ruhig. alles wird gut.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Rigor Mortis GarfTermy „also noch mehr lesestoff...“
Optionen

Besonders problematisch ist die Verwendung von EFS auf standalone Systemen, zu welchen ein potentieller Angreifer womöglich auch noch ungehinderten physischen Zugriff hat. So kann es dem Angreifer durch die im nächsten Abschnitt dieses Artikels zum Thema "Schwachstelle Kennwort" beschriebenen Vorgehensweisen z.B. möglich sein, Zugang zum System als lokaler Administrator zu erlangen. Da dieser, wie bereits erwähnt, standardmäßig als Wiederherstellungsagent für alle lokalen Benutzer fungiert, hat der Angreifer somit Zugriff zu allen auf dem System von den einzelnen Nutzern verschlüsselt oder unverschlüsselt gespeicherten Daten.

danke daß du das selbst gepostet hast

bei Antwort benachrichtigen
Andylol Rigor Mortis „also noch mehr lesestoff...“
Optionen

Moin,

@rigor
"Da dieser, wie bereits erwähnt, standardmäßig als Wiederherstellungsagent für alle lokalen Benutzer fungiert, hat der Angreifer somit Zugriff zu allen auf dem System von den einzelnen Nutzern verschlüsselt oder unverschlüsselt gespeicherten Daten."

--> völlig richtig!
Aber denke doch bitte nicht immer nur an das lokale Administrator-Konto unter Windows mit einer Windows-Anmeldung ;-)
Nebenbei: Du nennst auch selbst einen wichtigen Punkt...der Administrator sollte nicht auch (wie per default) der Wiederherstellungsagent (für alle Benutzer) sein....dann kann man diesen Umstand vermeiden :-)

Danke auch für Dieses Posting von Dir :-)

Gruß
Andylol


bei Antwort benachrichtigen
Andylol xafford „Soben bist Du in mein persönliches Killfile gewandert!“
Optionen

Moin,

@xaff
Bin ich von Dir gar nicht gewohnt...aber:

Lass mich doch an DEINER unfehlbaren Weisheit teihaben..falls nicht:

Mit unsachlichen Randbemerkungen kann ich leben!

Andylol

bei Antwort benachrichtigen
Andylol Nachtrag zu: „Moin, @xaff Bin ich von Dir gar nicht gewohnt...aber: Lass mich doch an DEINER...“
Optionen

Moin,

@xaff
kannst Dich ja bei Gelegenheit mit fachlichen Beiträgen wieder zurückmelden ;-)

Kannst ja schon ein "Arrogantling" sein.....

Andylol

bei Antwort benachrichtigen
InvisibleBot Andylol „Moin, @rigor @hadu @invisible: Diese Ignoranz ist ja fast schon erschreckend - :...“
Optionen

@Andylol

Ich sag dir das nur ungern, aber mit solchen Postings machst Du Dich eher lächerlich als jemanden für Deine Fähigkeiten als Admin zu begeistern. Außerdem habe ich den Eindruck Du hast mein Posting oben nicht richtig gelesen bzw. verstanden.

Wenn man ne in NTFS verschlüsselte Datei auf ein Fat 32 Laufwerk verschiebt wird die Verschlüsselung definitiv nicht aufgelöst, wenn man nicht derkenige Benutzer ist der sie verschlüsselt hat. Das kann ich Dir gern und jederzeit demonstrieren, sogar Du solltest im gnadenlosen Selbstversuch diese Tatsache nachvollziehen können. Und Wenn Du derjenige bist der die Datei verschlüsselt hat, und kopierst sie auf ein FAT32 Laufwerk, dann sollte eigentlich jedem klar sein, dass sie dabei ihren Schutz verliert. Da ist sogar meine Freundin von allein drauf gekommen, die sonst nix mit Computern am Hut hat.

- Beat the machine that works in your head! -
bei Antwort benachrichtigen
InvisibleBot Andylol „Moin, @rigor @hadu @invisible: Diese Ignoranz ist ja fast schon erschreckend - :...“
Optionen

@Andylol

Ich sag dir das nur ungern, aber mit solchen Postings machst Du Dich eher lächerlich als jemanden für Deine Fähigkeiten als Admin zu begeistern. Außerdem habe ich den Eindruck Du hast mein Posting oben nicht richtig gelesen bzw. verstanden.

Wenn man ne in NTFS verschlüsselte Datei auf ein Fat 32 Laufwerk verschiebt wird die Verschlüsselung definitiv nicht aufgelöst, wenn man nicht derkenige Benutzer ist der sie verschlüsselt hat. Das kann ich Dir gern und jederzeit demonstrieren, sogar Du solltest im gnadenlosen Selbstversuch diese Tatsache nachvollziehen können. Und Wenn Du derjenige bist der die Datei verschlüsselt hat, und kopierst sie auf ein FAT32 Laufwerk, dann sollte eigentlich jedem klar sein, dass sie dabei ihren Schutz verliert. Da ist sogar meine Freundin von allein drauf gekommen, die sonst nix mit Computern am Hut hat.

- Beat the machine that works in your head! -
bei Antwort benachrichtigen
Andylol InvisibleBot „@Andylol Ich sag dir das nur ungern, aber mit solchen Postings machst Du Dich...“
Optionen

Moin,

@garftermy


@Invisible
"als jemanden für Deine Fähigkeiten als Admin zu begeistern."
--> Warum sollte ich gerade DICH begeistern wollen...da überschätzt Du doch doch ein wenig ;-)
Wenn wir eines Tages dieselbe Sprache sprechen und denselben Verständniskontext haben sollten ... können wir es ja auf gleicher Augenhöhe noch einmal probieren.

P.S. Lies meine Signatur....(arrogant sein kann ich auch).

Gruß
Andylol

bei Antwort benachrichtigen
Andylol Nachtrag zu: „Moin, @garftermy @Invisible als jemanden für Deine Fähigkeiten als Admin zu...“
Optionen

Moin,

@garftermy

Gutes Zitat..vor allem die Passagen:
"Mit EFS verschlüsselte Daten werden zudem automatisch entschlüsselt, wenn diese auf ein Dateisystem übertragen werden, das keine Verschlüsselung unterstützt"

"Insbesondere besteht hierbei die Gefahr, seine Daten allein durch den bloßen Einsatz der Dateiverschlüsselung mittels EFS in vollkommener Sicherheit zu wähnen."

--> Ich hoffe das liest sich so mancher hier in Ruhe durch (gell, Invisible ;-) ?).

Abschließend stimme ich Dir zu (wie Du ganz oben sagst):
"das kommt auf die gewünschte sicherheit an, außerdem gilt auch hier wieder, das man möglichst verschiedene maßnahmen kombinieren sollte."
--> Vieleicht reicht ja für manchen hier der WUNSCH nach Sicherheit...oder purer uneingeschränkter Glaube an ein Feature .. ;-)

Gruß
Andylol

bei Antwort benachrichtigen
InvisibleBot Andylol „Moin, @garftermy Gutes Zitat..vor allem die Passagen: Mit EFS verschlüsselte...“
Optionen

@Andylol

Was Du hier als deine sicherheitsrelevanten Geistesblitze verkaufst, war schon lange klar, bis auf einen kleinen, und doch feinen Unterschied, den Du offenbar nicht begreifen willst: Du hast Recht damit, dass eine NTFS-verschlüsselte Datei automatisch entschlüsselt wird, wenn man sie auf ein Dateisystem kopiert, das keine Verschlüsselung unterstützt - allerdings nur, wenn man als derjenige Benutzer angemeldet ist der diese Datei verschlüsselt hat. Ist man das nicht, wird nach dem Kopieren sinnloser Datenmüll aus der Datei. Ich würde das an Deiner Stelle einfach mal ausprobieren, als die Postings anderer Leute völlig aus dem Zusammenhang zu reißen, um Deine Theorien zu untermauern.

Zum Thema Admin: Du schreibst in Deiner Signatur, dass Du einen Job als Admin suchst - wohlgemerkt Du, nicht ich! Das ist dir offenbar selbst nicht klar, so wie auch einige andere Dinge, sonst würdest Du nicht so einen Schwachsinn zusammenschreiben wie 2 Postings weiter oben.

Und damit werde ich diese sinnlose Diskussion von meiner Seite aus beenden. Viel Spaß auch weiterhin dabei, dich lächerlich zu machen.

- Beat the machine that works in your head! -
bei Antwort benachrichtigen
Andylol InvisibleBot „@Andylol Was Du hier als deine sicherheitsrelevanten Geistesblitze verkaufst,...“
Optionen

Moin,

@Invisible
"Was Du hier als deine sicherheitsrelevanten Geistesblitze verkaufst, war schon lange klar"
--> Sind erstens nicht MEINE Geistesblitze, zweitens ist Dir das anscheinend nicht so klar

"Ist man das nicht, wird nach dem Kopieren sinnloser Datenmüll aus der Datei"
--> wenn man es "richtig" macht: Reproduzierbar NICHT!

"als die Postings anderer Leute völlig aus dem Zusammenhang zu reißen, um Deine Theorien zu untermauern."
--> Ist keine Theorie, ist das reale Leben

"Du schreibst in Deiner Signatur, dass Du einen Job als Admin suchst - wohlgemerkt Du, nicht ich! "
--> Lies die Signatur mal richtig, besonders den Punkt "Ersatz"!
Du glaubst gar nicht, was für inkompetente Mitarbeiter in Lohn und Brot sich selbst Administrator nennen (ist ganz allgemein gemeint)...und dann wundern sich Firmen/IT-Chefs über Ausfallzeiten, unnötige Netzwerklast und Sicherheitsprobleme etc...).

Ich zitiere an dieser Stelle gerne einen Siemens-Personalmenschen:
"Es ist ja NICHT so, dass die "Guten" heutzutage einen Job haben und die "Schlechten" auf der Strasse stehen...es ist häufig leider genau anders herum!"
Auch in meinem Bekanntenkreis arbeiten einige Freund als "Administrator", denen ich nicht einmal meine Heimrechner bedenkenlos anvertrauen würde...da hört die Freundschaft auf.

Das einzige was viele jetzige "Adminstratoren" noch schützt ist der (noch) Kündigungsschutz, bzw. der hohe Kostenaufwand für Personal-Ersatzbeschaffung.....aber gottseidank soll das ja demnächst gelockert werden :-) Der Wirtschaft würde eine Rosskur diesbezüglich einmal gut tun!

"Und damit werde ich diese sinnlose Diskussion von meiner Seite aus beenden."
--> Rückzug ist auch ein Weg, wenn die Argumente versiegen ...löst aber kein einziges Problem!

Andylol

EOD

bei Antwort benachrichtigen
GarfTermy Andylol „Moin, @Invisible Was Du hier als deine sicherheitsrelevanten Geistesblitze...“
Optionen

"...Das einzige was viele jetzige "Adminstratoren" noch schützt ist der (noch) Kündigungsschutz, bzw. der hohe Kostenaufwand für Personal-Ersatzbeschaffung.....aber gottseidank soll das ja demnächst gelockert werden :-) Der Wirtschaft würde eine Rosskur diesbezüglich einmal gut tun! ..."

full ack

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
GarfTermy Andylol „Moin, @garftermy Gutes Zitat..vor allem die Passagen: Mit EFS verschlüsselte...“
Optionen

"...Mit EFS verschlüsselte Daten werden zudem automatisch entschlüsselt, wenn diese auf ein Dateisystem übertragen werden, das keine Verschlüsselung unterstützt..."

wenn man die daten unter dem acount kopiert, der die ddateien verschlüsselt hat. alle anderen kopierversuche schaffen datenmüll.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Aide Phoenix.Computer „Sicherheit von Brisanten Daten“
Optionen

zuerst einmal die Frage, wer könnte denn wie an die Daten heran kommen?
Danach sollte man etwas zum Thema Sicherheit sagen

AideÄTgmx.dewird nur sporadisch abgerufen
bei Antwort benachrichtigen
Phoenix.Computer Aide „zuerst einmal die Frage, wer könnte denn wie an die Daten heran kommen? Danach...“
Optionen

Hi,
erst mal vielen Dank für eure Antworten.

Die Daten sind auf meinem Notebook, und wenn das geklaut würde sähe ich alt aus.


Mit den Zugriffsrechten arbeite ich auch.
Aber die sind doch auch ein Witz.

Ich habe mal Knoppix Linux von CD gestartet und konnte problemlos drauf zugreifen.

Und ihr habt recht, Backups sind ein weiteres Problem.
Kann ich da auch bedenkenlos Verschlüsselungsprogramme verwenden?

Phoenix.Computer
bei Antwort benachrichtigen
dragonmale Phoenix.Computer „Hi, erst mal vielen Dank für eure Antworten. Die Daten sind auf meinem...“
Optionen

@Phoenix.Computer
Wenn du brisante Daten auf deinem Notebook hast, dann mach es doch gleich richtig. *g* Ich persönlich nutze SafeGuard Easy und selbst mit meiner ausgebauten Platte kann, nach dem heutigen Stand der Technik, niemand etwas anfangen. Mit Brute Force z.B, ist bei der Pre-Boot Authentication von SGE ebenfalls nichts zu machen. Wer's nicht glaubt, kann ja mal versuchen, ca zwanzig Mal das falsche PW einzugeben.;) An SGE hat sich selbst das FBI schon die Zähne ausgebissen. Des Weiteren, würde ich dir, anstatt Steganos, zu Archicrypt raten. Steganos hinkt immer mindestens ein Jahr hinter Archicrypt her und man hat es bis heute noch nicht geschafft, den AES 256 zu integrieren. Die Archicrypt-Produkte sind bei weitem leistungsfähiger. Steganos ist in dieser Hinsicht vergleichbar mit Symantec: das Marketing macht es.;) Von Verschlüsselungsprodukten aus den Staaten, würde ich generell die Finger lassen. Die schon einmal verschlüsselten Backups meiner Daten, sichere ich z.B, in verschlüsselten ArchiCrypt Live Containern, auf CD-DVD/RW.
Links:
Utimaco (SafeGuard): http://www.utimaco.de/indexmain.html
Hier findest du übrigens auch das Freewaretool PrivateCrypto (unter Demo-Download), ist aber Freeware, mit dem man u.a. selbstextrahierende Dateien, AES verschlüsselt und komprimiert, erzeugen kann.
Archicrypt: http://www.archicrypt.com/go.htm
Hier noch eine kostenlose Alternative, zur Verschlüsselung des kompletten Systems, von CE-Infosys:
http://www.ce-infosys.com.sg/CeiNews_FreeCompuSec_Ger.asp

Im Übrigen, reichen 128 bit und 256 bit AES oder Towfish Verschlüsselung vollkommen aus, wenn ein sicheres PW gewählt wird und die Schlüssel z.B. vernünftig generiert werden (PKCS#5).
Wenn es etwas stärker sein soll ;), kann ich dir zur Textverschlüsselung z.B Enigma 2000 Plus empfehlen, da kommst du dann max. auf 4,5 MB Verschlüsselungsstärke. Ansonsten hilft dann nur noch das One Time Pad ...

Gruß dragonmale

bei Antwort benachrichtigen
Habibi Phoenix.Computer „Sicherheit von Brisanten Daten“
Optionen

Hallo,
Ich habe mal ne weile Steganos gehabt und das ist wirklich gut und unkompliziert. Ja du kannst es bedenkenlos benuetzen wenn du auch wirklich gute passwoerter benuetzt (wird angezeigt beim anlegen wie gut dein passwort ist, benuetze spezielle zeichen, das nuetzt sehr viel) Ich sehe folgende vorteile fuer dich:

Es ist alles eine einzige Datai, also wenn du Backup machst, hast du nur eine datei auf CD zu brennen. Das passwort bleibt so wie du sie beim brennen gehabt hast, also auch wenn du angenommen dein programm deinstallierst und auf einem neuen rechner installierst, kannst du diese datei benuetzen (eben, passwortschutz bleibt erhalten)

Ausserdem kannst du damit auch ganz sicher eine datei loeschen und eine wiederherstellung verunmoeglichen...

ach hier hast du den link, lohtn sich nicht alles aufzuschreiben

http://www.steganos-download.com/de/safe/index.htm

gruesse
habibi

bei Antwort benachrichtigen
Utchat Phoenix.Computer „Sicherheit von Brisanten Daten“
Optionen

Also....erstmal gibt es KEINE 100%'ige Sicherheit. Zweitens solltest Du berücksichtigen, das die "Standardverschlüsselungsprogramme" keinen guten Schutz bieten und in der Regel die entsprechenden "Cracker" Tools an jeder Ecke zu bekommen sind.

Je nachdem wieviel Aufwand Du betreiben möchtest, rate ich Dir weniger bekannte Proggys zu verwenden, die einen Verschlüsselungsalgorhytmus von mindestens 4096KB benutzen.

Ein Tip für die "Billichversion":

Daten packen - mit welchem Programm ist egal - die Endung einfach löschen, und die Datei einfach noch einmal mit einem anderen Programm packen. Das Ganze ist beliebig oft wiederhol- und variierbar. Zu guter letzt besteht noch die Möglichkeit, den "Programm-Header" mit einem Binär- bzw. Hexeditor zu verändern - so wird ein "entschlüsseln" faktisch unmöglich. Auch ein "Rückwärtsdekodieren" ist ausgeschlossen *smile*

Jeder, der die Datei dann "zweckentfremden" will, weiss gar net was er da hat. Das gilt aber nur, wenn KEIN andrer den Weg bzw. relevante Passwörter kennt oder findet. So nach dem Motto: Geburtsdatum, Familienname, Tel-Nr. unter der Tastatur, am Monitor, etc. pp..

mfg

bei Antwort benachrichtigen
GarfTermy Utchat „Also....erstmal gibt es KEINE 100 ige Sicherheit. Zweitens solltest Du...“
Optionen

...wie bereits gesagt sind die verschlüsselungen von steganos und pgp bisher (!) nicht geknackt worden.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
InvisibleBot Utchat „Also....erstmal gibt es KEINE 100 ige Sicherheit. Zweitens solltest Du...“
Optionen

@Utchat:

abgefahrene Idee, aber meinst Du nicht auch, dass das Ganze mit ner einfachen Verschlüsselung besser aufgehoben wäre?
Ich versuche grad, mir vorzustellen was Phoenix'Chef sagt wenn er die Kundendaten will und Phoenix ihm sagt er soll in einer Stunde nochmal wiederkommen, da er die Sicherungsdatei erst editieren und mit verschiedenen Passwörtern entpacken muss. ;-)
Zum Thema Sicherheit: Es gibt mehrere Programme, die den Passwortschutz von Archiven mal eben locker flockig umgehen können. Außerdem hat Deine Methode noch eine scheunentorgroße Lücke und das sind die Daten, bevor sie gepackt werden. Die löscht du vermutlich einfach, oder? Und dann kommt der böse Datendieb, stellt mit einer Freeware die gelöschten Daten wieder her und lässt Dein mühsam verschachteltes und vergewaltigtes Archiv einfach links liegen...

- Beat the machine that works in your head! -
bei Antwort benachrichtigen
higgl InvisibleBot „@Utchat: abgefahrene Idee, aber meinst Du nicht auch, dass das Ganze mit ner...“
Optionen
stellt mit einer Freeware die gelöschten Daten wieder her und lässt Dein mühsam verschachteltes und vergewaltigtes Archiv einfach links
liegen...


er könnte die ursprüngliche Datei aber nicht "einfach so" löschen, sondern mit einer anderen freeware löschen und ein paar mal überschreiben ;)
Never argue with an idiot. They drag you down to their level and then beat you with experience.
bei Antwort benachrichtigen
InvisibleBot higgl „stellt mit einer Freeware die gelöschten Daten wieder her und lässt Dein...“
Optionen

Auch dann steht es meistens noch in der Auslagerungsdatei...

Du glaubst gar nicht was man auf einem PC findet, wenn man ein einfaches Suchprogramm verwendet, dass sich nicht für Dateien interessiert, sondern physikalisch auf der Festplatte sucht.

- Beat the machine that works in your head! -
bei Antwort benachrichtigen
Rigor Mortis Phoenix.Computer „Sicherheit von Brisanten Daten“
Optionen

PGP ist zwar eine möglichkeit, aber auch da herrscht keine 100% sicherheit. wenn man pgp falsch benutzt kann sie sogar recht gering sein. zwar wurde pgp noch nicht geknackt, das ist aber auch scher möglich, da pgp kein verschlüsselungsalgorithmus, sondern eine anwendung ist, die auf verschiedenen algorithmen beruht. prinzipiell werden 2 verschiedene algorithmen genutzt, eine symetrische für den private key und eine asymetrische für den public key.
alte pgp-versionen nutzen für die symetrische verschlüsselung noch md5, welches schon vor jahren als zu unsicher für sensible verschlüsselungen erkannt wurde, denn md5 enthält eine schwachstelle, über die du im netz einiges findest, wenn du nach geburtstags-angriff suchst.
neurere versionen nutzen eine 160bit starke idea-verschlüsselung, welche bisher noch als sicher angesehen wird.
auf der asymetrischen seite für den public key fand früher rsa anwendung, welches allerdings erst vor kurzem für schlüsselstärken bis 567bit geknackt wurde, deswegen empfiehlt sich ein schlüssel von mindestens 1024bit, oder besser der neu implementierte DSS/ElGamal algorithmus.
letztendlich wird aber für deinen bedarf auch die schwächste verschlüsselung von pgp ausreichen, da ich mal bezweifle, daß eure firmendaten so brisant sind, daß es für einen wirklichen crack interessant wäre. was dich allerdings nicht vom sorgsamen umgang mit den daten und den passphrases der verschlüsselung entbindet.

bei Antwort benachrichtigen
Phoenix.Computer Nachtrag zu: „Sicherheit von Brisanten Daten“
Optionen

Hi,
erst mal vielen Dank für die so Zahlreichen Antworten.

Ich werde mir mal das Programm Steganos anschauen.
Es scheint vielversprechend zu sein.

Und es ist ja nur für den Fall der Fälle falls man mir das Book abluchst.

Also nochmals Danke

Gruss

Phoenix.Computer
bei Antwort benachrichtigen
Mr. Joker Phoenix.Computer „Sicherheit von Brisanten Daten“
Optionen

Schau mal ins aktuelle PC Magazin, da ist die Steganos Security Suite 5 für 1.99 EUR dabei.

bei Antwort benachrichtigen
Phoenix.Computer Mr. Joker „Schau mal ins aktuelle PC Magazin, da ist die Steganos Security Suite 5 für...“
Optionen

Danke für den Tip.

Phoenix.Computer
bei Antwort benachrichtigen
SCAszoo Phoenix.Computer „Sicherheit von Brisanten Daten“
Optionen

Hoi....

ihr habt ja sehr viele Info's zusammengetragen :o)

aber ein bisschen aggressiv gehts an manchen Stellen zu.

Naja meine Frage, ich hab mein W2k neu aufgesetzt und nicht gewusst, dass einige files, noch von einem Test verschlüsselt waren.... tja und nun ist da kein rankommen... AEFS.. zeigt mir 6 hashes oder so an, aber nur 2 oder so kann er entschlüsseln, obwohl ich die richtigen PWs eingegeben habe, klappts mit den anderen nicht..so dass ich nur einen kleinen Teil meiner Daten habe :o(

Ich habe vielleicht noch ein Backup in Form einer RAR file, wo finde ich dort die Zertifikate, vielleicht kann ich damit noch was herstellen?????

Wär super wnen ihr mir helfen könntet...

greetz Christoph

bei Antwort benachrichtigen
SCAszoo Phoenix.Computer „Sicherheit von Brisanten Daten“
Optionen

Hoi....

ihr habt ja sehr viele Info's zusammengetragen :o)

aber ein bisschen aggressiv gehts an manchen Stellen zu.

Naja meine Frage, ich hab mein W2k neu aufgesetzt und nicht gewusst, dass einige files, noch von einem Test verschlüsselt waren.... tja und nun ist da kein rankommen... AEFS.. zeigt mir 6 hashes oder so an, aber nur 2 oder so kann er entschlüsseln, obwohl ich die richtigen PWs eingegeben habe, klappts mit den anderen nicht..so dass ich nur einen kleinen Teil meiner Daten habe :o(

Ich habe vielleicht noch ein Backup in Form einer RAR file, wo finde ich dort die Zertifikate, vielleicht kann ich damit noch was herstellen?????

Wär super wnen ihr mir helfen könntet...

greetz Christoph

bei Antwort benachrichtigen
Phoenix.Computer SCAszoo „Hoi.... ihr habt ja sehr viele Info s zusammengetragen :o aber ein bisschen...“
Optionen

Hi,
es wäre besser wenn du einen neuen Thread eröffnest,
denn hier wird kaum noch einner lesen.

Phoenix.Computer
bei Antwort benachrichtigen
fnmueller1 Phoenix.Computer „Sicherheit von Brisanten Daten“
Optionen

wobei du nur die alten zertifikate brauchst, alles weiter in nem anderen thread,
@phoenix: setzte doch PGP und PGPdisk ein, welches du einem USB-Stick speicherst, zusammen mit den Daten, dann kann er ja dein Laptop gerne klauen. Backup machst du dann 1mal taeglich auf deinen Home Rechner

bei Antwort benachrichtigen