FAQ
HaftungsausschlussEinführung
Die Idee
Die Technik
In der Praxis
Schlüssel sichern
Schlüssel importieren
Schlüsselverlust, was nun?
Sicherheit
Haftungsausschluss
Das Verschlüsseln von Dateien kann bei Schlüsselverlust zu Datenverlust führen. In keinem Fall haftet der Autor für Datenverluste, Produktionsausfälle oder ähnliches.
nach obenEinführung
Bitte lest erst dem Abschnitt "Schlüsselverlust - Was nun?" bevor ihr mit eMails schreibt!
Anlässlich der vielen Fragen zur Verschlüsselung, besonders wenn es schon zu spät ist, habe ich diese kurze Einführung geschrieben. Wenn du Dateien verschlüsseln willst, solltest du sie zuvor ganz lesen!
nach obenDie Idee
Für normale Verhältnisse sollte das Setzen von Sicherheitsrechten vollkommen ausreichen. Man kann für jeden Benutzer von Windows festlegen, welche Dateien er lesen, schreiben usw. darf. Wenn man jedoch die Festplatte ausbaut und an ein anderes System anschliesst, an dem man Administrator ist, kann man die Dateien trotzdem lesen. Diese Rechte werden also nur vom Betriebssystem kontrolliert. Wenn man jedoch seine Daten auch gegen das direkte Auslesen schützen will, ist die Verschlüsselung die richtige Wahl.
nach obenDie Technik
Die Verschlüsselung von Windows 2000 und XP ist anders als viele Freeware Tools für den Benutzer transparent. Wenn man die Datei öffnet wird sie automatisch entschlüsselt, wodurch das Öffnen minimal länger dauert. Allerdings funktioniert dies nur, solange man den passenden Schlüssel hat. Den sollte man in jeden Fall gut sicheren, wie weiter unten beschrieben. So kann selbst der Administrator die Datei nicht öffnen und auch niemand von einem anderen System. (Ausnahme: Unter Windows 2000 hat der Administrator immer einen Backup-Schlüssel, womit er die Dateien von allen Usern auf diesem System entschlüsseln kann, unter Windows XP nicht.)
nach obenIn der Praxis
Wichtig: Die Verschlüsselung ist immer nur so sicher wie dein Passwort. Wähle deshalb ein möglichst langes und kompliziertes Passwort.
Die Verschlüsselung kann nur unter Windows 2000 und Windows XP Professional Edition durchgeführt werden. Außerdem funktioniert sie nur unter NTFS Laufwerken. Unter Windows 2000 funktioniert die Verschlüsselung nur, wenn ein Wiederherstellungs-Schlüssel festgelegt ist (siehe unten).
Befolge die folgenden Schritte:
- Markiere die Dateien bzw. deinen Ordner
- Klicke Rechts darauf und dann auf Eigenschaften.
- Klicke unten auf Erweitert
- Aktiviere das Häkchen bei Inhalt verschlüsseln um Daten zu schützen.
- Klicke auf OK und dann noch einmal auf OK
Hinweis: Komprimierung und Verschlüsselung schließen sich gegenseitig aus!
Wenn du einen Ordner gewählt hast, wirst du gefragt, ob du alle Dateien und Unterordner auch verschlüsseln willst. Dies ist sinnvoll, da ein Ordner nicht verschlüsselt werden kann. Es wird nur das Attribut "verschlüsselt" gesetzt und alle neuen Dateien werden verschlüsselt.
Wichtig: Auch wenn du ganze Ordner verschlüsselst, können die Dateinamen noch gelesen werden, nur der Inhalt nicht.
Wenn du einzelne Dateien verschlüsselst, wirst du gefragt, ob du den ganzen Ordner mit verschlüsseln willst. Das ist sinnvoll, weil manche Programme temporäre Dateien im selben Ordner ablegen, die dann unverschlüsselt wären. Wenn der Ordner als verschlüsselt gilt, werden automatisch alle neuen Dateien verschlüsselt. Manche Programme legen aber auch Dateien im Temp-Verzeichnis ab. Um ganz sicher zu gehen kann man auch diesen Ordner verschlüsseln.
Hinweis: Das Löschen von Verschlüsselten Dateien ist sicher, da sie auch im Papierkorb verschlüsselt bleiben. Die Gefahr diese Dateien zu rekonstruieren ist genauso groß, wie die, andere verschlüsselte Dateien zu entschlüsseln.
Verschlüsselte Dateien erscheinen im Explorer grün. Wenn nicht befolge folgende Anleitung:
- Klicke im Explorer auf Extras und dann auf Ordneroptionen.
- Wähle den Reiter Ansicht
- Aktiviere die Option "Verschlüsselte und komprimierte NTFS-Dateien in andere Farbe anzeigen"
- Klicke auf OK
Wichtig: Unter Windows 2000 hat der Administrator bzw. der Domain-Admin einen Wiederherstellungs-Schlüssel. Bei Windows 2000 funktioniert die Verschlüsselung sonst nicht. Du findest diesen Schlüssel hier (Nur wenn keine Domain vorhanden):
- Öffne die Systemsteuerung
- Doppelklicke auf Verwaltung (unter XP in der Kategorie Leistung und Wartung)
- Klicke doppelt auf Lokale Sicherheitsrichtlinie
- Wähle auf der Rechten Seite: "Richtlinie für öffentliche Schlüssel" und dann "Dateisystem wird verschlüsselt".
- Du kann diesen jetzt löschen, aber kannst dann keine Dateien mehr verschlüsseln.
- Du kannst jedoch auch einen einen anderen Schlüssel einsetzen, den du zuvor mit der Option "Nur öffentlichen Schlüssel exportieren" exportiert hast.
Achtung: Nach dem Verschlüsseln sichere deinen Schlüssel wie weiter unten beschrieben.
nach obenSchlüssel sichern
Man kann den Schlüssel erst sichern, nachdem man mindestens eine Datei verschlüsselt hat, da er erst dann erstellt wird.
Sichere deinen Schlüssel wie folgt:
- Starte den Internet Explorer
- Klicke im Menü Extras auf Internetoptionen
- Wähle das Register Inhalte
- Klicke in der Mitte auf Zertifikate
- Wähle das Zertifikat für die Verschlüsselung aus. Man erkennt es wie folgt: Es ist 100 Jahre gültig und unter beabsichtigter Zweck steht: Verschlüsselndes Dateisystem
- Klicke auf Exportieren
- Wähle im zweiten Schritt: Ja, privaten Schlüssel exportieren
- Im nächstes Schritt lässt du alles, wie es ist
- Wähle dann ein Kennwort, was du dir gut merken kannst und was sicher ist. Es muss nicht das Kennwort deines Benutzers sein.
- Wähle als letztes das Ziel, wohin du den Export speichern willst.
- Wähle am besten eine Diskette, die du vorher frisch formatiert (nicht Quick-Format) hast und bewahre sie an einem sicheren Ort auf.
Du kannst den Schlüssel jetzt auch löschen. Dann kommst du an deine Dateien erst wieder heran, wenn du ihn erneut importierst.
nach obenSchlüssel importieren
Falls du deinen zuvor exportierten Schlüssel wieder importieren willst gehe wie folgt vor:
- Navigiere im Explorer zu der Datei (Endung: *.pfx) die du zuvor exportiert hast
- Klicke doppelt drauf
- Klicke zwei mal auf weiter
- Gib dann dein Kennwort ein
- Wähle am besten "Schlüssel als exportierbar markieren", weil du ihn sonst nicht mehr erneut exportieren kannst, wenn du die Diskette verlierst.
- Klicke dann noch zweimal auf Weiter.
Schlüsselverlust, was nun?
Das wichtigste vorab: Don't panic. Bitte lies den folgenden Abschnitt komplett, bevor du mir eine eMail schreibst. Wichtig ist auch, nicht mehr mit dem System zu arbeiten, wenn der Schlüssel gelöscht wurde, da sonst das retten schwieriger wird.
Diagnose
Es kann unter folgendes Bedingungen zu einem Schlüsselverlust kommen, wodurch du deine Dateien nicht mehr entschlüsseln kannst:
- Neuinstallation von Windows.
- versehentliches Löschen des Schlüssels, bzw. löschen des Benutzeraccounts.
- Ändern des Passworts des Benutzers von einen anderen als dem Benutzer selbst, also z.b.: von einem Administrator.
Wichtig ist sicherzustellen, dass die Dateien tatsächlich verschlüsselt sind und das Zugriffsproblem nicht von den NTFS Sicherheitsrechte herrührt.
- Wenn du in die Dateieigenschaften gehst (siehe oben) ist vor "Inhalt verschlüssel" ein Häkchen
- Der Schlüsselverlust ist erklärbar, weil einer von den oben genannten Punkten zutrifft
- Im Explorer erscheint die Datei normalerweise grün.
Hinweis: Es ist übrigens für die Entschlüsselung egal, ob das übergeordnete Verzeichnis als verschlüsselt gekennzeichnet ist oder nicht. Es zählt nur der Status der Datei.
Wenn die Dateien nicht verschlüsselt sind, aber trotzdem "Zugriff verweigert"
erscheint liegt dies an den NTFS Zugriffsrechten, die sich leicht ändern
lassen. Genaueres steht
hier
.
Zunächst muss man den
Besitz übernehmen.
Dann kann man die
Rechte ändern.
Hinweis: Bei WinXP Home können diese Änderungen nur im Abgesicherten Modus durchgeführt werden.
Folgende Probleme kämen auch in Frage und sollten ausgeschlossen werden:
- Du hast die Dateien mit einem neueren Betriebssystem verschlüsselt als du sie jetzt entschlüsseln willst. Selbst der SP1 von Windows XP macht schon einen Unterschied. Immer das System zum Entschlüsseln benutzen, womit du sie auch verschlüsselt hast.
- Du weißt, dass die Dateien verschlüsselt sind, aber das Attribut ist in den Eigenschaften nicht aktiviert. Dies kommt nach einer Rettung von Dateien mit Easy Recovery vor. Rette verschlüsselte Dateien nur mit R-Studio und wähle "Recover extanded Attributes". Dies hilft dir aber nicht weiter, wenn der Schlüssel nicht mehr da ist.
Problemlösung
Wenn du den Schlüssel nicht mehr hast, gibt es keine einfache Lösung dafür. Es gibt keinen Crack oder so und man kann den Schlüssel auch nicht errechnen, da dies viele tausend Jahre dauern würde.
Bitte bedenke einen Augenblick, wofür eine Verschlüsselung gut ist: Ohne Schlüssel soll niemand Zugriff bekommen, auch nicht ohne Zuhilfenahme von Computerexperten. Der Schlüssel soll natürlich auch nicht für Unbefugte zu ermitteln sein. Auf die Sicherheit dieser Verschlüsselung vertrauen viele Unternehmen um ihre Entwicklungen zu schützen. Wenn es einen Crack gäbe wäre dies ein riesiger Skandal und das kann sich Microsoft nicht leisten.
Aber es gibt Hoffnung:
Allerdings nur, wenn der Schlüssel physikalisch noch da ist, also in deinem
Benutzerprofil, bzw. mit einem Recovery Programm wiederhergestellt werden kann,
wenn er gelöscht wurde. Das ganze basiert darauf, das System wieder in den
Zustand vor dem Schlüsselverlust zurückzusetzen. Natürlich brauchst du das
Passwort des Benutzers (Passwort mit dem Administrator ändern zählt nicht).
Vorsicht: Bevor du anfängst solltest du die GANZE Festplatte auf eine andere Platte sichern (z.B. mit Norton Ghost) und nur mit Kopie arbeiten, so dass die Daten nicht unrettbar verloren sind, wenn du einen Fehler machst.
Es gibt Programme (so um die 100 Dollar), die dich bei der Recovery
unterstützen, oder du kannst das ganze manuell machen. Genaues findest du
hier (wenn der Link down ist bitte Mail an mich, ich habe eine Kopie).
Bitte schreib mir keine Mails mit Fragen zu dem Verfahren, ich habe keine
Ahnung, wie das in der Praxis gemacht wird. Wende dich an einem
Computerexperten oder Kauf ein Programm, wenn die Daten wertvoll genug sind.
Hinweis: Bei Firmen etc. mit Domain Controller hat der Domain-Admin wahrscheinlich ein Wiederherstellungs-Schlüssel. Damit lassen sich die Daten retten. Bei Win2000 hat der Administrator einen Backup Schlüssel, also einfach mal versuchen die Dateien als Admin zu öffnen.
nach obenSicherheit
Diese Verschlüsselungssystem schützt dich vor den direkten Auslesen der Festplatte. Es kann dich nicht schützen vor:
- Trojanern
- Key-Loggern, die dein Passwort aufzeichnen
Wenn du dir selbst ein Bild machen willst empfehle ich dir
diese
Lektüre (englisch).