» Встроенное шифрование WinXP

MetroidZ
Безумно древняя статья, даже не статья, а отрывок из книги, которую все очень любят цитировать "к месту". Не помню точно название. Вот только описание авторами некоторых аспектов настолько занятно, что позволяет задуматься о их дееспособности в целом. В общем: без комментариев. Все это я уже комментировал в FIDO 5-6 лет назад.
Вот только помню в той же книге советовали несколько раз набирать цифру "0" после номера телефона, чтобы АОН не определил номер(этот метод если и работал, то в конце 70-80), и так и далее. В общем: очень забавная со всех сторон книжка.

Вспомнил...

ГРОМОВ В.И. ВАСИЛЬЕВ Г.А.
ЭНЦИКЛОПЕДИЯ БЕЗОПАСНОСТИ
Москва, 1998

Все же приведу один маленький пример:

Цитата:

5. При генерации ключей ВСЕГДА выбирайте максимальный размер ключа. В DOS версии на вопрос о размере ключа ответьте: 2048 (вместо выбора предлагаемых трех вариантов). В Windows версии выбирайте ключ размером 4096 и более.

Речь шла о PGP. Строго говоря PGP не поддерживает ключи с размером больше 4096(технологически, их поддерживают только модификации и некоторые самые старые версии), с одной стороны. С другой стороны сам Циммерманн (автор PGP) явно заявлял, что факторизация ключей 4096+ не будет отличатся от 4096. Т.е. их использование бессмысленно, более того, никаких гарантий криптостойкости так же не дается, т.е. теоретически она может упасть(за счет избыточности ключа). И таких ляпов - до 90% главы про информационную безопасность.

Если хочешь что-то добавить/оспорить - пожалуйста в ПМ, в конце-концов уж слишком разоффтопились.

Demetrio
Извиняюсь...

упомянутый aefsdr у меня всётаки сработал в другом случае, правда пришлось указать имя юзера и пароль...
сейчас еще efs key потестил совсем странно - вроде расшифровывает, но сохраняет только 300 байт (прогу зарегистрил, нерегистреная вообще не сохраняет)

Цитата:

Если файл будет скопирован - все!

Шифрую файл первый раз в системе. Тут же сношу систему, после чего восстанавливаю ее из имиджа. Устанавливаю из нее новую систему на соседний диск, загружаюсь во вновь установленную, делаю бекап шифрованного файла, после чего извлекаю его из бекапа на другой диск NTFS. Что надо сделать, чтобы файл не бекапился?

Добавлено
retro
Давай мыло, вышлю криптованный файл.

emx хоть ты им скажи... ато боюсь опять не сдержаться

KLASS
ПМ

retro

Цитата:

To, что это работает, не 100, а все 500%. Делал я это не раз, не два, и не сто... Кстати, судя по высказываниям, ни один из уважаемых оппонентов сам этого не делал

Я конечно могу пойти сейчас пробовать, но зачем? Чтобы доказать тебе о и так очевидной глупости данного метода расшифровки? Это равносильно тому, что я пойду сейчас прыгать с девятого этажа, чтобы доказать, что можно разбиться. Если ты этого не понимаешь, мне остается только сожалеть, но разбиваться, чтобы доказать, я не буду.


Цитата:

Это проверяется элементарно.

Цитата:

Создаем 2-3-4 юзера, заходим под одним из них, создаем папку, в ней открываем файл, выходим, шифруем папку. Создаем маленькую партицию FAT. Копируем папку. Заходим под другим юзером, переходим на FAT, открываем папку и файл - никаких проблем.

И что ты этим проверил? То, что EFS не работает под FAT? Но ведь это как аксиома, а аксиомы как известно не проверяются.



Цитата:

Файловая система и только она делает шифрование возможным. FAT не понимает шифрование и дело не в том, что
Цитата:шифруется само тело файла
при переносе на FAT все сбрасывается и остается то, что он (FAT) может прочитать. И об этом прекрасно известно (только это они скрывают) самим М$ - как только файл переместится на FAT, он тут же станет простым.

Скрывают?
Да открой любой детский учебник по WinXP или даже встроенный в системы хелп, и ты найдешь там это черным по белому!


Цитата:

Скопировать не даст - и это самая главная защита!

Цитата:

И вот против этого и направлена их защита - невозможность копирования.

тут даже не знаю, что написать, кроме слова LOL
Знаешь ли ты о том, что защитить что-то от копирования просто в принципе нельзя!
Потому что хард ты можешь читать напрямую в обход файловых систем, просто взять и посекторно его читать, и копировать куда угодно.


Цитата:

Да разумеется, что весь механизм шифрования с открытым и закрытым ключом, сертификация и агенты восстановления мне известены и понятны (и достаточно неплохо )

Сомневаюсь, что человек, которому этот механизм понятен станет писать такие глупости. (без обид, все мы иногда пишем глупости от незнания, ничего обидного в этом нет)
Может все таки что-то непонятно?

Еще раз, медленно и внято:

При копировани зашифрованного файла в FAT он сначало расшифровывается, а затем копируется, а не наоборот! То есть становится он расшифрованным не от того, что попал на FAT, а от того, что он расшифровался сначало перед копированием.
Ест-но что расшифроваться он может только в одном случае, если есть ключ.

И расшифровывает его драйвер EFS, который является надстройкой к NTFS
А необходимые для расшифровки файла ключи, драйвер получает у службы EFS которая использует CryptoAPI.


Еще раз повторю, тело файла зашифровано. Расшифровать его можно только имея ключ.
Если ключа нет, то ты можешь хоть сто раз его копировать куда угодно, хоть сто раз конвертировать файловую систему из одной в другую, файл таким образом ты не расшифруешь.
Если это и вот это до сих пор непонятно, то лучше сразу перенести эту тему во флейм, и там уже дальше как хотите спорьте, только без меня.
Если это понятно, то можно дальше подискутировать, но при условии не говорить больше глупостей.

P.S А про якобы умышленно черные входы или задние проходы в алгоритмах криптографии это уж точно пожалуйста во флейме обсуждайте!

Уже пошли отмазки. Сначала retro говорил, что не сможете мне прислать забекапленный файл, теперь мне говорит не присылай забекапленный потому что цитирую:

Цитата:

Да ты пойми, с Backup'om начинают работать другие параметры. Кто делал,
владелец, и т.д. Об'ясни, в чем проблема? Сам же писал, "тело файла"...
И какая связь...

Ессно без бекапа файл, при прикреплении к письму, расшифровывается. Он грит шли не забекапленный. В общем поговорили, выводы думаю каждый сделает сам...
Dokdok4
Ты с HEX'ом, как я понял, не дружишь, потому как мою ссылку оставил без внимания. Это твой единственный и ничтожно-маленький шанс что-то найти. Я тоже пошел в другие темы, чего гонять порожняки, кому это надо?

batva

Цитата:

Может все таки что-то непонятно?

Да, непонятно... Хоть стреляй... Вернее, что там говорить, абсолютно все понятно - и это выводит из себя. На данный момент я хочу уяснить одну единственную вещь - не расшифровка, не FAT-NTFS и т.д. И для этого прыгать никуда не надо.

Цитата:

Знаешь ли ты о том, что защитить что-то от копирования просто в принципе нельзя!
Потому что хард ты можешь читать напрямую в обход файловых систем, просто взять и посекторно его читать, и копировать куда угодно.

Цитата:

Если ключа нет, то ты можешь хоть сто раз его копировать куда угодно, хоть сто раз

Нет, не могу. Зашифруй файл, зайди под другим юзером и попробуй его скопировать.
Все. Я хочу понять это. Глупость-не глупость, не важно. Ничего другого - только это. Пока это.

Цитата:

Сомневаюсь, что человек, которому этот механизм понятен станет писать такие глупости.

Да кто его знает... Во всяком случае экзамен (именно и по этой теме!) сдал.
Ничего, кстати, наизусть НЕ учил. Сидел, разбирался... Весь процесс по косточкам раскладывал... Но даже тогда очень много сомнений было, и в темах по сертификации многих спрашивал. Ничего вразумительного не получил. Но это уже не по теме, так, лирика...

Цитата:

И вот против этого и направлена их защита - невозможность копирования.

Глупо?
Возможно... А можно это опровергнуть?


Добавлено
KLASS

Цитата:

Уже пошли отмазки.

Ну, ну...

Цитата:

И какая связь...

И какая? Зашифрованный=забекапленный? Это вообще к чему?
Где хоть одно слово о Backup'e? Тут упоминали Еlcomsoft EFS. Она, как известно, сканирует файлы на предмет криптографии и, если таковые имеются, исправно их подсвечивает. Все мои файлы (под разными юзерами созданные) она прекрасно опознает, а присланные тобой в упор не видит - почему? Прога Backup'a на него не реагирует, пишет, что пустой. И какие выводы? Конечно, "отмазки". Ндя... Все, закончили. Я, во всяком случае.

Цитата:

Зашифрованный=забекапленный? Это вообще к чему?

Читай справку по Выни... я умер. Прости господи.

retro

Цитата:

Нет, не могу. Зашифруй файл, зайди под другим юзером и попробуй его скопировать.
Все. Я хочу понять это. Глупость-не глупость, не важно. Ничего другого - только это. Пока это.

Чтобы скопировать файл, его нужно сначало прочитать, а потом записать, верно?

Тут уже ни раз говорилось, что при чтении/записи файлов шифрование/дешифрование происходит на лету, и прозрачно для пользователя.

На пальцах, то если система его не может расшифровать, то она его и не может прочитать, а значит и не сможет скопировать. Вот и все.
Но ест-но это не значит, что защита построена на защите от копирования.


Цитата:

Глупо?
Возможно... А можно это опровергнуть?

Я же уже опровергнул, невнимателно читал?

Вот еще раз:
Знаешь ли ты о том, что защитить что-то от копирования просто в принципе нельзя!
Потому что хард ты можешь читать напрямую в обход файловых систем, просто взять и посекторно его читать, и копировать куда угодно.



Цитата:

Цитата:Сомневаюсь, что человек, которому этот механизм понятен станет писать такие глупости.
Да кто его знает... Во всяком случае экзамен (именно и по этой теме!) сдал.

То, что ты сдал экзамен, ничего не доказывает, я помню, как сам легко сдавал некоторые экзамены, и при этом мало что понимал в предмете.

уважаемый ALL!
потестите ктонибудь EFS KEY
а то у меня почемуто 300 байт только сохраняет.
прога входит в состав Passware Kit 6.1 (есть в варезнике)

Некоторые наблюдения за воскресный день.
Установил систему ХР SP1 Eng, создал пару юзверей. Под одним аккаунтом зашифровал файл (EFS). Сразу нашел на диске приватный ключик. Скопировал его в сторону. Зашел под другим юзером и прибил первого. Смотрю диск, ключик живой. Хорошо, создаю опять первого юзверя с тем же именем и опять шифрую некий файл. Проглядываю диск по новой, на диске уже два ключика, т.е. головки не попали на то место где лежал первый ключик, вот он и жив. Ок. Делаю quick format тома на котором эти два ключика лежат, опять смотрю, надо пологать, оба живы. С точки зрения безопасности полная лажа, могли бы и включить в format затирание за собой ключиков, хотя сам не программер, потому не шарю, реально ли. С точки зрения сабжа хорошо, т.е. есть шанс найти даже после полного убиения системы. Ну и последнее, установил систему на этот же том, первым делом, при входе, пробежался по диску HEX'ом... мдя, ключики "перезатерлись".
Также обратил внимание, что сами ключики всегда записываются в область free, даже не в MFT, другими словами, почему бы, при заполнении тома под завязку и после этого зашифровки файлов, им (ключикам) не записаться в конец раздела и при переустановке системы остаться целыми и не вредимыми. Или я затупил? И есть какая то привязка к определенному месту этих ключиков, типа резервной зоны для них?
Всвязи с этим Вопросы к Dokdok4
1. Какой размер тома где установлена система, которую ты в последствии переставил.
При переустановке, я так понял, ты размеры тома с системой не изменял?
2. Был ли у тя раздел\том, на котором находилась система, в момент первого шифрования, забит под завязку или до половины хотябы?
3. Сколько места занято сейчас на этом томе.
4. Могешь ли ты пользоваться WinHex'ом, чтобы поискать ключики?
Тока не грузись в саму систему, только в параллельно установленную или на другом ящике.
begem0t
Относительно EFS.
Скажи пож., а как эти проги работают, я ни разу не пробовал, потому сначала хочу поинтересоваться их принципом работы, стоит ли их ваще качать. Они занимаются поиском все того же приватного (и остальных) ключика на диске? Т.е. если приватного ключика тю-тю, как в моем описанном и, похоже, в случае у Dokdok4, то они, надо пологать, ничего не восстановят? Или я ошибаюсь?

KLASS

Цитата:

если приватного ключика тю-тю, как в моем описанном и, похоже, в случае у Dokdok4, то они, надо пологать, ничего не восстановят?

да, элкомсофтовская программа точно ключи сканирует, но только толку пока чтото не видел (да и эксперементировал с ней не много) но при указании юзер/пасворд вроде коечто расшифровывает, словом я с ней до конца не разобрался что к чему. (возможно что у меня криво сломаная программа, ключиков к ней в природе не встречал)
а вот что в хелпе efs key:
Requirements:
Encryption password must be known or SAM database must be present (Windows 2000)
User must have administrator privileges
при этом она еще чтото сканит около минуты, вероятно ключи, (а может файлы шифрованые?)
и действительно при указании одного только пароля (без юзернейма) расшифровывает... но только 300 байт из любого файла, хватает только свойства глянуть или текстовый файл прочитать

вобщем однозначно скачай и потесть, может тебе больше повезет разобраться, я сейчас другим занят. удачи.
зы а про Dokdok4 ничего сказать не могу, глупых советов давать не стану.

Хех, на вторые сутки начинает немного доходить...
Dokdok4
Были ли у тя в системе другие юзеры перед тем, как ты первый раз зашифровал файл? Если небыло, то подозреваю (еще не во всем разобрался) твои данные удастся спасти. От тебя нужно одно, это сделать бекап одного зашифрованного файла внутренней программой бекап. Ты уже писал, что ничего не можешь сделать с файлами, даже забекапить. Я у себя пробовал, по всякому, у меня все бекапится. Есть ли у тебя возможность
а) установить параллельно систему, желательно на другой диск и оттуда попробовать забекапить один зашифрованный файл или
b) установить свой диск с шифрованными файлами на другой компьютер слейвом и, загрузившись в систему на том компьютере, забекапить файл со своего диска.
и прислать его мне, на klassСОБАКАbk.ru

begem0t
Я подозреваю, что приватные ключики никакого отношения к SAM не имеют, потому как подчеркивал выше, что хранятся сами по себе. В SAM, надо пологать, живут пассы и другие ключики, вот кстати выдержка из хелпа по Выни

Цитата:

Закрытые ключи содержатся в защищенном хранилище ключей, а не в диспетчере учетных записей безопасности (SAM) или в отдельном каталоге.

Если проги сканят ключи по диску, то это легко проверяется. Поставил систему, создал файл, зашифровал, спрятал. Убил систему, желательно с обнулением тома, установил взад новую и натравил программы на спрятанный файл, если чего увидят, значит умные и стоит с ними познакомиться по ближе, если не увидят то WinHex лучше. Пока тоже занят разборкой вручную, потому подожду с качанием, да и ключиков к ним... ОЙ!

Чтобы это все переварить и понять, как все работает:
All
Пришлите пож. кто-нить небольшой, зашифрованный файл на мыло, только, если у Вас в системе создан один юзер и других небыло вовсе. Т.е. установили систему, создали одного юзверя, зашифровали файл, забекапили внутренней программой бекапа и отослали мне, не архивируя в разные рары\зипы. Потом здесь черкните, чтобы мыльницу не сломали на mail.ru

Добавлено

Цитата:

если чего увидят, значит умные и стоит с ними познакомиться по ближе,

Кстати это сработает, как я понял, только, если был один юзер в системе при шифровании. Надо проверить будет по-позже...

Добавлено
Dokdok4
Шеф... все пропало... клиент уезжает... (C)
Дела совсем плохи. При поиске и попытке восстановить аккаунт идет привязка к "оригинальной" системе (как собссно и ожидалось), а именно, как ни странно, к часто изменяющемуся файлу $LogFile (файл поддержки журналирования), если точнее, то из него надо данные выдернуть для восстановления файла "credhist" из старой, убитой тобой, системы, без него аккаунт не поднять, а значит не раскриптовать данные.
Т.е. если сделать даже быстрый формат, данные из файла $LogFile затираются (зря я на Билла наехал), но! как ни странно, их можно найти в другом месте (free). Я пока не пойму, как их можно найти, если файл $LogFile перезаписан и не знаешь что искать.
В общем все туманно и говорю я явно не связанно, потому нужен от тебя все-таки один файл, как я писАл выше. Просто посмотреть и может быть найти какую зацепку, чтобы ты смог поискать у себя на винте те данные, которые я тебе скажу, после того как получу от тебя один файл.

Тут упоминалась возможность/невозможность бэкапить зашифрованные файлы средствами Windows. AFAIK это можно сделать всегда (если конечно файловая система в рабочем состоянии).
Вот прога, которая копирует файлы, не пытаясь их расшифровывать http://www.collakesoftware.com/files/efsraw10.zip
MS Backup работает по такому же принципу, но форматы у них не совместимы.
Другой вопрос, чтобы эти файлы расшифровать, нужны ключи. По этому поводу на http://www.beginningtoseethelight.org/efsrecovery/index.php много информации, я пошел читать

KLASS

Цитата:

Если проги сканят ключи по диску,

cудя по скорости - они или знают где искать или... явно не посекторно

Цитата:

Пришлите пож. кто-нить небольшой, зашифрованный файл на мыло,

никак я в толк не возьму, на кой тебе шифрованый файл без ключа и пароля? этож набор случайных битов просто, что ты там искать собрался?

Цитата:

По этому поводу на

Мы как раз тут по этому поводу и собрались


Цитата:

что ты там искать собрался?

см. ссылку, что дал QuickeneR, а чуть ранее она приводилась тута http://forum.ru-board.com/topic.cgi?forum=62&topic=0830&start=20#11
и все станет ясно.

Файл мне так и не заслали, можно конечно и самому себе заслать, но надо кое что проверить. Дайте файлуууууууу...

retro
Хех... и что ты мне грил, что файлик мною посланный тебе, ты не видишь и не можешь положить его на диск для расшифровки своим "способом" (конверт в FAT32). Щас глянул почту и там файлик от Demetrio я его в легкую сохранил и достал из него криптованный файл по имени fedora.htm... да отсохнет у меня язык, если этот файл нельзя достать.
Demetrio
Спасибо за файлик. У тя есть время? Я просто хочу потренироваться и создать у себя в ящике точно такой же аккаунт, как и у тебя, а именно S-1-5-21-1343024091-789336058-1060284298-1003, потом создать все нужные файлы и раскриптовать присланный тобой файл. К чему это? Человек, который создал тему, переставил систему, но это не значит, что все ключики згинули, возможно их удастся найти (не факт). Коль он редко появляется в теме, я с тобой, могли бы здесь в теме, провести этот нехитрый эксперимент и убедиться на собственной практике, что он работает и в некоторых тяжелых случаях, даже смог бы помочь людям восстановить свои данные из закриптованных файлов. Кстати у тя WinHex стоит?
Не могу не выразить признательность, за оперативность и качественный перевод статьи.
albel
Спасибо, за прекрассный перевод статьи, сегодня от тебя получил и все сразу прояснилось... от вчерашней каши в голове ничего не осталось. С твоего позволения я выложу его на свой склад, пусть народ учится.

ALL
Кому нужен перевод, берем у мя со склада в подписи.

KLASS
Всегда пожалуйста
Я готов поучаствовать, какие конкретно от меня действия требуются?
WinHex установлен.

KLASS

Не качается с твоего склада перевод

Цитата:

404 Нет такой страницы

Demetrio
Такс... давай медленно но верно.
Что пока мне известно: это твой аккаунт
S-1-5-21-1343024091-789336058-1060284298-1003
это имя файла, в котором хранится твой открытый ключ
438605476D36A1632877315E46A66940874E217E
и уникальный идентификатор закрытого ключа
ec9a1dd8-452f-485a-910c-1c98639496f9

Теперь надо найти инфу о закрытом ключе и блокирующем файле.
Зайди в WinHex, открой там свой диск С: как логический, у тя же система стоит на нем и забей в простой поиск по тексту (не в unicode) следующую строку твоего идентификатора закрытого ключа, как есть:

Код:
ec9a1dd8-452f-485a-910c-1c98639496f9

То ли лыжи не едут... Вчера, перед тем, как запостить предыдущий пост, установил еще одну Оску, на FAT32, дабы посмотреть, что да как... и вот те данные, что я приводил в посте выше, я брал именно из оси стоящей на FAT32. Сгодня решил посмотреть на NTFS и... не нашел ничего подходящего, т.е. строчка попадается и не раз, но далеко не то что надо. Я имею ввиду то, что ищем после вот этой фразы (см. пост выше) :

Цитата:

Далее, когда это проделаешь, забей получившуюся свою строчку опять в поиск, по системному разделу, но уже как текст в unicode. Когда будешь вставлять в WinHex для поиска, то программа сматерится и сообщит, что не может более 25 символов искать, обрезав лишние... пусть так и будет.

Кто-нить еще искал на NTFS?

KLASS
Что-то я запутался малость
Там где бирюзовым отмечено - что мне надо выбрать?
Просто там перед CryptoAPI Private Key ещё идут символы и текст, так вот с какого символа выделять?

http://forall.ru-board.com/Demetrio/crypt/3.jpg - это я нашёл первый пункт

http://forall.ru-board.com/Demetrio/crypt/4.jpg - а здесь запутался малость

Цитата:

Там где бирюзовым отмечено - что мне надо выбрать?

На каком рисунке, если на первом, то...

Цитата:

Просто там перед CryptoAPI Private Key ещё идут символы и текст

Ставишь курсор на букве "С" и влево, сначала отсчитываешь столько байт, сколько на рисунке до бирюзовой отметки, т.е. девять. Потом выделяешь, начиная с этого девятого байта - 16 байт.
Ты не торопись, нам спешить некуда, просто почитай перевод и то, что я тут накалякал, повнимательней... я ведь тоже мало чего понимал сначала, потом постепенно прояснилось, особенно после сна мозги светлеют.
Пробуй так, пробежись сначала по всему диску и смотри то, что находится и что более всего соответсвует рисункам, которые я здесь привел. Так у тебя глаз научится различать между собой найденное. Попробуй поищи несколько раз по диску строку и уже через полчаса ты начнешь замечать различия не смотря на рисунки. Зрительная память свое дело сделает. Кстати у тя диск С: сильно большой? Если большой то конечно долго ждать. Я се поставил еще пару параллельных систем на FAT и на NTFS и размеры сделал по 2 ГБ, дык ищется гораздо быстрее. Если есть такая возможность то так и сделай, зашифруй по новой один файл в ней, бекапь и отсылай мне. Ну, а если диск не большой то на этом ищи. В любом случае спрашивай подробнее, я два дня назад знал столько, сколько ты сейчас... так что прорвемся

На твоем первом рисунке я что-то не увидел фразу "CryptoAPI Private Key" или она просто не вошла?

Мозги кипят уже от этих цифирок... вроде сделаешь, бац... не открывает, искать ошибку безтолку, начинаешь сначала. Пошел таким путем. Поставил две, девственно чистые системы, на NTFS разделы. В одной зашифровал, а в другой после импортировал все ключики EFS. Процесс описАл в файле Encrypted File System Recovery.doc и вложил его, как дополнение, к файлу перевода. Так что берите на складе.
dg
Если хочешь, можешь его и использовать за место описалова. Сильно не пинаться, я не Пушкин

Добавлено

Цитата:

Я немножко переделал, ссылки на картинки

Ну да, так вот правильно... ох и "жирные" они у тя, пол дня грузятся на диалапе
begem0t
Ты спрашивал чего я собрался искать в зашифрованных файлах, вот глянь на Demetrio картинки и увидишь... он тоже чего-то там нашел

KLASS
при всём моём уважении к твоим познаниям в HDD и HEX, я не вижу, как это может помочь в расшифровке информации
Demetrio
зачем же текстовуху жыпегом то херить

begem0t
Прошу прощения... что значит
Цитата:

как это может помочь

При рабочей системе чел. зашифровал кучу доков. Аварийный диск, как всегда, не сделал. Вход в систему стал невозможным, по каким-то причинам... ты восстанавливаешь доступ к шифрованной информации из параллельно установленной системы... что не так? Это разве нельзя назвать "помощью в расшифровке информации"? Тогда дай пож. свое определение, обсуждаемому в этой теме...

Для общего развития:
Вот, наглядно, что можно найти в теле зашифрованного файла


Мудрость от Microsoft

Цитата:

Если кто-то может запустить программу на вашем компьютере, — это больше не ваш компьютер.
Если кто-то имеет неограниченный физический доступ к вашему компьютеру, — это больше не ваш компьютер.

к сожалению, автор темы перестал появляться в топике, и мы можем только гадать, помогла ли ему развернувшаяся бурная дискуссия. однако она послужила основой для новой статьи на сайте winbase: Восстановление зашифрованных файлов (EFS) под Windows 2000/XP. в первой части даётся полный официальный перевод известной статьи "Encrypted File System Recovery", выполненный albel, а во второй части о своей практике этого оригинального метода рассказывает KLASS. хотя обе части по сути рассматривают один и тот же алгоритм, они очень гармонично дополняют друг друга: если что-то непонятно в оригинале, этот момент подробнее освещается KLASS-ом, и наоборот. большое спасибо всем участинкам данной темы за всестороннее освещение столь важной проблемы.

KLASS
dg
Хорошая статейка.