» Встроенное шифрование WinXP

Добрый день (вечер, ночь, утро)!
Первый раз на форуме, просмотрел все по своей проблеме, попробовал все советы - ничего не получилось. Без посторонней помощи не обойдусь. Проблема следующая:

Установлена Windows XP Prof с SP1. Жесткий диск разбит на два логических: первый - системный - с FAT 32, второй - со всей информацией - c NTFS. На втором диске (информационном) важную папку с документами (WORD) зашифровал встроенной программой системы: свойства - другие - шифровать содержимое для защиты данных - применить ко всем вложенным папкам и файлам. Папка "позеленела".
Систему пришлось переустановить. Вхожу после этого на информационный диск (логический) - папка "зеленеет", но внутрь не пускает и вообще пишет, что папка пустая и размер ее - ноль. Как прочитал в нашем Форуме - перезагружаюсь, вхожу Администратором, меняю владельца, делаю полный доступ. Система частично со мной соглашается. Результат: папка и все встроенные папки "зеленеть" перестали и стали открываться, а вот документы - зеленеют, открываю текстовый редактор, мне ответ: не обладаю, мол я необходимыми полномочиями. Что делать? Документы то, как сливки, собрал все в одну папку и на тебе.... Может быть переформатировать (Патришек Магик) с NTFS на FAT и тогда эта шифровка, которую поддерживает только NTFS аннулируется?????? Боюсь только потерять вообще весь диск, не придется ли его после Магика вообще весь форматировать. Такая вот проблема.
Надеюсь на помощь. На всякий случай: тому чей совет поможет, помогу сам (советом), я юрист, отвечу на любой вопрос (гражданское и трудовое право).
Такие вот дела.

Dokdok4
Иногда помогает, если каждому документу, в необходимой папке, поменять права доступа.

Dokdok4

Цитата:

Может быть переформатировать (Патришек Магик) с NTFS на FAT и тогда эта шифровка, которую поддерживает только NTFS аннулируется??????

5 баллов! Так и делаем.


Цитата:

Боюсь только потерять вообще весь диск, не придется ли его после Магика вообще весь форматировать.

Это может произойти совсем не по вине РМ, а даже если вырубят на секунду свет... Что делаем? Правильно Ghost или Drive Image и работаем с дубликатом.

retro

А это реально кто-нибудь пробовал?

andrex ?????????
Я же написал:

Цитата:

5 баллов! Так и делаем.

Я тебе ответил в другой теме. Раздвоились мы как-то... Сорри за

Dokdok4
Нужно было заранее, до того как зашифровал файлы, создать специальный сертификат агента восстановления. А сейчас уже ничего сделать нельзя.

devids Почему нет? Попробуй конверт (если физика позволяет).

СПАСИБО!!!
Отдельное - RETRO, в выходные, если решусь рискнуть своими данными, попробую "Магика". Если получиться (или не получиться) обязтельно сообщу. Осталось просто решиться.

retro
Я не пробовал конечно такое делать, но знаю, что в этом случае шифруется само тело файла, следовательно, если даже он сам и будет скопирован в случае конвертирования, то врядли можно будет его прочесть. Другое дело, если б речь шла об его атрибутах, прав на доступ и т.д., тогда проблем не возникло бы. Впрочем, подождем окончательного результата.

devids

Я тоже так думал, но retro уверил, что делал! Подождем выходных.

Добавлено
Dokdok4
Кстати, retro просил передать тебе:

Цитата:

Получится 100% если сам конверт пройдет нормально! Это главная трудность, а не прочтение. На маленьких папках получается со свистом, но если размер большой (конкретно надо смотреть свободное место - сколько зашифрованных - размер диска - на какой партиции и т.д.) не даст, хорошо, если сразу. Не дай Бог застрянет в середине... Вот тогда все. Обязательно снимать диск и ставить на другой комп, ни в коем случае на его мамке нельзя делать.
В общем, сотня тонкостей. Иногда по нескольку раз надо перегонять ghost'ом на большие партиции. Это ОЧЕНЬ не просто сделать. Обязательно запость эти мои предостережения, чтобы человек не напорол чего-то там. ОБЯЗАТЕЛЬНО имидж перед конвертом! И только с копией работать. Все. Но он сам не сделает. Надо иметь опыт.

Так что решай сам...

retro
Спасибо за информацию!
Теперь, случись что, понятно, в каком направлении следует копать.

И еще. С РМ не надо делать, самое лучшее Volume Manager. В варезнике были ссылки.
Это такой же РМ, но серверная версия, гораздо надежнее. Особенно для сложных работ.

Dokdok4

Что то я сильно сомневаюсь, что конверт в FAT 32 спасет.
Кто конвертить будет? PM? Позвольте, а какие у него есть права на зашифрованные файлы? Его права равны правам юзверя, под которым он запускается, и если у юзверя нет прав, то...


EFC обмануть, это не пароль на zip подобрать, можешь даже и не пытаться.


А вообще, то, что на изолированной машине в отличии от домена, по дефолту не создается агент восстановления и не определяется политика восстановления не есть хорошо.

Отсюда тебе будет вывод на будущее: cначало создай агента восстановления, сохрани его ключик и сертификат в надежное место, попей пиво, и только потом шифруй...

batva

Цитата:

Его права равны правам юзверя, под которым он запускается, и если у юзверя нет прав, то...

A мы его из DOS'a запустим...

retro

Цитата:

A мы его из DOS'a запустим...

Это значит что у него будут права гостя, а у гостя какие права на зашифрованные файлы? Правильно, никаких.

batva А перед этим мы все Permissions через ERD обнулим...

batva

А не может PM проигнорировать все права? Или шифруется само тело файлов?

retro

Цитата:

А перед этим мы все Permissions через ERD обнулим...

Дак дело не в пермишенах.
Доступ к файлам то вы получите, а дальше что?
Будете ломать DESC с длиной ключа 56 бит?

PM всегда ругается на компрессионные файлы, не говоря уж о шифрованных... Но если размер небольшой, делает. VM гораздо лучше. Но в этом конкретном случае вообще, боюсь невозможно, т.к.

Цитата:

Документы то, как сливки, собрал все в одну папку и на тебе....

Цитата:

папка и все встроенные папки

сложная ситуация, как пить дать, громадный размер...

andrex

Цитата:

А не может PM проигнорировать все права? Или шифруется само тело файлов?

Шифруется все!
И тело файла, и FEK - ключ шифрования.

batva Не видел твое сообщение.

Цитата:

Доступ к файлам то вы получите, а дальше что?

Если конверт пройдет... А что ты думаешь? У тебя бывали такие ситуации?

Цитата:

Если конверт пройдет...

Пройдет конверт или не пройдет, сути дела не меняет..
Перекинув шифрованные файлы в FAT 32 от этого они расшифрованными не станут.


Цитата:

А что ты думаешь? У тебя бывали такие ситуации?

Думаю, что тема эта хорошая только для флейма, реально помочь, к сожалению, даже дядя Билл не сможет.

Ситуации такие конечно бывали, и даже смарт карта с ключами приказывала долго жить (и такое тоже бывает)

Dokdok4
прежде чем пробовать фокусы с конвертацией раздела - просто забэкапь файлы. даром, что зашифрованные - скопировать-то можно (если прав хватает).

batva
Цитата:

реально помочь, к сожалению, даже дядя Билл не сможет.

а почему теперь не создать агента восстановления?..

Ндя... Покопался я тут в своих фаворитах и нашел хорошую статью.
Вот ссылка. Прошу обратить внимание на п 4.4. Кстати, и к параллельному топику про документы она имеет самое прямое отношение. Много чего полезного.

dg

Цитата:

а почему теперь не создать агента восстановления?..

Толку от того, что мы его создадим сейчас?
Его нужно создавать до, а не после.


Чтобы понять это, нужно чуть рассказать.
Ок. Объясню как смогу, кто не поймет, я не виноват, думаю в сети можно найти более подробное описание..

Для каждого юзверя в системе EFS генерит два ключа. Открытый и личный.

Для шифрования в EFS(шифрующая файловая система) используются открытые ключи.

Файлы шифруются симметричным алгоритмом DESC (в принципе может быть применен любой другой алгоритм симметричного шифрования) с помощью FEK (Ключ шифрования файла).
FEK генерируется случайным образом для каждого файла.

Сам FEK тоже шифруется с помощью открытого ключа пользователя, и далее хранится вместе с зашифрованным файлом.


Когда идет дешифрация, то сначало извлекается FEK и дешифруется с помощью личного ключа пользователя. И затем уже с помощью расшифрованного FEK дешифруется файл.

Таким образом, чтобы дешифровать файл, нужно предьявить личный ключ пользователя, зашифровавшего этот файл, или... об этом ниже.

Хочу заметить, что даже если создать юзера с таким же именем, и паролем, то ключ у него будет все равно другой, и он не подойдет. Имя пользователя и пароль используются только для регистрации пользователя в системе, и никак не используются для шифрации-дешифрации.
Сделано умно, потому что все мы знаем, что пароли 90% юзеров можно легко подобрать за очень короткое время, софта в помощь навалом.

До сих пор понятно?

Далее.

Допустим пользователь, шифрующий файлы, хочет чтобы доступ к ним имели, и некоторые другие пользователи. Что происходит?
Он просто добавляет их сертификаты, и теперь FEK шифруется с помощью нескольких открытых ключей пользователей, получается список шифрованных ключей FEK, этот список, напомню, хранится вместе с файлом.

Каждый пользователь, при дешифрации расшифровывает FEK с помощью своего личного ключа.

Тут понятно? Если на пальцах, то я свой открытый ключ могу дать кому угодно, им только можно зашифровать, и только я потом смогу расшифровать, ведь свой личный ключ, я никому не даю.

Ну так вот, когда в системе есть агент восстановления, и определена политика восстановления, то при шифровании FEK он также шифруется с помощью открытого ключа агента восстановления и хранится вместе с файлом.

И если завтра, работничек фирмы, уволился, и "забыл" отдать начальничку свой личный ключ, то умный начальник особо переживать не будет, он просто расшифрует файлы с помощью закрытого ключа агента восстановления, который хранится у него в надежном месте.

Вот так это работает.


Теперь вернемся к сабжевой проблеме.

Личный ключ пользователя, зашифровавшего файлы у нас есть? Нет!
Перед шифрованием агент восстановления был создан? Нет!
Файлы можно расшифровать? Нет!
Можно вешаться? Да!

А пиво пить можно? Нужно!

Добавлено
retro

Цитата:

Вот ссылка. Прошу обратить внимание на п 4.4.

Ох...


Цитата:

EFS работает только на NTFS. Поэтому, если Вы копируете зашифрованный файл на диск, который не является томом NTFS, Вы потеряете шифрацию. Вы не будете предупреждены об этом системой, так что просто имейте это ввиду, если захотите перенести зашифрованные файлы на FAT или FAT32.

Все правильно, EFS работает прозрачно для пользователся, шифрация-дешифрация идет на лету, и если ты копируешь зашифрованный файл допустим на дискету, то ест-но он там будет лежать расшифрованный.

Но это если ты - пользователь зашифровавший файл его копируешь, а если его я зашифровал, а ты копируешь, то нихрена ты не получишь, и PM тебе не поможет.

Цитата:

а почему теперь не создать агента восстановления

Для всех интересующихся рассказываю как работает EFS:

При первой попытке шифрования файлов создается пара из закрытого и открытого ключа пользователя, которая храниться в специальном хранилище ключей в базе данных SAM или репозитории AD. При шифровании файла, его тело шифруется по алгоритму DESX на случайном 128битном ключе (в случае установленного Strong Encryption Pack). Ключ шифруется на открытом ключе пользователя и прикладывается к телу файла. В случае если в системе есть агент восстановления создается еще одна копия ключа, зашифрованная на открытом ключе агента.

Итак что в сухом остатке:

1) В случае если не был создан Recovery Disk либо не осуществлен экспорт сертификата агента восстановления восстановить файла практически невозможно, поскольку для этого необходимо осуществлять полный перебор 128 битных ключей.

2) Добавление Recovery агента в новой системе уже ничем не поможет, поскольку файловый ключ зашифрован, а секретный ключ шифрования потерян.

3) Эксперименты c PM ни к чему не приведут, т.к дело не в файловой системе NTFS. Даже конвертировав ее в FAT вы получите файл со всякой белибердой.


Batva
Синхронно у нас получилось

Да, размер большой, порядка семи Гигов. Но дело не в этом. Самому интересно посмотреть, что будет, если у шифровки Билла Г. "отрежут ручки и ножки", переведя в формат FAT. Не программа же самоуничтожения запуститься.

Проблема в другом: на этом же диске у меня очень важная Прога, которой я буду рисковать лишь тогда, когда она у меня будет продублирована на компакт-диске. Но Прога лицензионная, редкая. Смогу найти - проведу эксперимент и доложу.

Dokdok4
Тебе же уже написали, что все эти "трюки" с конвертацией файловой системы ни к чему не приведут. Совершенно верно написали, между прочим. Но если ты из той категории людей, которые любят все проверять сами и у тебя есть лишнее время на это -- проверяй. Но это лишь пустая трата времени. Лучше подумай, как юрист, как ты можешь компенсировать ущерб юридическими методами. Например, засуди Microsoft за это.

Dokdok4

Цитата:

Может быть переформатировать (Патришек Магик) с NTFS на FAT и тогда эта шифровка, которую поддерживает только NTFS аннулируется??????

Бред полный. Указанная папка просто не будет обработана менеджером.

В качестве эксперимента можешь попробовать:


Цитата:

Advanced EFS Data Recovery

A program to recover (decrypt) files encrypted on NTFS (EFS) partitions created in Windows 2000 and Windows XP. Files are being decrypted even in a case when the system is not bootable and so you cannot log on, and/or some encryption keys (private or master) have been tampered. Besides, decryption is possible even when Windows is protected using SYSKEY. AEFSDR effectively (and instantly) decrypts the files protected under all versions of Windows XP (including Srvice Pack 1) and Windows 2000 (including Service Packs 1, 2, 3 and 4). Registered version costs $99 (personal license) or $199 (business license).

Помню мне кто-то с безумной радостью рассказывал, что помогло...

Добавлено
http://forum.ru-board.com/topic.cgi?forum=55&topic=2764#1

Добавлено
Подробнее о EFS:
RU http://www.ixbt.com/storage/efs.html
EN http://www.microsoft.com/windows2000/docs/encrypt.doc