Zum Inhalt springen

Encrypting File System

aus Wikipedia, der freien Enzyklopädie
Dies ist eine alte Version dieser Seite, zuletzt bearbeitet am 24. November 2008 um 01:51 Uhr durch -Matthäus- (Diskussion | Beiträge) (Mehrbenutzer-Verwendung von verschlüsselten Dateien: -> Da RSA ein asymmetrisches Verfahren ist, werden die öffentlichen Schlüssel zum ver- und die geheimen Schlüsseln zum entschlüsseln genommen). Sie kann sich erheblich von der aktuellen Version unterscheiden.

EFS steht für Encrypting File System und kennzeichnet ein System der Dateiverschlüsselung auf NTFS-Datenträgern unter Windows NT-basierten Betriebssystemen wie Windows 2000, Windows XP und Windows Vista.

Diese Erweiterung ermöglicht es, dass selbst wenn fremde Personen Zugriff zu Dateien erhalten – deren Zugriffsrechte z. B. ungenügend gesetzt, oder überlistet worden sind, oder im Falle des Diebstahls von Datenträgern – diese Dateien ohne den passenden Schlüssel nicht entschlüsselt gelesen werden können.

Funktionsweise

Wenn eine Datei per EFS verschlüsselt wird, generiert das System zunächst einen zufälligen Schlüssel, den sogenannten File Encryption Key (FEK), mit dem die Datei dann mittels des symmetrischen Verschlüsselungsverfahrens DES oder bei Windows XP ab SP1 mittels AES unlesbar gemacht wird. Der FEK wird dann mittels des asymmetrischen RSA-Algorithmus unter Benutzung des öffentlichen Schlüssels des Benutzers verschlüsselt und mit der Datei zusammen abgespeichert. Soll die Datei gelesen werden, wird der FEK mittels des geheimen Schlüssels des Benutzers entschlüsselt, um damit den Klartext der verschlüsselten Datei wiederherzustellen.

Datenwiederherstellung

Ein Verlust des geheimen Schlüssels zieht natürlich den Verlust der verschlüsselten Daten nach sich. Um diesem Problem zu begegnen, gibt es die Möglichkeit, den FEK zusätzlich mit dem öffentlichen Schlüssel eines weiteren Benutzers verschlüsselt abzuspeichern. Dieser Benutzer, der sogenannte Data Recovery Agent, ist standardmäßig der Administrator der verwendeten Windows-Installation (nur Windows 2000). Ab Windows XP muss dieser DRA nachträglich eingerichtet werden(cipher /R:EFS-RA). Es ist jedoch auch möglich, andere Einstellungen vorzunehmen: So kann man beispielsweise einen zentralen Data Recovery Agent in einer gesamten Windows-Netzwerkdomäne einrichten oder auch keinen Data Recovery Agent einstellen.

Mehrbenutzer-Verwendung von verschlüsselten Dateien

Ebenso wie zum Zweck der Datenwiederherstellung ist es auch möglich, den FEK jeweils mit den öffentlichen Schlüsseln mehrerer Benutzer verschlüsselt abzuspeichern, sodass in einem Netzwerk oder an einem Computer mit mehreren Benutzerkonten der gemeinsame Zugriff auf verschlüsselte Dateien ermöglicht wird.

Siehe auch

Abgerufen von „https://de.wikipedia.org/w/index.php?title=Encrypting_File_System&oldid=53352762