Encrypting File System

EFS steht für Encrypting File System und kennzeichnet ein System der Dateiverschlüsselung auf NTFS-Datenträgern unter Windows NT-basierten Betriebssystemen wie Windows 2000, Windows XP und Windows Vista.

Diese Erweiterung ermöglicht es, dass Dateiinhalte selbst dann vertraulich bleiben, wenn fremde Personen – z. B. durch ungenügend gesetzte oder unwirksame Zugriffsrechte oder durch den Diebstahl von Datenträgern – Zugriff auf diese erhalten, da sie nur durch den passenden Schlüssel entschlüsselt werden können.

Wenn eine Datei per EFS verschlüsselt wird, generiert das System zunächst einen zufälligen Schlüssel, den sogenannten File Encryption Key (FEK), mit dem die Datei dann mittels des symmetrischen Verschlüsselungsverfahrens DES oder bei Windows XP ab SP1 mittels AES unlesbar gemacht wird. Der FEK wird dann mittels des asymmetrischen RSA-Algorithmus unter Benutzung des öffentlichen Schlüssels des Benutzers verschlüsselt und mit der Datei zusammen abgespeichert. Soll die Datei gelesen werden, wird der FEK mittels des geheimen Schlüssels des Benutzers entschlüsselt, um damit den Klartext der verschlüsselten Datei wiederherzustellen.

Das verschlüsselnde Dateisystem (Encrypting File System, EFS) ist eine Dateiverschlüsselungstechnologie zum Speichern verschlüsselter Dateien auf Volumes mit dem Dateisystem NTFS. Verschlüsselte Dateien können nicht verwendet werden, sofern der Benutzer keinen Zugriff auf die erforderlichen Schlüssel zum Entschlüsseln der Daten hat.

Die Verschlüsselung erfolgt für den Benutzer, der die Datei verschlüsselt, unbemerkt. Das bedeutet, dass Sie die verschlüsselte Datei nicht manuell entschlüsseln müssen, bevor Sie sie verwenden können. Sie können die Datei wie gewohnt öffnen und ändern. Nachdem Sie eine Datei oder einen Ordner einmal verschlüsselt haben, arbeiten Sie damit wie mit jeder anderen Datei bzw. jedem Ordner.

EFS ähnelt der Verwendung von Berechtigungen für Dateien und Ordner. Mit beiden Methoden können Sie den Zugriff auf Daten einschränken. Ein Eindringling, der sich unautorisierten physischen Zugriff auf Ihre verschlüsselten Dateien verschafft, wird jedoch davon abgehalten, diese zu lesen. Wenn der Eindringling versucht, die verschlüsselte Datei oder den Ordner zu öffnen oder zu kopieren, wird ihm der Zugriff verweigert. Berechtigungen für Dateien und Ordner schützen dagegen nicht vor unautorisiertem physischen Zugriff.

Sie ver- und entschlüsseln einen Ordner oder eine Datei, indem Sie die Verschlüsselungseigenschaften dafür festlegen. Dies geschieht ebenso wie bei anderen Attributen, z.B. für schreibgeschützte, komprimierte oder versteckte Dateien. Wenn Sie einen Ordner verschlüsseln, werden alle in darin enthaltenen Dateien und Unterordner automatisch verschlüsselt. Es wird empfohlen, die Verschlüsselung auf Ordnerebene durchzuführen. Sie können eine Datei oder einen Ordner auch mit dem Befehl Cipher ver- oder entschlüsseln.

Bei der Arbeit mit verschlüsselten Dateien und Ordnern sollten Sie folgende Punkte bedenken:

1. Sie können nur Dateien und Ordner auf NTFS-Volumes verschlüsseln. Allerdings können Sie WebDAV (Web Distributed Authoring and Versioning) verwenden, um Dateien in verschlüsselter Form zu übertragen. WebDAV funktioniert auch zusammen mit NTFS.

2. Komprimierte Dateien und Ordner können nicht verschlüsselt werden. Dateien oder Ordner, die ein Benutzer zur Verschlüsselung kennzeichnet, werden dekomprimiert.

3. Verschlüsselte Dateien, die Sie auf ein Nicht-NTFS-Volume kopieren, werden entschlüsselt.

4. Unverschlüsselte Dateien, die in einen verschlüsselten Ordner verschoben werden, werden am Zielort automatisch verschlüsselt. Beim umgekehrten Vorgang werden die Dateien aber nicht automatisch entschlüsselt. Dateien müssen ausdrücklich entschlüsselt werden.

5. Dateien, die mit dem Systemattribut gekennzeichnet sind, und Dateien im Systemstammverzeichnis können nicht verschlüsselt werden.

6. Die Verschlüsselung eines Ordners oder einer Datei schützt nicht vor einer Löschung oder vor dem Auflisten der Dateien oder Verzeichnisse. Jeder, der über die entsprechenden Berechtigungen verfügt, kann verschlüsselte Ordner und Dateien löschen und auflisten. Aus diesem Grund wird die Kombination von EFS und NTFS-Berechtigungen empfohlen.

7. Sie können Dateien und Ordner auf einem Remotecomputer, auf dem die Remoteverschlüsselung aktiviert ist, ver- und entschlüsseln. Die Daten, die bei diesem Vorgang über das Netzwerk übertragen werden, werden unter dieser Windows-Version jedoch nicht verschlüsselt. Um die Datei während der Übertragung über das Netzwerk zu verschlüsseln, müssen Sie andere Protokolle verwenden, z.B. SSL/TLS (Secure Socket Layer/Transport Layer Security) oder IPsec (Internet Protocol Security). (Wie im ersten Punkt beschrieben, können Sie auch WebDAV verwenden, um die Datei in verschlüsselter Form zu übertragen.)

Ein Verlust des geheimen Schlüssels zieht natürlich den Verlust der verschlüsselten Daten nach sich. Um diesem Problem zu begegnen, gibt es die Möglichkeit, den FEK zusätzlich mit dem öffentlichen Schlüssel eines weiteren Benutzers verschlüsselt abzuspeichern. Dieser Benutzer, der sogenannte Data Recovery Agent, ist standardmäßig der Administrator der verwendeten Windows-Installation (nur Windows 2000). Ab Windows XP muss dieser DRA nachträglich eingerichtet werden (cipher /R:EFS-RA). Es ist jedoch auch möglich, andere Einstellungen vorzunehmen: So kann man beispielsweise einen zentralen Data Recovery Agent in einer gesamten Windows-Netzwerkdomäne einrichten oder auch keinen Data Recovery Agent einstellen.

Ebenso wie zum Zweck der Datenwiederherstellung ist es auch möglich, den FEK jeweils mit den öffentlichen Schlüsseln mehrerer Benutzer verschlüsselt abzuspeichern, sodass in einem Netzwerk oder an einem Computer mit mehreren Benutzerkonten der gemeinsame Zugriff auf verschlüsselte Dateien ermöglicht wird.

• Festplattenverschlüsselung
• Kryptografie

• Prinziperklärung von Microsoft
• Anleitung zur Verschlüsselung mit EFS
• WinTotal-Artikel: Dateiverschlüsselung mit Windows XP
• EFS-Dateien scheinen beschädigt