Dateiverschlüsselung - Zertifikate
René
Umgebung:
Server: Windows Server 2003 R2 mit funktionsf�higer Zertifizierungsstelle
Arbeitsstationen: Windows 7, Windows Vista und Windows XP
Ich m�chte auf einer Arbeitsstation ein Verzeichnis und die sich darin
befindlichen Dateien verschl�sseln. Das geht auch, aber einige Punkte sind
mir nicht klar:
1. Zertifikat ausw�hlen
Ich Verf�ge �ber mehrere Benutzerzertifikate - von Fremdnetzwerken
ausgestellt -, die ich f�r die VPN-Einwahl in unterschiedliche Netzwerke
nutze. Wenn ich mir die Dateieigenschaften einer verschl�sselten Datei
anschaue, sehe ich, dass Windows das erste passende Zertifikat f�r die
Verschl�sselung verwendet hat. Dieses m�chte ich aber nicht benutzen,
sondern selbst eines ausstellen. Wie geht das?
2. Ablauf des Zertifikates
Wie im vorigen Punkt erw�hnt, hat Windows irgend ein Zertifikat genommen.
Dieses ist jedoch nur bis November 2010, also nur noch wenige Monate g�ltig.
Was passiert mit den verschl�sselten Dateien, wenn ein Zertifikat abl�uft?
Im Voraus sch�nen Dank!
--
Ren�
Thomas D.
Ren� schrieb:
> 1. Zertifikat ausw�hlen
> Ich Verf�ge �ber mehrere Benutzerzertifikate - von Fremdnetzwerken
> ausgestellt -, die ich f�r die VPN-Einwahl in unterschiedliche Netzwerke
> nutze. Wenn ich mir die Dateieigenschaften einer verschl�sselten Datei
> anschaue, sehe ich, dass Windows das erste passende Zertifikat f�r die
> Verschl�sselung verwendet hat. Dieses m�chte ich aber nicht benutzen,
> sondern selbst eines ausstellen. Wie geht das?
Sind die Rechner in einer Dom�ne? Dann kannst Du per GPO erzwingen, dass
jedes Dom�nenmitglied ein Zertifikat nach Deinen Vorgaben erh�lt und auch
die automatische Erneuerung sicherstellen.
Alternativ kannst Du jederzeit �ber den Zertifikatsserver manuell
Zertifikate erstellen, die Du anschlie�end manuell installierst.
> 2. Ablauf des Zertifikates
> Wie im vorigen Punkt erw�hnt, hat Windows irgend ein Zertifikat genommen.
> Dieses ist jedoch nur bis November 2010, also nur noch wenige Monate g�ltig.
> Was passiert mit den verschl�sselten Dateien, wenn ein Zertifikat abl�uft?
Ein Zertifikat l�uft nicht ab. Die schlechte �bersetzung mag hier zu
Verwirrungen f�hren. Auf englischen Systemen hei�t es "Valid until".
Dieses Datum soll Clients mitteilen, dass sie dieses Zertifikat nach diesem
Datum nicht mehr als g�ltig anerkennen.
Das besagt aber nicht, dass das Zertifikat fortan nicht mehr verwendbar ist
und alles damit verschl�sselte bspw. verloren ist.
Also in K�rze:
Auch nach Ablauf des Zertifikats wird man mit dem privaten Schl�ssel diese
Dateien entschl�sseln k�nnen.
--
Gr��e
Thomas
René
news:180510.113755....@40tude.net...
> Hallo,
>
> Ren� schrieb:
>> 1. Zertifikat ausw�hlen
>
> Sind die Rechner in einer Dom�ne? Dann kannst Du per GPO erzwingen, dass
> jedes Dom�nenmitglied ein Zertifikat nach Deinen Vorgaben erh�lt und auch
> die automatische Erneuerung sicherstellen.
Ja, die Rechner sind in einer Dom�ne. Aber welche Policies sind daf�r
notwendig? Kannst du mir auf die Spr�nge helfen?
>
> Alternativ kannst Du jederzeit �ber den Zertifikatsserver manuell
> Zertifikate erstellen, die Du anschlie�end manuell installierst.
Das ist nicht das Problem. Das Problem ist, dass irgend ein installiertes
Zertifikat daf�r genommen wird. Ich habe zwecks VPN-Einwahl in
Kundennetzwerke viele "Kunden"-Zertifikate (von den Zertifizierungsstellen
der Kunden ausgestellt) und es wird willk�rlich eines davon f�r die
Verschl�sselung genommen.
>
>> 2. Ablauf des Zertifikates
>> [...]
>
> Ein Zertifikat l�uft nicht ab. Die schlechte �bersetzung mag hier zu
> Verwirrungen f�hren. Auf englischen Systemen hei�t es "Valid until".
> Dieses Datum soll Clients mitteilen, dass sie dieses Zertifikat nach
> diesem
> Datum nicht mehr als g�ltig anerkennen.
Danke f�r den Hinweis! Aber das gilt nur f�r die Verschl�sselung, oder? Bei
den Zertifikaten f�r VPN-Einwahl ist das nicht der Fall. Wenn diese
ablaufen, wird die Einwahl verweigert.
>
> Das besagt aber nicht, dass das Zertifikat fortan nicht mehr verwendbar
> ist
> und alles damit verschl�sselte bspw. verloren ist.
OK. S. o.
>
> Also in K�rze:
> Auch nach Ablauf des Zertifikats wird man mit dem privaten Schl�ssel diese
> Dateien entschl�sseln k�nnen.
Nochmals vielen Dank!
--
Ren�
Thomas D.
Ren� schrieb:
>> Sind die Rechner in einer Dom�ne? Dann kannst Du per GPO erzwingen, dass
>> jedes Dom�nenmitglied ein Zertifikat nach Deinen Vorgaben erh�lt und auch
>> die automatische Erneuerung sicherstellen.
>
> Ja, die Rechner sind in einer Dom�ne. Aber welche Policies sind daf�r
> notwendig? Kannst du mir auf die Spr�nge helfen?
Dein Stichwortet lautet "Automatic Certificate Enrollment":
<http://technet.microsoft.com/en-us/library/cc770546.aspx>
>> Alternativ kannst Du jederzeit �ber den Zertifikatsserver manuell
>> Zertifikate erstellen, die Du anschlie�end manuell installierst.
>
> Das ist nicht das Problem. Das Problem ist, dass irgend ein installiertes
> Zertifikat daf�r genommen wird. Ich habe zwecks VPN-Einwahl in
> Kundennetzwerke viele "Kunden"-Zertifikate (von den Zertifizierungsstellen
> der Kunden ausgestellt) und es wird willk�rlich eines davon f�r die
> Verschl�sselung genommen.
Meines Wissens wechselt der Client die Zertifikate nicht.
Das bei der ersten Verwendung passende Zertifikat wird als
"Standard"-Zertifikat eingestellt und bleibt es auch - selbst wenn es ein
"besseres" gibt.
Dieses musst Du daher ggf. �ndern, sofern EFS erst sp�ter ausgerollt wurde.
Siehe:
<http://technet.microsoft.com/en-us/library/bb457065.aspx>
und
<http://technet.microsoft.com/en-us/library/cc736602(WS.10).aspx>
Wenn Du nun Zertifikate ausrollst, solltest Du dies aber auch per GPO
festlegen k�nnen. Wo genau, steht imho in den Links drinnen.
>> Ein Zertifikat l�uft nicht ab. Die schlechte �bersetzung mag hier zu
>> Verwirrungen f�hren. Auf englischen Systemen hei�t es "Valid until".
>> Dieses Datum soll Clients mitteilen, dass sie dieses Zertifikat nach
>> diesem Datum nicht mehr als g�ltig anerkennen.
>
> Danke f�r den Hinweis! Aber das gilt nur f�r die Verschl�sselung, oder? Bei
> den Zertifikaten f�r VPN-Einwahl ist das nicht der Fall. Wenn diese
> ablaufen, wird die Einwahl verweigert.
Jede Anwendung die ein Zertifikat verwendet, sollte es nur solange
verwenden, wie es "g�ltig" ist. Sobald es "abgelaufen" ist, sollte jede
Anwendung die Verwendung blockieren (bei VPN wird die Einwahl scheitern,
bei EFS k�nnen keine neuen Dateien mehr verschl�sselt werden, bei
SSL-Verbindungen wird zur�ck gewiesen...).
Alle jemals mit diesem Zertifikat autorisieren Vorg�nge verlieren bei
Ablauf (und �brigens auch beim Widerruf) aber nicht ihre Autorisierung.
Sprich eine Mittels PKI unterzeichnet E-Mail l�sst sich weiterhin lesen und
validieren, gleiches gilt f�r signierte Dokumente oder Dateien.
Verschl�sselte Dateien lassen sich selbstverst�ndlich noch entschl�sseln...
Das alles wird �ber den in der Signatur eingebetteten Zeitstempel
realisiert. An Hand dieser Zeit wird �berpr�ft, ob zu diesem Zeitpunkt das
benutzte Zertifikat �berhaupt noch g�ltig war.
Kleiner Hinweis am Rande: Der Zeitstempel ist lokal, d.h. hier wird kein
offizieller Zeitgeber kontaktiert. Eine Schwachstelle. Deswegen muss
oftmals sichergestellt werden, dass Signaturen nur Mittels zertifizierten
Ger�ten erzeugt werden, denn diese erhalten ihre Zulassung bspw. nur dann,
wenn sie vorher eine Echtzeit�berpr�fung durchgef�hrt haben.
Selbstverst�ndlich kann man nat�rlich einen Zeitstempel eines offiziellen
Zeitservers einbinden. Dieser best�tigt dann lediglich, dass zum Zeitpunkt
X eine Datei Y existiert hat. Aber wir entfernen uns vom Thema ;-)
--
Gr��e
Thomas