Уязвимость EFS (шифрованная файловая система) в Windows 7

Question

Я изучаю использование EFS (шифрованной файловой системы) на уровне файлов / папок в Windows 7.

Я прочитал статью в Википедии об EFS, в которой упоминается несколько уязвимостей, связанных с Windows 2000 и XP. По-видимому, они были исправлены в более поздних версиях ОС.

Затем я нашел этот инструмент (Advanced EFS Data Recovery, AEFSDR): http://www.elcomsoft.com/aefsdr.html, который позволяет в некоторых случаях расшифровывать зашифрованные файлы EFS. Сейчас я пытаюсь понять, насколько уязвима EFS в Windows 7, когда используется этот инструмент.

На странице продукта AEFSDR упоминается уязвимость Windows 2000, которую можно игнорировать. Кроме этого у него не так много деталей.

Дополнительная информация доступна здесь: http://www.elcomsoft.com/cases/tips_on_recovering_EFS-encrypted_data_when_it_gets_lost.pdf . В пункте под названием "Решение" говорится:

Advanced EFS Data Recovery позволяет расшифровывать файлы, даже если база данных пользователей защищена с помощью SYSKEY. Во-первых, AEFSDR ищет все ключи EFS, сканируя жесткий диск сектор за сектором. После того, как пользователь ввел пароль пользователя в программу, программное обеспечение расшифровывает ключи или, по меньшей мере, один ключ, необходимый для расшифровки зашифрованных данных пользователя. На втором этапе AEFSDR ищет в файловой системе файлы, зашифрованные EFS, и пытается их восстановить. Скорость восстановления обычно очень высока, 99% или более.

Поэтому необходимо было ввести пароль пользователя. Я предполагаю, что это был пароль для учетной записи пользователя Windows.

Мой вопрос таков: рассмотрим, что ноутбук с зашифрованными EFS файлами / папками был украден и в это время был выключен (полностью выключен, не в режиме сна / гибернации). Для злоумышленника нет паролей пользователей, но очевидно, что жесткий диск может быть удален и доступен для другого компьютера. Можно ли будет расшифровать любой из файлов?

Answer 1

EFS предназначена для защиты ваших файлов на основе вашего пароля. Поэтому, если ваш пароль достаточно длинный и сложный и, конечно, он используется только для входа, он должен быть безопасным.

Но обычно пароли пользователей Windows слишком короткие. К сожалению, Windows 7 хранит их в специальном хешированном виде (NTLMv2) - более старые версии даже в более небезопасной версии NTLM. При использовании текущих графических карт в качестве взломщика кода даже пароль NTLMv2 может быть взломан:

Взлом аутентификации NTLMv2 (с 2002 г.) Интересным является второй последний слайд, даже если он рассматривает только старые процессоры для взлома пароля.

AFAIK только сложный пароль с 12 или более символами может считаться безопасным на данный момент.

Answer 2

TrueCrypt должен обеспечить вам лучшую безопасность, чем EFS, и он также предлагает те же функции, что и BitLocker (полное шифрование диска).

Единственным недостатком TrueCrypt (по сравнению с EFS) является то, что он не позволяет шифровать отдельные файлы и папки на жестком диске; Вместо этого вы создаете зашифрованный том на диске или в файле на диске, который затем монтируете как отдельный зашифрованный том.

К сожалению, это не решение в стиле Vault, а это означает, что (как и EFS) после входа ваши файлы незащищены. TrueCrypt, EFS и BitLocker не обеспечивают безопасность в стиле Vault.

Answer 3

Это старый вопрос, но я не видел ответа, который собираюсь написать. Если ваш ноутбук окажется в чьих-то руках, он может легко сбросить пароль вашей учетной записи или создать новую учетную запись и просто полностью обойти EFS.

На Windows-машине вы ничего не можете с этим поделать. Можно создать живой usb для Linux, смонтировать раздел ОС Windows и заменить некоторые процессы, выполняющиеся с правами администратора, на cmd. Это, конечно, даст им консоль с правами администратора. Даже если вы заблокируете биос паролем, обычно его можно легко сбросить, удалив батарею BIOS. И процессов, которые можно заменить, много, вам просто нужно знать, какой из них можно запустить на этапе входа в систему.

Если вы хотите хорошее шифрование и не боитесь испачкать руки, вы можете написать его самостоятельно. Существует множество реализаций для симметричных шифров (AES / DES) или асимметричных (но вы должны действительно хорошо скрыть закрытый ключ) почти для всех языков программирования, и действительно легко рекурсивно пройти по папке и заменить файлы некоторыми данными ( в этом случае сами зашифрованные версии). И я уверен, что вы могли бы найти программы, которые уже делают эту простую вещь, но кодируя ее самостоятельно, вы на 100% уверены, что она не делает ничего другого.