Acessando arquivos criptografados por EFS após redefinir a senha do Windows

12

Eu tenho alguns arquivos criptografados por EFS no Windows. A conta de usuário proprietária é protegida por uma senha, que pode ser facilmente ignorada (ou seja, redefinida) por muitas ferramentas e métodos.

Então, o que acontecerá com esses arquivos criptografados se isso acontecer? Eles estarão acessíveis ao atacante? Ou eles ainda estarão protegidos e exigem a chave de criptografia para acessá-los?

windows-7 encryption ntfs efs ICTAddict
fonte
2
Editei sua pergunta para deixar um pouco mais claro que você está usando o EFS. Se isso não estiver certo, você pode reverter a edição. Boa pergunta!
Ben N

Respostas:

9

A resposta existente está correta, pois a chave privada do EFS é protegida pela senha do usuário. No entanto, é possível configurar os Agentes de recuperação de dados do EFS que podem descriptografar qualquer arquivo criptografado pelo EFS em um sistema. Os certificados DRA são definidos via Diretiva de Grupo ou Diretiva de Segurança Local, se você não tiver um domínio.

Os DRAs têm esse acesso porque, quando um sistema recebe a chave pública dos DRAs, ele criptografa a chave simétrica de cada arquivo criptografado com a chave pública de cada DRA, além da chave pública do usuário. Portanto, os DRAs só podem recuperar arquivos criptografados se eles foram criados ou abertos após o registro do certificado.

Portanto, dependendo da sua configuração, pode ser possível recuperar os dados mesmo após a redefinição da senha do proprietário. As chaves DRA também são protegidas pela senha do DRA, mas um invasor astuto instala um certificado DRA para um novo usuário, espera que você toque nos arquivos de destino e tira proveito do certificado para descriptografá-los.

Observe que esta opção de recuperação não se aplica aos dados protegidos por DPAPI, pois a DPAPI não respeita os DRAs do EFS. Você sentirá alguma dor se precisar recuperar esses dados.

Ben N
fonte
7

A chave privada EFS do usuário, bem como vários outros dados privados mantidos pelo Windows, são criptografados usando a senha do usuário. Se a senha for alterada, é impossível descriptografar as chaves privadas e, sem isso, é impossível acessar os arquivos criptografados.

user1686
fonte
1
Não sei se entendi completamente, você quer dizer que, uma vez que a senha é redefinida por software de terceiros, os dados criptografados desaparecem para sempre?
ICTAddict
2
Está correto. A chave privada do EFS é criptografada por meio da "API de proteção de dados", CryptProtectData e CryptUnprotectData. Exatamente como essa API funciona é bem explicado no MSDN; O que posso colocar em um comentário aqui é o seguinte: a senha fornecida no login faz parte da entrada para a geração de chaves. Se você alterar seu pw, todos os segredos que você criptografou anteriormente com esta API serão digitados novamente com a nova senha. Mas se o software de terceiros (ou o administrador) mudar seu pw, isso não poderá ser feito e você perderá o acesso a segredos criptografados anteriormente. Consulte também "Agente de recuperação EFS".
Jamie Hanrahan
3
@JamieHanrahan - Isso pode justificar uma pergunta separada, mas é apenas uma pequena expansão para a pergunta original acima: Se, depois que a senha foi redefinida por ferramentas de terceiros, como acima, a senha original foi encontrada (lembrada), você efetuaria login (usando o "redefinir" a senha) e alterar a senha de volta para a senha original permite o acesso aos arquivos criptografados por EFS?
22816 Kevin Fegan