it-swarm-id.com

Seberapa amankah enkripsi NTFS?

Seberapa aman data dalam folder NTFS terenkripsi pada Windows (XP, 7)?

(Opsi enkripsi di bawah file | folder -> properties -> advanced -> encrypt.)

Jika pengguna menggunakan kata sandi yang layak, dapatkah data ini didekripsi (dengan mudah?) Jika, katakanlah, berada di laptop dan itu dicuri?

32
Martin

Seberapa aman data dalam folder NTFS terenkripsi pada Windows (XP, 7)?

Apa itu EFS?

Folder pada NTFS dienkripsi dengan subset khusus dari NTFS yang disebut Encrypting File System (EFS). EFS adalah enkripsi tingkat file dalam NTFS. Folder sebenarnya adalah tipe file khusus yang menerapkan kunci yang sama untuk semua file dalam folder. NTFS pada format disk 3.1 dirilis dengan Windows XP. Windows 7 menggunakan NTFS pada format disk. Namun driver NTFS telah berubah dari 5.1 pada windows XP menjadi 6.1 pada Windows 7. Bit pada disk tidak berubah tetapi protokol untuk memproses bit ke dan dari disk telah menambahkan fitur dalam Windows 7.

Algoritma apa yang digunakannya?

Windows XP (tidak ada paket layanan): DES-X (default), Triple DES (tersedia))

Windows XP SP1 - Windows Server 2008: AES-256 simetris (default), DES-X (tersedia), Triple DES (tersedia))

Windows 7, Windows Server 2008 R2: "mode campuran" operasi ECC dan algoritma RSA

Ukuran kunci apa yang digunakan?

Windows XP dan Windows 2003: 1024-bit)

Windows Server 2003: 1024-bit (default), 2048-bit, 4096-bit, 8192-bit, 16384-bit

Windows Server 2008: 2048-bit (default), 1024-bit, 4096-bit, 8192-bit, 16384-bit

Windows 7, Windows Server 2008 R2 untuk ECC: 256-bit (default), 384-bit, 512-bit

Windows 7, Windows Server 2008 R2 untuk untuk AES, DES-X, Triple DES: RSA 1024-bit (standar), 2048-bit, 4096-bit, 8192-bit, 16384-bit;

Bagaimana kunci enkripsi dilindungi?

File Encryption Key (FEC) dienkripsi dengan kunci publik RSA pengguna dan dilampirkan ke file yang dienkripsi.

Bagaimana kunci pribadi RSA pengguna dilindungi?

Kunci pribadi RSA pengguna dienkripsi menggunakan hash hash kata sandi NTLM pengguna ditambah nama pengguna.

Bagaimana kata sandi pengguna dilindungi?

Kata sandi pengguna di-hash dan disimpan dalam file SAM.

Jadi, Jika seorang penyerang bisa mendapatkan salinan file SAM mereka mungkin dapat menemukan kata sandi pengguna dengan serangan tabel Rainbow.

Dengan nama pengguna dan kata sandi, penyerang dapat mendekripsi kunci pribadi RSA. Dengan kunci pribadi RSA, penyerang dapat mendekripsi setiap FEC disimpan dengan file apa pun yang dienkripsi dan mendekripsi file tersebut.

Begitu...

Konten folder terenkripsi sama amannya dengan kata sandi pengguna.

Jika pengguna menggunakan kata sandi yang layak, dapatkah data ini didekripsi (dengan mudah?) Jika, katakanlah, berada di laptop dan itu dicuri?

Mungkin bukan oleh musuh dengan komputer pribadi tipikal. Namun, dengan sumber daya yang memadai, seperti GPU atau sistem peretas kata sandi FPGA, data EFS mungkin rentan dalam waktu singkat.

Kata sandi acak 12 karakter (bawah atas dan simbol) dapat bertahan selama berminggu-minggu atau berbulan-bulan terhadap sistem peretas kata sandi. Lihat "Kekuatan Unit Pemrosesan Grafik Dapat Mengancam Keamanan Kata Sandi" Kata sandi yang lebih lama mungkin bertahan selama bertahun-tahun atau beberapa dekade.

39
this.josh

Ini sama amannya dengan kata sandi terlemah untuk setiap akun yang dapat mengakses file. Jika kata sandi itu "7XhqL3w0, DBC1y" itu praktis kebal. Jika "il0veu", mungkin juga tidak dienkripsi sama sekali.

7
David Schwartz

jawaban singkat ...

Ya, EFS aman jika (dan hanya jika) kata sandi akun pengguna yang diberikan tidak sepele.

namun ...

Ada solusi yang lebih baik, seperti FDE dengan kartu pintar + PIN atau TPM (plus PIN dan/atau token). Terlalu sering, enkripsi dianggap tidak berguna b/c dari kata sandi yang dipilih dengan buruk, jadi hal di atas memperbaiki itu. Selanjutnya, FDE memecahkan masalah sisa-sisa file yang ditemukan di folder temp, paging atau file hibernasi, dll.

EDIT: Sebagai tanggapan terhadap komentar pengguna ...

FDE = enkripsi disk lengkap, di mana seluruh disk atau bagian penting (mis., Disk tidak termasuk komponen boot tertentu) dienkripsi melalui implementasi berbasis perangkat keras atau perangkat lunak

TPM = modul platform tepercaya, merujuk pada chip yang dirusak, tahan-rusak yang digunakan untuk menyimpan informasi kriptografi

1
Garrett

Kata sandi adalah bagian terlemah dari sistem. Anda harus memiliki kata sandi yang sangat panjang (lebih dari 14 karakter) dan sangat acak untuk mencegahnya diretas.

Bagian lainnya aman. Kunci pribadi dan kunci enkripsi keduanya tidak dapat dipecahkan dengan teknologi saat ini.

Masih ada cara untuk mengatasi ini. Misalnya, seseorang mungkin menginstal keylogger USB antara keyboard dan mesin Anda, dan mencuri kata sandi Anda dengan cara itu.

1

Menggunakan AES-256 di XP, dan ECC di Windows 7 Tetapi jika seseorang menguasai mesin Anda dan dapat memecahkan kata sandi Anda, mereka dapat mengakses file Anda. Jadi lebih baik daripada tidak sama sekali, tetapi hanya nyaris.

0
devnul3

Ingatlah bahwa kunci untuk mengukur keamanan bukan hanya entropi kata sandi, tetapi tautan terlemah dalam rantai. Dalam hal ini, keamanan fisik komputer berperan sebagai tambahan jika mesin berada di domain windows.

Cukup sepele untuk mengatur ulang kata sandi windows menggunakan Trinity asalkan Anda dapat memasang DVD di drive dan mem-boot ulang mesin. Tautan terlemah berikutnya adalah administrator lain di jaringan domain windows yang dapat dengan mudah mengatur ulang kata sandi Anda dan mendapatkan akses ke file.

0
Michael Brown