web-dev-qa-db-ja.com

暗号化されたファイルを常に読み取れるように見える場合、Windowsの組み込みの暗号化は何をしますか?

Windowsシステムで証明書と暗号化をいじっていますが、機能していないか、機能する方法がわかりません。

ファイルを暗号化すると、名前が緑色に変わります。でも、プロンプトや何かなしで開くことができます。 「ファイルを暗号化したのと同じユーザーでログに記録され、電話に転送しましょう」と思ったので、電話でも問題なくファイルを開くことができました。

どうして?

10
eez0

Windows組み込みの暗号化は、ファイルシステムレベルで透過的に行われます。暗号化キーは、ログインパスワードで暗号化されたアカウントプロファイルに保存されます(このため、パスワードを変更すると警告が表示されます)。そのため、ログインするとキーのロックが解除され、暗号化されたファイルが使用可能になります。

暗号化と復号化はNTFSによって透過的に行われるため、暗号化テキストが実際に表示されることはありません。 NTFSに復号化キーがない場合、ファイルを読み取ることはできません。パーティションデータをそのまま読み取ることで暗号文を取得できますが、それを行うことには実際的な利点はありません。ファイルは、私が言及したキーを使用してのみ復号化できます。これは実際には表示されません。

Windowsではバックアップ暗号化キーを使用できます。ここで、選択した別のパスワードで暗号化されたキーをエクスポートします。これは、ディスクを別のコンピューターに挿入したり、Windowsを再インストールしたりする場合に便利です。しかし、それ以外ではあまり役に立ちません。

暗号化はファイルシステムに関連付けられているため、共有暗号化データ用に設計されていません。代わりに、あなたはファイルを保護していますファイルが置かれている場所あなたのコンピュータを手にした他の誰かから保護します。

誰かにファイルを転送するための暗号化されたコンテナーを作成する場合は、強力な暗号化をサポートする圧縮ツールをお勧めします。 7-Zipは素晴らしい選択です。

14
tylerl

暗号化キーはアカウントに関連付けられており、アカウントのパスワードを入力するとロックが解除されます。私の知る限り、ただしWindowsの専門家ではありません。「ロック解除」の意味は、WindowsのバージョンとTPMが利用できるかどうかによって異なりますが、パスワードを推測しないと暗号化キーを取得できないという考えがあります(そして、TPMでは、パスワードを使用しても別のマシンで取得することはできません)。

暗号化されたファイルへのアクセスは、オペレーティングシステムでは透過的です。暗号化されたファイルから読み取ろうとすると、そのファイルはオペレーティングシステムによって即座に復号化され(逆に書き込み時には暗号化されます)、アプリケーションが一部のファイルが暗号化されていることを意識する必要がなくなります。

ファイルを別のコンピューターにコピーすると、ファイルの内容がコピーされます。暗号文をコピーしても意味がありません。

別のアカウントがファイルを読み取れるようにファイルの権限を設定し、他のアカウントを介してファイルにアクセスしようとすることで、暗号化を観察できます。別のマシンにディスクをマウントするか、別のオペレーティングシステム(ライブLinuxシステムなど)を起動して、暗号化を確認できます。これらの場合、キーを使用できないため、データにアクセスできません。

暗号化によってもたらされるセキュリティプロパティは、ログインしていないときに誰かがあなたのコンピュータ(またはより正確にはあなたのコンピュータのディスク)を手に入れると、彼らがあなたのデータにアクセスできなくなることです(彼らがあなたのパスワードを推測できないと仮定します)。 。

それは完全に直感的ではありません。 「暗号化」は、ファイルがスクランブルされ、すべてのアクセス、すべての新しいアプリケーション、およびタイムアウトオプションの実装でパスワードが必要になることを意味します。セキュリティのレイヤーで銀行口座にログインするようなもので、しばらくすると自動的にログアウトします。

しかし、これは何が起こるかではありません。他の人が上で述べたように、復号化キーはログインに関連付けられており、ログインするとシステムレベルで自動的に使用されるため、ログインしている限り、どのファイルからでも以前と同じようにファイルにアクセスできますアプリケーションとパスワードのプロンプトやタイムアウトなし。基本的に、コンピューターのロックを解除したままにするか、同じアカウントで共有すると、ユーザーはファイルを読み取ることができます。

同じマシンの別のアカウントからフォルダ/ファイルにアクセスしようとすると、正しく実装されません。ファイルを開いて読み取ることはできませんが、実際にはディレクトリツリーを読んで、すべてのディレクトリとファイル名を読み取ることができます。例:「私の秘密の銀行口座.txt」または「私の弁護士への秘密の手紙.doc」。したがって、同じマシンの別のユーザーは、各ファイルに関連付けられているすべてのメタデータ(ドキュメント、画像、作成時など)を読み取ることにより、暗号化したアイテムの種類を正確に確認できます。

2
Andy Green

これは、ログイン時にデータがサーバーからローカルワークステーションにコピーされる「ローミングプロファイル」のような企業での使用に非常に役立ちます。ログインするユーザーごとに、独自のファイルを含む独自のプロファイルディレクトリがあります。

ファイルレベルの暗号化とは、誰かがマシンからディスクを取得した場合でも、そのマシンにログオンしたすべてのユーザーのプロファイルディレクトリの内容には、暗号化されたデータしか含まれないことを意味します。

エンタープライズ暗号化スキーム(Active Directoryを使用)には、「キーリカバリー」などの機能があり、仕事に戻らない場合や、パスワードを忘れて新しいパスワードセットが必要になった場合に、管理者がファイルを読み取ることができます。

これを企業外で使用する場合、それは優れたシステムではありません。 Windows SAMデータベースには、ログイン用のパスワードのハッシュがまだ含まれています。これは、オフライン攻撃からパスワードを保護する必要があるという弱点です。つまり、SAM DBをブルートフォースする

SAM DBを暗号化する方法はいくつかありますが、現時点では、TrueCrypt、Bitlocker、またはその他のディスク全体の暗号化スキームを使用する方がはるかに便利です。ファイルレベルの暗号化はWindowsで興味深いものですが、エンタープライズ環境以外での使用は見つかりませんでした。

2
mgjk

ここにいくつかの良い答えがあります。しかし、これをすべて単純にするのは、暗号化は、暗号化したときにログインしている現在のアカウントにリンクされているというだけです。そのマシンで新しいアカウントを作成してみてください。 (管理者アカウントでも)新しいアカウントにログインして、ファイルを確認します(システムから移動せずに、その場所にあります)。今すぐ読めませんか?あなたの電話の例で。システムからNTFS以外のドライブに移動すると、暗号化されていないバージョンが電話に移動します。もちろん今では誰でもそれを読むことができます。

2
Menace