Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Как описано в ресурскитном хелпе 08.01.04 13:16 Число просмотров: 2883
Автор: amirul <Serge> Статус: The Elderman
|
> Собс-но, я так и думал:). Надо понимать, ты бы хотел
> привязку ключей шифрования к паролям пользователей сделать?
http://www.microsoft.com/windows2000/techinfo/reskit/en-us/default.asp?url=/windows2000/techinfo/reskit/en-us/distrib/dsck_efs_ocse.asp
Ага. Для каждого файла генерится рандомный FEK (file encryption key), который криптуется ключами из сертификатов юзеров, которые смогут этот файл читать (и это все добавляется к заголовку файла), а сами сертификаты криптуются мастер ключем (который у каждого пользователя один), а мастер ключ криптуется хешем из SID-а, пароля и еще чего то там. Это описано самими мелкософтовцами. Насколько я понимаю, РЕАЛЬНАЯ реализация "слегка" отличается от заявленной в хелпе :-)
> А не получится - возникнут проблемы при смене пароля
> например. Так что тут вряд ли можно сделать что-то лучше
> чем есть.
При смене пароля из "Users and Passwords" апплета - спрашивается старый пароль: просто master key расшифровывается и зашифровывается новым паролем - больше ничего менять не надо, все сертификаты остаются на месте. А при СБРОСЕ пароля из Computer Management-а, винда заявляет, что все EFS разделы потеряются.
> Единственная тупость MS в данном случае - это как обычно
> недоделанность(а доделывают только в следующей версии - в
Я попробовал пояснить мысль. Тупость не только в недоделанности, даже не столько в ней, сколько в ПОЛНОМ несоотвествии реализации описанию. И как после этого доверять ОС-ям от такого производителя? :-)
> XP и дальше) - это по поводу привязки EFS к Administrator'у
> (где-то читал что если его из Recovery agents в 2К удалить,
> то EFS перестает вообще работать - сам не проверял:) ).
> Если хочется менее ущербное EFS - ставь XP:) - хотя и там
> все будет читаться сбросом пароля соответствующего
> пользователя(который зашифровал). Но уж если на то пошло -
> то при физическом доступе к компу(сброс пароля) -
> теоретически вообще можно сделать все, что угодоно, так:)?
Не совсем: например к нормальным реализациям от третьих сторон (зашифрованные контейнеры) можно получить доступ ТОЛЬКО узнав пароль. Узнать его можно ректотермальным криптоанализом (паяльник в Ж), кейлоггером, брутфорсом или еще чем нить. Но пароль знать ОБЯЗАТЕЛЬНО.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
