Cryptoshop Help! Cryptoshop Contact! Cryptoshop Memo! Cryptoshop Shopping Cart! Place your order! Change to german site!
+ Products
· · · · · · · · · · · · · · · · · · · · · · ·
+ Solution
· · · · · · · · · · · · · · · · · · · · · · ·
+ Knowledge Base
  Security Targets  
  Security Governance  
  Cryptography  
  Technology  
  Smart Card applications  
  Authentication  
  PKI  
  How to  
  SecureDoc - Screens etc.  
  User authentication  
  E-Mail Security  
  MS-Enterprise-CA  
  Secure WLAN  
  Web authentication  
  Remote Access  
  MS File-Encryption  
· · · · · · · · · · · · · · · · · · · · · · ·
+ Service
· · · · · · · · · · · · · · · · · · · · · · ·
     
Management
· · · · · · · · · · · · · · · · · · · · · · ·
Security Officer
· · · · · · · · · · · · · · · · · · · · · · ·
System Engineer
· · · · · · · · · · · · · · · · · · · · · · ·
Purchasing
· · · · · · · · · · · · · · · · · · · · · · ·
Maintenance
· · · · · · · · · · · · · · · · · · · · · · ·
 
 

EFS - recovery agent

Please note, that the Knowledge Base isn't translated to english completely at the moment. You will still find some german texts - we are translating permanently the outstanding parts! Thank you for understanding!

EFS - certificates
 
INFO & KNOWLEGDE
 
Jeder Benutzer oder Wiederherstellungsagent, der auf, mit EFS verschlüsselte, Informationen zugreifen will, benötigt ein EFS-Zertifikat. Dabei wird keine Zertifizierungsstelle zwingenderweise benötigt, so werden EFS - Zertifikate für Benutzer und Wiederherstellungsagent von EFS unbekümmert selbst ausgestellt, wenn keine Zertifizierungsstelle vorhanden ist.

EFS - Zertifikate ohne PKI
Auf Rechnern, die keiner Domäne angehören wird für den Benutzer völlig unsichtbar ein selbstsigniertes EFS-Zertifikat erstellt. Der Benutzer weiß somit nicht, dass er ein EFS-Zertifikat besitzt, auf welches er ab sofort gut aufpassen sollte. Verliert er den privaten Schlüssel auf dem Rechner oder vergisst er das Passwort, muss er auf den Wiederherstellungsagenten oder andere autorisierte Benutzer hoffen. Ab XP-Professional sind Wiederherstellungsagenten nicht zwingend vorgeschrieben.

Gehört der Rechner einer Domäne an, so kann mit servergespeicherten Profilen, und damit servergespeicherten Certificate Store zumindest eine gewisse Datensicherheit erzielt werden, das Passwortproblem bleibt ihm aber.

EFS - Zertifikate mit PKI
EFS sucht normalerweise zuerst eine Enterprise-CA, erst dann wird ein Zertifikat eigenmächtig ausgestellt. Die Anforderung eines EFS-Zertifikats gemäß der Zertifikatsvorlage für EFS geschieht über Autoenrollment, völlig unsichtbar für den Anwender. Ist keine EFS-Zertifikatsvorlage vorhanden schlägt das Enrollment fehl. Das ausgestellte EFS-Zertifikat wird auch im jeweiligen Active-Directory Benutzerkonto gespeichert. Bei Server 2003 mit Windows XP-Professional kann das Autoenrollment auch nach Gruppenrichtlinien passieren. So kann ein EFS-Zertifikat bei der ersten Anmeldung ausgestellt werden.

EFS - Zertifikatsvorlage für Autoenrollment
EFS versucht immer Zertifikate mit der EFS-Zertifikatsvorlage über Autoenrollment zu registrieren. Wenn eine bestimmte Vorlage (z.B. mit automatischer Schlüsselarchivierung) verwendet werden soll, sollte diese Vorlage die EFS-Vorlage komplett ersetzen, d.h. die bestehende Vorlage sollte auch von der Enterprise CA entfernt werden.

Für EFS ist eine Schlüsselarchivierung besonders wichtig - die automatische Schlüsselsicherung der Enterprise CA bietet eine effiziente Möglichkeit dafür. Neben der automatischen Schlüsselsicherung kann die Ausstellung eines EFS-Zertifikats mit einer individuellen Vorlage auch die Bedingung des Einlegens der persönlichen Smart Card gekoppelt werden. So wird Benutzern bewusst gemacht, dass Sie nun ein EFS-Zertifikat besitzen, andererseits können Benutzer ohne Smart Card besser von EFS ausgeschlossen werden, bei denen das Problem des Passwortverlustes sich auf den Verlust des privaten Schlüssels auswirkt. Die Speicherung des EFS-Zertifikats auf einer Smart Card ist nicht möglich.

EFS - Zertifikate von anderen CAs
Natürlich können auch andere CAs EFS-Zertifikate sowie EFS-Recovery Zertifikate ausgeben. Die Zertifikate müssen aber die korrekte Schlüsselverwendung (key usage) und Erweiterte Schlüsselverwendung (enhanced key usage) Erweiterungen definiert haben.

EFS Zertifikat benötigt als erlaubte Schlüsselverwendung, Schlüsselverschlüsselung (Key Encipherment) und Datenverschlüsselung (Data Encipherment) sowie Encrypting File System (1.3.6.1.4.1.311.10.3.4) in der erweiterten Schlüsselverwendung.

Linktipps
Externe Zertifizierungsstelle für EFS - MS Knowledge Base Artikel 273856


Back to previous page!Top of page!To the startpage of Cryptoshop.com!
  File Encryption  
  EFS - recovery agent  
  EFS - best practises  
  Certificates  
  Microsoft certificate extensions  
  Autoenrollment  
  MS-Enterprise-CA  
  Trust models  
  ITIL  
  ASN.1 and OID  
 
Legal notice Terms and Condtitions Consumer notice Privacy Newsletter Copyright © 2004 CRYPTAS. All rights reserved