Cryptage EFS avec un certificat quelconque

Le
Nicolas B.
Bonjour à tous,

Je souhaite utiliser le cryptage EFS de Windows en cryptant mes données
avec un certificat délivré par une autorité de certification.

J'ai alors les deux problèmes suivants :

1. Clic droit sur un fichier crypté, bouton Avancé puis bouton Détails.
Dans la liste "Utilisateurs pouvant accéder à ce fichier", je veux
rajouter mon certificat. Une fois le certificat sélectionné, quand je
clique sur OK, j'ai le message :
"Une chaine de certificat a été traitée mais s'est terminée par un
certificat racine qui n'est pas approuvé par le fournisseur d'approbation."
Pour régler ce problème, il me suffit de rajouter l'autorité de
certification comme autorité principale de confiance (dans Internet
Explorer). Mais le problème est que je ne veux pas faire confiance à
cette autorité. En fait je voudrais faire confiance uniquement au
certificat que j'essaie d'utiliser.

2. Une fois l'AC ajoutée aux autorités de confiance (ce que je
préfèrerais éviter), en refaisant les manipulations précédentes, j'ai
cette fois le message :
"La fonction de révocation n'a pas pu vérifier la révocation car le
serveur de révocation était déconnecté."
Bon Retour dans les options d'IE, cette fois pour décocher dans
l'onglet Avancé la case "Vérifier la révocation des certificats de
l'éditeur". Mais le message persiste.

Connaissez-vous des solutions à ce genre de problèmes ?

Merci,


Nicolas
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jean-Claude BELLAMY
Le #6600891
"Nicolas B." de news:
Bonjour à tous,

Je souhaite utiliser le cryptage EFS de Windows en cryptant mes données
avec un certificat délivré par une autorité de certification.
Que veux-tu faire EX-AC-TE-MENT ?


Créer un DRA (Agent de récupération de données) à partir d'un serveur de
domaine?
Ajouter un autre utilisateur pouvant accéder à un fichier déjà chiffré ?

COMMENT a été créé ce certificat ?

Car ce n'est pas n'importe quel certificat qui peut servir au chiffrement
EFS !
cf. http://www.bellamyjc.org/fr/cryptoagent.html#compdomain

Est-ce que l'opération d'ajout de compte est bien effectuée sous le compte
ayant chiffré le ficheir la 1ère fois ?

cf. http://www.bellamyjc.org/fr/cryptopratique.html#ajout

J'ai alors les deux problèmes suivants :

1. Clic droit sur un fichier crypté, bouton Avancé puis bouton Détails.
Dans la liste "Utilisateurs pouvant accéder à ce fichier", je veux
rajouter mon certificat. Une fois le certificat sélectionné, quand je
clique sur OK, j'ai le message :
"Une chaine de certificat a été traitée mais s'est terminée par un
certificat racine qui n'est pas approuvé par le fournisseur
d'approbation."


Normal si le certificat provient "d'ailleurs" !

Pour régler ce problème, il me suffit de rajouter l'autorité de
certification comme autorité principale de confiance (dans Internet
Explorer). Mais le problème est que je ne veux pas faire confiance à cette
autorité.
On ne peut pas avoir le beurre, l'argent du beurre, et les "faveurs" de la

crémière !

En fait je voudrais faire confiance uniquement au certificat que j'essaie
d'utiliser.


C'est ABSURDE !
Quand on fait confiance à un certificat, on doit faire FORCÉMENT confiance
aux autorités ayant délivéré le dit certificat !


2. Une fois l'AC ajoutée aux autorités de confiance (ce que je préfèrerais
éviter), en refaisant les manipulations précédentes, j'ai cette fois le
message :
"La fonction de révocation n'a pas pu vérifier la révocation car le
serveur de révocation était déconnecté."
Bon... Retour dans les options d'IE, cette fois pour décocher dans
l'onglet Avancé la case "Vérifier la révocation des certificats de
l'éditeur". Mais le message persiste.

Connaissez-vous des solutions à ce genre de problèmes ?


Sois plus précis, ne cache rien, explique comment tu as créé le dit
certificat, ...
Pour l'instant, il y a trop de zônes d'ombre ...

Et fais un tour sur mon site, en lisant le chapitre complet consacré à EFS !
http://www.bellamyjc.org/fr/crypto.html (et documents dérivés)



--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org

Nicolas B.
Le #6604041
Bonjour et merci pour ta réponse,


Bon, voilà plus de détails sur mon problème :


Que veux-tu faire EX-AC-TE-MENT ?


J'ai déjà un certificat (délivré par CAcert) pour mes emails. Dans la
liste de ses rôles, il permet aussi de "Crypter des données sur le
disque". Je souhaite utiliser ce certificat pour crypter le contenu
d'une clé USB et je voudrais qu'en cas de crash de l'ordinateur ou autre
malheur, il me suffise d'avoir une sauvegarde de ce certificat (et rien
d'autre) pour retrouver mes données.


Créer un DRA (Agent de récupération de données) à partir d'un serveur
de domaine?
Ajouter un autre utilisateur pouvant accéder à un fichier déjà
chiffré ?


Dans les essais que j'ai fait, je tentais d'ajouter un utilisateur en
sélectionnant le certificat CAcert (qui n'est a priori pas associé à
utilisateur).

J'ai lu le chapitre sur EFS de votre site (c'est très détaillé !) et
d'après ce que j'ai compris, la différence entre un DRF et un DDF est
que le DDF permet de décrypter un fichier uniquement à partir du compte
auquel il est associé ?
Dans ce cas, c'est bien un DRA qu'il faut que je crée, car je veux que
mes données cryptées ne soient liées qu'à un certificat numérique, et
pas à un compte d'utilisateur. Mais est-ce que je peux utiliser mon
certificat pour le DRA ?


Est-ce que l'opération d'ajout de compte est bien effectuée sous le
compte ayant chiffré le ficheir la 1ère fois ?


Oui.


En fait je voudrais faire confiance uniquement au certificat que
j'essaie d'utiliser.


C'est ABSURDE !
Quand on fait confiance à un certificat, on doit faire FORCÉMENT
confiance aux autorités ayant délivéré le dit certificat !


Pas absurde : mon certificat CAcert, je sais que c'est le mien.
Je lui fait confiance. Mais les certificats délivrés par CAcert à
d'autres utilisateurs ne sont pas forcément sûrs vu la politique de
certification qu'ils appliquent. Les seuls que je considère comme sûrs
sont ceux dont j'ai vérifié l'"authenticité du propriétaire" par
moi-même. Dans la plupart des logiciels de messagerie, il est possible
de faire confiance à un certificat indépendamment de l'autorité de
certification (d'ailleurs, il n'y en a même pas besoin), donc je pense
que ça doit être possible aussi dans Windows.

En fait, la façon dont j'utilise les certificats gratuits CAcert,
Thawte, etc. est proche de celle de GnuPG pour qui il n'y a pas vraiment
d'"autorité de certification" : On vérifie soit-même les certificats des
gens avec lesquels on communique et on signe les certificats auxquels on
choisit de faire confiance. Il n'y a plus qu'à sélectionner une
"confiance absolue" à sa propre signature (finalement, dans GnuPG,
l'autorité de certification, c'est moi :-).


Bonne soirée,


Nicolas

"Nicolas B." message de news:
Bonjour à tous,

Je souhaite utiliser le cryptage EFS de Windows en cryptant mes
données avec un certificat délivré par une autorité de certification.
Que veux-tu faire EX-AC-TE-MENT ?


Créer un DRA (Agent de récupération de données) à partir d'un serveur de
domaine?
Ajouter un autre utilisateur pouvant accéder à un fichier déjà chiffré ?

COMMENT a été créé ce certificat ?

Car ce n'est pas n'importe quel certificat qui peut servir au
chiffrement EFS !
cf. http://www.bellamyjc.org/fr/cryptoagent.html#compdomain

Est-ce que l'opération d'ajout de compte est bien effectuée sous le
compte ayant chiffré le ficheir la 1ère fois ?

cf. http://www.bellamyjc.org/fr/cryptopratique.html#ajout

J'ai alors les deux problèmes suivants :

1. Clic droit sur un fichier crypté, bouton Avancé puis bouton
Détails. Dans la liste "Utilisateurs pouvant accéder à ce fichier", je
veux rajouter mon certificat. Une fois le certificat sélectionné,
quand je clique sur OK, j'ai le message :
"Une chaine de certificat a été traitée mais s'est terminée par un
certificat racine qui n'est pas approuvé par le fournisseur
d'approbation."


Normal si le certificat provient "d'ailleurs" !

Pour régler ce problème, il me suffit de rajouter l'autorité de
certification comme autorité principale de confiance (dans Internet
Explorer). Mais le problème est que je ne veux pas faire confiance à
cette autorité.
On ne peut pas avoir le beurre, l'argent du beurre, et les "faveurs" de

la crémière !

En fait je voudrais faire confiance uniquement au certificat que
j'essaie d'utiliser.


C'est ABSURDE !
Quand on fait confiance à un certificat, on doit faire FORCÉMENT
confiance aux autorités ayant délivéré le dit certificat !


2. Une fois l'AC ajoutée aux autorités de confiance (ce que je
préfèrerais éviter), en refaisant les manipulations précédentes, j'ai
cette fois le message :
"La fonction de révocation n'a pas pu vérifier la révocation car le
serveur de révocation était déconnecté."
Bon... Retour dans les options d'IE, cette fois pour décocher dans
l'onglet Avancé la case "Vérifier la révocation des certificats de
l'éditeur". Mais le message persiste.

Connaissez-vous des solutions à ce genre de problèmes ?


Sois plus précis, ne cache rien, explique comment tu as créé le dit
certificat, ...
Pour l'instant, il y a trop de zônes d'ombre ...

Et fais un tour sur mon site, en lisant le chapitre complet consacré à
EFS !
http://www.bellamyjc.org/fr/crypto.html (et documents dérivés)



--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org




Jean-Claude BELLAMY
Le #6610241
"Nicolas B." de news:O5$
Bonjour et merci pour ta réponse,
Bon, voilà plus de détails sur mon problème :
J'ai déjà un certificat (délivré par CAcert) pour mes emails. Dans la
liste de ses rôles, il permet aussi de "Crypter des données sur le
disque".


Je commence à mieux comprendre le pb !!! .....

Je souhaite utiliser ce certificat pour crypter le contenu d'une clé USB
et je voudrais qu'en cas de crash de l'ordinateur ou autre malheur, il me
suffise d'avoir une sauvegarde de ce certificat (et rien d'autre) pour
retrouver mes données.
[...]
Dans les essais que j'ai fait, je tentais d'ajouter un utilisateur en
sélectionnant le certificat CAcert (qui n'est a priori pas associé à
utilisateur).

J'ai lu le chapitre sur EFS de votre site (c'est très détaillé !) et
d'après ce que j'ai compris, la différence entre un DRF et un DDF est que
le DDF permet de décrypter un fichier uniquement à partir du compte auquel
il est associé ?
OUI

DRF (Data Recovery Field) et DDF (Data Decryption Field) contiennent chacun
un chiffrement de la clef symétrique qui a servi au chiffrement du fichier,
chaque chiffrement ayant été effectué respectivement :
- par la clef publique du certificat de l'agent de récupération
- par la clef publique du certificat de l'utilisateur
Donc pour recouvrer la clef symétrique, il suffira :
- de déchiffrer le DRF avec la clef privée du certificat de l'agent de
récupération
OU
- de déchiffrer le DDF avec la clef privée du certificat de
l'utilisateur

NB: sous XP et au delà, il peut y avoir PLUSIEURS DDF ! (= plusieurs
utilisateurs pouvant déchiffrer le fichier)
http://www.bellamyjc.org/fr/cryptopratique.html#ajout
[...]

Afin de pouvoir résoudre ton pb, je me suis fait créer un certificat par
CAcert.

Et j'ai compris ce qui bloquait chez toi !
Le processus de chiffrement EFS n'arrive pas à se connecter au serveur de
révocation
(NB : le serveur de CaCERT est assez pourri au niveau connexions !!!)

Dans ce cas, il faut INSTALLER "off line" la CRL ("Certificates Revocation
List") de ce serveur.

Or CAcert a du prévoir le coup, car il la met bien gentiment à disposition
des utilisateurs, il suffit de fouiller un peu, ce que j'ai fait !

Sur la page https://www.cacert.org/index.php?id=3, dans le paragraphe
"Classe 1 Clé PKI", il y a un lien "CRL"

C'est le fichier https://crl.cacert.org/revoke.crl
(1 736 668 octets)

Tu places ce fichier n'importe où de préférence, et depuis l'explorateur,
clic droit, menu "Installer la liste de révocation des certificats". Cela
prend un certain temps, ne t'inquiète pas.

Et là, ÔÔÔÔ joie immense et profonde, tu pourras ajouter sans problème ce
certificat dans le chiffrement de tes fichiers !!!
Je l'ai fait :
http://cjoint.com/?fnuPEYgYrC


Alors, elle est pas elle, la Vie ? ;-)

--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org

Nicolas B.
Le #6611571
MAGNIFIQUE !

Ce marche bien en installant la CRL.
J'aurais jamais pensé à l'installer à la main...

Vraiment : merci et bravo !


Nicolas

[...]

Afin de pouvoir résoudre ton pb, je me suis fait créer un certificat par
CAcert.

Et j'ai compris ce qui bloquait chez toi !
Le processus de chiffrement EFS n'arrive pas à se connecter au serveur
de révocation
(NB : le serveur de CaCERT est assez pourri au niveau connexions !!!)

Dans ce cas, il faut INSTALLER "off line" la CRL ("Certificates
Revocation List") de ce serveur.

Or CAcert a du prévoir le coup, car il la met bien gentiment à
disposition des utilisateurs, il suffit de fouiller un peu, ce que j'ai
fait !

Sur la page https://www.cacert.org/index.php?id=3, dans le paragraphe
"Classe 1 Clé PKI", il y a un lien "CRL"

C'est le fichier https://crl.cacert.org/revoke.crl
(1 736 668 octets)

Tu places ce fichier n'importe où de préférence, et depuis
l'explorateur, clic droit, menu "Installer la liste de révocation des
certificats". Cela prend un certain temps, ne t'inquiète pas.

Et là, ÔÔÔÔ joie immense et profonde, tu pourras ajouter sans problème
ce certificat dans le chiffrement de tes fichiers !!!
Je l'ai fait :
http://cjoint.com/?fnuPEYgYrC


Alors, elle est pas elle, la Vie ? ;-)

--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org



Publicité
Poster une réponse
Anonyme