[Données cryptées] - Décrypter les données

Le
Stéphane
Bonjour,

Le système d'xploitation ne redémarrant plus (plantage au démarrage avec
pour unique message "Redémarrage du programme d'installation.."), comment
faire pour décrypter les données sachant que nous pouvons récupérer le
certificat sans la clé privée.
Le poste n'est pas formaté et est accessible depuis un autre poste en disque
secondaire.
La clé privée est stockée dans le dossier d'origine
c:d&s<username>application datamicrosoftcryptosa
Comment faire pour pouvoir récupérer tout cela ?
Est-ce possible ?

Merci
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jean-Claude BELLAMY
Le #16594631
"Stéphane" news:
Bonjour,

Le système d'xploitation ne redémarrant plus (plantage au démarrage avec
pour unique message "Redémarrage du programme d'installation....."),
comment faire pour décrypter les données sachant que nous pouvons
récupérer le certificat sans la clé privée.
Le poste n'est pas formaté et est accessible depuis un autre poste en
disque secondaire.




Pour commencer, est-ce bien de chiffrement (EFS) que tu parles ?
Et non pas d'un simple problème de droits NTFS ?
Car il est normal de ne pas pouvoir accéder à des fichiers (sur une
partition NTFS) créés sosu des comptes provenants d'une autre installation
de Windows. Cela se résoud facilement, en se plaçant sous un compte admin,
et en modifiant propriétaire et permissions des fichiers.
cf. : http://www.bellamyjc.org/fr/windowsnt.html#pbaccesfichiers

Par contre, s'il s'agit réellement de fichiers chiffrés sous W2K, XP PRO,
Vista PRO et+ (EFS n'est pas disponible sous XP HOME ni sous VISTA HOME), à
l'aide du système EFS (Encryption File System), çà se complique
sérieusement!
Surtout si le certificat du compte concerné n'a pas été exporté (sous forme
de fichier .pfx)
http://www.bellamyjc.org/fr/cryptobackup.html#savekey

Si c'est le cas, la restauration du certificat s'effectue simplement :
http://www.bellamyjc.org/fr/cryptobackup.html#restorekey


La clé privée est stockée dans le dossier d'origine
c:d&s<username>application datamicrosoftcryptorsa
Comment faire pour pouvoir récupérer tout cela ?
Est-ce possible ?


J'avoue ne pas avoir tenté la manip par simple déplacement des fichiers
La clef privée est effectivement dans
%userprofile%Application DataMicrosoftCryptoRSA

Mais il faut aussi disposer de la clef publique qui est dans
%userprofile%Application DataMicrosoftSystemCertificatesMyCertificates
Le nom du fichier est l'empreinte numérique (hachage SHA1) du certificat

Sans oublier la clef maître générée (par hachage HMAC et SHA1) à partir du
mot de passe du compte utilisateur, et stockée dans un fichier situé dans le
dossier :
%userprofile%Application DataMicrosoftProtect<SID du compte>

Donc il faut connaitre l'ancien SID du compte concerné.
Comme l'OS concerné est HS, i lva falloir effecteur un peu d'égyptologie en
chargeant l'ancienne ruche SOFTWARE (par un montage de ruche dans REGEDIT)
et en explorant la clef
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionProfileList
Chaque sous-clef est constituée du SID de chque compte ayant déjà ouvert une
session.
En examinant l'entrée "ProfileImagePath", on aura une idée du compte
associé.
P.ex. chez moi, la sous-clef
"S-1-5-21-1420310947-1396398934-1028468698-1001" a une entrée
"ProfileImagePath" qui contient la chaine "C:UsersBELLAMY" (je suis sous
VISTA)

cf. http://www.bellamyjc.org/fr/cryptogen.html#mécanisme





--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr
Publicité
Poster une réponse
Anonyme