Cryptage NTFS et securité

Le
Le chat de personne
Bonjour

- Si je crypte une partition NTFS et que quelqu'un supprime le mot de
passe de la session par un outil qu'on trouve sur le net, a t il acces
a ces donnees ou bien ces donnees sont elle crypter avec le mot de
passe de la session et que le changement du mot de passe necessite un
recryptage ?

- Autre question, qu'en est il du dossier systeme ? Est il possible de
le proteger entierement, ou bien le cryptage a t il une limite a ce
niveau ?

Merci de vos lumiere




Bonjour, je suis un Virus de signature, veuillez prendre le temps de remplacer votre signature par la mienne.
Vos réponses
Trier par : date / pertinence
Fabrice [MVP]
Le #1316411
"Le chat de personne" message de news:
Bonjour

- Si je crypte une partition NTFS et que quelqu'un supprime le mot de
passe de la session par un outil qu'on trouve sur le net, a t il acces
a ces donnees ou bien ces donnees sont elle crypter avec le mot de
passe de la session et que le changement du mot de passe necessite un
recryptage ?

- Autre question, qu'en est il du dossier systeme ? Est il possible de
le proteger entierement, ou bien le cryptage a t il une limite a ce
niveau ?

Merci de vos lumiere




Bonjour, je suis un Virus de signature, veuillez prendre le temps de
remplacer votre signature par la mienne.

Bonjour,


On ne peux pas crypter les fichiers system de Windows.
Et c'est LOGIQUE, car au moment ou Windows démarre, il ne sais pas que tel
ou tel utilisateur va utiliser XP... quand il démarre, c'est SYSTEM
l'utilisateur !!!!
Donc, imaginons que cela serais crypté et bien votre PC ne saurais pus
démarrer.

Ensuite, si une personne change le mot de passe de votre session, depuis une
autres session ou depuis un outils, il n'est plus possible d'avoir accès à
vos données crypté.
Il faut IMPERATIVEMENT réinstaller le certificat que vous AVEZ pris soins de
sauvegarder avant !!!
C'est donc pas un chiffrement supplémentaire qu'il faut, mais un accès grâce
au certificat !

Fabrice
Microsoft MVP
http://www.fab3d.fr.st
Faq Windows XP :
http://a.vouillon.online.fr/faq-winxp.htm

Jean-Claude BELLAMY
Le #1314699
Dans le message :,
Le chat de personne d'écrire ce qui suit :
Bonjour

- Si je crypte une partition NTFS et que quelqu'un supprime le mot de
passe de la session par un outil qu'on trouve sur le net,
Allez, dis-le, ne fais pas ta chochotte !!!

Ce n'est pas illégal ...
Donc ne joue pas au "politically correct" yankee, il n'y a rien de plus
énervant ! ;-)

C'est l'outil de Petter Nordhal, sous LINUX, que je commente sur mon site
http://www.bellamyjc.org/fr/pwdnt.html

a t il acces a ces donnees
NON!

Et si aucun agent de récupération n'a été créé auparavant, c'est
définitivement fichu pour accéder aux fichiers !!!
cf. http://www.bellamyjc.org/fr/cryptoagent.html#useDRA
(en particulier la boite de dialogue
http://www.bellamyjc.org/gif/efs/modifpwd1.jpg)

SEUL le compte utilisateur qui a chiffré des données peut changer SON PROPRE
mot de passe sans que cela crée une nuisance sur ses chiffrements.
cf.
http://www.bellamyjc.org/gif/efs/modifpwdcpl.jpg

Il y a en effet reconstitution du certificat de chiffrement, avec
intégration du nouveau mot de passe


ou bien ces donnees sont elle crypter avec le mot de
passe de la session
OUI

http://www.bellamyjc.org/fr/cryptogen.html#processus

La clef privée contenue dans le fichier %userprofile%Application
DataMicrosoftCryptoRSA est chiffrée avec une clef de session, elle même
dérivée d'une clef "maître" de 512 bits, laquelle est générée (par hachage
HMAC et SHA1) à partir du mot de passe du compte utilisateur, et est stockée
dans un fichier situé dans le dossier %userprofile%Application
DataMicrosoftProtect<SID du compte>

et que le changement du mot de passe necessite un
recryptage ?


Comme je l'ai dit plus haut, si le changement de mot de passe n'a pas été
effectué par l'utilisateur lui-même, et s'il n'y a pas de DRA, cela ne
servira à rien, car on ne pourra plus déchiffrer les fichiers pour les
rechiffrer !

Et si le changement de mot de passe a été effectué par l'utilisateur, il n'y
a pas besoin de le faire, les fichiers chiffrés auparavant restent chiffrés,
et sont toujours accessibles, car le certificat qui permet de récupérer la
clef privée (qui est utilisée dans le chiffrement) a été modifié en
conséquence, prenant en compte le nouveau mot de passe.


- Autre question, qu'en est il du dossier systeme ? Est il possible de
le proteger entierement, ou bien le cryptage a t il une limite a ce
niveau ?
Il est INTERDIT de chiffrer :

- tout ou partie de l'arborescence %SYSTEMROOT%
- un répertoire racine ("C:", "F:", "Z:", ...)

Je t'invite fortement à TOUT lire de mon dossier consacré à EFS !!!
http://www.bellamyjc.org/fr/crypto.html


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr

Le chat de personne
Le #1314679
On Fri, 1 Dec 2006 09:02:46 +0100, "Jean-Claude BELLAMY"

Dans le message :,
Le chat de personne d'écrire ce qui suit :
Bonjour

- Si je crypte une partition NTFS et que quelqu'un supprime le mot de
passe de la session par un outil qu'on trouve sur le net,
Allez, dis-le, ne fais pas ta chochotte !!!

Ce n'est pas illégal ...
Donc ne joue pas au "politically correct" yankee, il n'y a rien de plus
énervant ! ;-)

C'est l'outil de Petter Nordhal, sous LINUX, que je commente sur mon site
http://www.bellamyjc.org/fr/pwdnt.html


Oui ;o))

a t il acces a ces donnees
NON!



OK
Bon a savoir

Et si aucun agent de récupération n'a été créé auparavant, c'est
définitivement fichu pour accéder aux fichiers !!!
cf. http://www.bellamyjc.org/fr/cryptoagent.html#useDRA
(en particulier la boite de dialogue
http://www.bellamyjc.org/gif/efs/modifpwd1.jpg)

SEUL le compte utilisateur qui a chiffré des données peut changer SON PROPRE
mot de passe sans que cela crée une nuisance sur ses chiffrements.
cf.
http://www.bellamyjc.org/gif/efs/modifpwdcpl.jpg

Il y a en effet reconstitution du certificat de chiffrement, avec
intégration du nouveau mot de passe


ou bien ces donnees sont elle crypter avec le mot de
passe de la session
OUI

http://www.bellamyjc.org/fr/cryptogen.html#processus

La clef privée contenue dans le fichier %userprofile%Application
DataMicrosoftCryptoRSA est chiffrée avec une clef de session, elle même
dérivée d'une clef "maître" de 512 bits, laquelle est générée (par hachage
HMAC et SHA1) à partir du mot de passe du compte utilisateur, et est stockée
dans un fichier situé dans le dossier %userprofile%Application
DataMicrosoftProtect<SID du compte>

et que le changement du mot de passe necessite un
recryptage ?


Comme je l'ai dit plus haut, si le changement de mot de passe n'a pas été
effectué par l'utilisateur lui-même, et s'il n'y a pas de DRA, cela ne
servira à rien, car on ne pourra plus déchiffrer les fichiers pour les
rechiffrer !

Et si le changement de mot de passe a été effectué par l'utilisateur, il n'y
a pas besoin de le faire, les fichiers chiffrés auparavant restent chiffrés,
et sont toujours accessibles, car le certificat qui permet de récupérer la
clef privée (qui est utilisée dans le chiffrement) a été modifié en
conséquence, prenant en compte le nouveau mot de passe.


- Autre question, qu'en est il du dossier systeme ? Est il possible de
le proteger entierement, ou bien le cryptage a t il une limite a ce
niveau ?
Il est INTERDIT de chiffrer :

- tout ou partie de l'arborescence %SYSTEMROOT%
- un répertoire racine ("C:", "F:", "Z:", ...)

Je t'invite fortement à TOUT lire de mon dossier consacré à EFS !!!
http://www.bellamyjc.org/fr/crypto.html


Sur ton site tu dis que "Il ne faut surtout pas renommer ni déplacer
ces dossiers, car le système serait incapable de retrouver les clefs
!"
Etant donnee que ces dossiers sont dans la bdr, est il possible de
modifier cette bdr pour indiquer un autre lecteur ou support, clé usb
par exemple ?

Autre question :
Est ce que le cryptage-decryptage a une grosse influence sur les
performance de XP ? Le % de travail en plus en le meme quelque soit la
taille du fichier ? Et de combien est il environ ?


Jean-Claude BELLAMY
Le #1314674
Dans le message :,
Le chat de personne d'écrire ce qui suit :
On Fri, 1 Dec 2006 09:02:46 +0100, "Jean-Claude BELLAMY"

[...]
La clef privée contenue dans le fichier %userprofile%Application
DataMicrosoftCryptoRSA est chiffrée avec une clef de session,
elle même dérivée d'une clef "maître" de 512 bits, laquelle est
générée (par hachage HMAC et SHA1) à partir du mot de passe du
compte utilisateur, et est stockée dans un fichier situé dans le
dossier %userprofile%Application DataMicrosoftProtect<SID du
compte>
[...]

Sur ton site tu dis que "Il ne faut surtout pas renommer ni déplacer
ces dossiers, car le système serait incapable de retrouver les clefs
!"
Oui, je parle des fichiers et dossiers relatifs aux certificats, clefs

publique et surtout privée.

Etant donnee que ces dossiers sont dans la bdr,
??????????????????????????????????????????????????????????????????

??????????????????????????????????????????????????????????????????

Où es-tu allé IMAGINER cette divagation surréaliste ?

JAMAIS je n'ai dit ou écrit que les certificats sont dans la BDR !
Tu as trop abusé d'une mauvaise moquette ce matin, mon gars ! ;-)
RELIS ce que j'ai écrit, scrogneugneu !
http://www.bellamyjc.org/fr/cryptogen.html#processus

La BDR , dans la ruche SAM, contient sous forme chiffrée (par hachage) les
mots de passe de comptes, c'est TOUT !
Par "hachage" j'entends qu'il est IMPOSSIBLE de retrouver le mot de passe en
clair à partir du mot chiffré.
Quand un utilisateur veut ouvrir une session, il saisit son mot de passe (en
clair) lequel est haché avec le MÊME algorithme qu'au moment de la
définition initiale du mot de passe, et le système COMPARE les résultats de
hachage (celui stocké dans la SAM et celui qui vient d'être calculé).
S'ils sont identiques, c'est que le mot de passe saisi est le bon.
Il peut se produire ce qu'on appelle une "collision", c'est à dire que les
résultats de hachage de 2 mots de passe totalement différents soient
identiques.
Mais cette probabilté est extrêmement faible avec les algorithmes actuels de
hachage (MD5, SHA1, ...)




est il possible de
modifier cette bdr pour indiquer un autre lecteur ou support, clé usb
par exemple ?
NON!

Mais on s'en fiche !
Car on peut très bien EXPORTER puis IMPORTER un certificat.
J'y ai consacré un chapitre entier sur mon site :
http://www.bellamyjc.org/fr/cryptobackup.html


Autre question :
Est ce que le cryptage-decryptage a une grosse influence sur les
performance de XP ?
Si tu est un ayatollah de la yoctoseconde, et si tu décides de chiffrer les

fichiers complet d'un film, soit plusieurs Go, tu verras peut-être quelque
chose au niveau performances....

Personnellement, je ne me suis JAMAIS rendu compte d'un quelconque
ralentissement ..
Mais je n'utilise le chiffrement que pour ce qui le nécessite !
Par exemple un fichier contenant des clefs d'accès à un site bancaire, ou à
un réseau privé via un VPN, ...
En général, ce sont des fichiers qui ne dépassent jamais 1ko, donc leur
traitement doit prendre un quart de poil de pouïème de szlotyseconde !


Le % de travail en plus en le meme quelque soit la
taille du fichier ?
NON, évidemment, !

Le temps de chiffrement/déchiffrement est FORCÉMENT une fonction croissante
de la TAILLE du fichier !
http://www.bellamyjc.org/fr/cryptoschemas.html

Il y a un temps fixe pour créer ou récupérer les "Data Decryption Filed" et
"Data Recovery Field", mais c'est marginal, le reste du traitement va
consister à chiffrer/déchiffrer à l'aide de la clef privée l'ensemble du
contenu du fichier, avec un algorithme à clef symétrique tel que 3DES , DESX
ou mieux (depuis XP) AES . Et là le temps de traitement est proportionnel à
la taille du fichier.

Et de combien est il environ ?
Rouge !

(j'ai donné une réponse absurde car ON S'EN TAMPONNE !!!!)
;-)


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr


Le chat de personne
Le #1314669
On Fri, 1 Dec 2006 12:11:04 +0100, "Jean-Claude BELLAMY"

Etant donnee que ces dossiers sont dans la bdr,
??????????????????????????????????????????????????????????????????

??????????????????????????????????????????????????????????????????

Où es-tu allé IMAGINER cette divagation surréaliste ?

JAMAIS je n'ai dit ou écrit que les certificats sont dans la BDR !
Tu as trop abusé d'une mauvaise moquette ce matin, mon gars ! ;-)


J'ai l'habitude de trouver telement de chose dedant que par reflexe
j'ai vu cette clé dans mon carrelage (desolé pas de moquette chez moi)
;o))


Le chat de personne
Le #1314668
On Fri, 1 Dec 2006 12:11:04 +0100, "Jean-Claude BELLAMY"

est il possible de
modifier cette bdr pour indiquer un autre lecteur ou support, clé usb
par exemple ?
NON!

Mais on s'en fiche !


L'idee etait que meme avec un mot de passe valide on ne peut pas
decrypter si la clé USB n'est pas dans là.


Publicité
Poster une réponse
Anonyme