Problème avec EFS

Philippe LE PAGE <a@a.com> s'est ainsi exprimé:

Bonjour,

à la suite d'une manip malencontreuse (apparemment l'installation de
SP1 pour XP), je n'arrive plus à me servir correctement d'EFS. J'ai
pu décrypter tous mes dossiers cryptés, mais je ne peux pas en
crypter de nouveaux. Je me suis dit que j'allais forcer la re-
création d'un certificat pour EFS en effacant l'ancien (à ce moment
je n'avais plus aucun dossier crypté bien sûr). Mais ca ne marche
pas. EFS me dit qu'il ne trouve plus le certificat. Via la mmc j'ai
recopié alors le certificat présent dans la branche "Personnes
autorisées" (dans la branche "Certificats- Utilisateur actuel") dans
la branche "Personnels" (là où étais l'ancien certificat), vu que ce
sont apparemment les mêmes... Mais lorsque je crypte, XP me dit que
"La stratégie de récupération configurée pour ce système contient un
certificat non valide". C'est sûr il fallait s'y attendre...

Bon ben je sais plus trop quoi faire...

Des idées ?

Voui !
La méthode la plus sûre est de recréer clef privée et certificat.

Pour cela, ouvre une fenêtre de commandes, et tape la commande :
CIPHER /R:<nomdefichier>

avec
<nomdefichier> : un nom de fichier quelconque, SANS extension,
qui va servir à créer une clef et un agent de récupération.

Par exemple :
CIPHER /R:philippe

La commande affiche :
"Entrez le mot de passe protégeant votre fichier .PFX : "
-> Taper un mot de passe quelconque (s'en souvenir!!!)
"Entrez à nouveau le mot de passe pour confirmation :"
- > Retaper le mot de passe
"Votre fichier .CER a été créé."
"Votre fichier .PFX a été créé."

Cette commande a créé 2 fichiers :
p.ex. :
philippe.pfx
Il contient la clef privée et le certificat
philippe.cer
Il ne contient que le certificat

Ensuite, lancer la MMC "secpol.msc"
Stratégies de clé publique
Agents de récupération de données cryptées
Clic droit / Nouveau / Agent de récupération crypté

L'assistant s'ouvre
Bouton "Suivant"
Bouton "Parcourir les dossiers"
Sélectionner le fichier .cer précédemment créé ("philippe.cer")

Des infos sont alors affichées :
Champ utilisateur :
USER_UNKNOWN
Champ Certificat :
OUïS File Encryption Certificate, LïS,CN=xxxxxxxx

"xxxxxxxx" est le nom du compte administrateur sous lequel
on a fait la manip

Bouton "Suivant"

"Les utilisateurs suivants ont été désignés comme
agents de récupération :"
(mêmes infos que précédemment)

Bouton "Terminer"


S'il apparait une injurebox :

"Impossible de valider le certificat"

ne pas paniquer! :+)

Cela est dû au fait que le certificat n'a pas été placé dans le magasin des
autorités de confiance.

Si on effectue un double-clic dessus (dans le panneau de droite de
secpol/msc), on lit ceci :

"Vous ne pouvez pas faire confiance à ce certificat racine
de l'autorité de certification. Pour activer la confiance,
installez ce certficat dans le magasin des Autorités de
certification de la racine de confiance"

Pour cela :
(NB: il y a plusieurs méthodes)
Ouvrir Internet Explorer
Menu Outils / Options Internet
Onglet "Contenu"
Bouton "Certificats"

Sélectionner le certficat qui vient d'être créé
Bouton "Importer"
Un assistant s'affiche
Bouton "Suivant"
Saisir le nom du fichier .pfx créé précédemment
(p.ex. "c:philippe.pfx")

Bouton "Suivant"
Taper le mot de passe que l'on a défini précédemment

Cocher ou non "Activer la protection renforcée..."
Bouton "Suivant"

Cocher "Placer tous les certificats dans le magasin suivant :"
Bouton "Parcourir"

Sélectionner "Autorités de certification racines de confiance"
Bouton "Suivant"
"Vous avez terminé correctement l'assistant Importation de
certificat"

Bouton "Terminer"

Une boite dialogue apparait, demandant :
"Voulez-vous ajouter le certificat suivant au magasin principal"
"Objet : EFS Encryption ..........xxxxxxxx
"Limite de validité .....
"...

Bouton "OUI"
"L'importation s'est terminée correctement"

Ouf !!!!!!!


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
Jean-Claude.Bellamy@wanadoo.fr * JC.Bellamy@free.fr

Merci beaucoup de ta réponse. En même temps tu réponds à une autre question
que je me posais, à savoir: comment créer un certificat autosigné. Je vais
essayer de suivre ta démarche (tout en continuant à lire le kit de
ressources techniques de XP, et le chapitre consacré à EFS).

Il y a qqchose qui m'embête avec EFS, c'est que si on cracke mon mot de
passe, on peut se connecter avec mon compte et par conséquent avoir accès
aux fichiers cryptés non ? Alors où réside l'intérêt d'un cryptage avec clef
publique/privée dans le cas présent ?

Deuxio: la clef privée est stockée dans la base de registre, ne peut-on pas
la récupérer via certaines manip ?

Amicalement

"Jean-Claude BELLAMY" <Jean-Claude.Bellamy@wanadoo.fr> a écrit dans le
message de news:%238OfU01rDHA.556@TK2MSFTNGP11.phx.gbl...

Philippe LE PAGE <a@a.com> s'est ainsi exprimé:

Bonjour,

à la suite d'une manip malencontreuse (apparemment l'installation de
SP1 pour XP), je n'arrive plus à me servir correctement d'EFS. J'ai
pu décrypter tous mes dossiers cryptés, mais je ne peux pas en
crypter de nouveaux. Je me suis dit que j'allais forcer la re-
création d'un certificat pour EFS en effacant l'ancien (à ce moment
je n'avais plus aucun dossier crypté bien sûr). Mais ca ne marche
pas. EFS me dit qu'il ne trouve plus le certificat. Via la mmc j'ai
recopié alors le certificat présent dans la branche "Personnes
autorisées" (dans la branche "Certificats- Utilisateur actuel") dans
la branche "Personnels" (là où étais l'ancien certificat), vu que ce
sont apparemment les mêmes... Mais lorsque je crypte, XP me dit que
"La stratégie de récupération configurée pour ce système contient un
certificat non valide". C'est sûr il fallait s'y attendre...

Bon ben je sais plus trop quoi faire...

Des idées ?

Je ne comprends pas grand chose. En fait je veux décrypter "Mes documents".
Lorsque je le vois dans l'explorateur il est crypté. Mais pas ses
sous-dossiers. Certains de ceux-ci ("Mes images" par ex) sont en lecture
seule (la coche étant grisée, je suppose que c'est parce qu'un des parents
l'est ?). Je ne peux pas les passer en rw car si je décoche cela n'a pas
d'effet. Par conséquent, je ne peux pas décrypter.

hummmmhhh

"Jean-Claude BELLAMY" <Jean-Claude.Bellamy@wanadoo.fr> a écrit dans le
message de news:%238OfU01rDHA.556@TK2MSFTNGP11.phx.gbl...

Philippe LE PAGE <a@a.com> s'est ainsi exprimé:

Bonjour,

à la suite d'une manip malencontreuse (apparemment l'installation de
SP1 pour XP), je n'arrive plus à me servir correctement d'EFS. J'ai
pu décrypter tous mes dossiers cryptés, mais je ne peux pas en
crypter de nouveaux. Je me suis dit que j'allais forcer la re-
création d'un certificat pour EFS en effacant l'ancien (à ce moment
je n'avais plus aucun dossier crypté bien sûr). Mais ca ne marche
pas. EFS me dit qu'il ne trouve plus le certificat. Via la mmc j'ai
[...]

Re-bonjour,

j'ai exécuté la manip et maintenant mon compte et celui de l'admin local
sont agents de récupération. Mais malheureusement, le même message s'affiche
"La stratégie de récupération configurée pour ce système contient un
certificat de récupération non valide". Peut-être celui de l'admin local ?
Je trouve toute la gestion des certificats pour EFS affreusement compliquée,
sans doute parce que je manque d'un doc simple et et clair.


"Jean-Claude BELLAMY" <Jean-Claude.Bellamy@wanadoo.fr> a écrit dans le
message de news:%238OfU01rDHA.556@TK2MSFTNGP11.phx.gbl...

Philippe LE PAGE <a@a.com> s'est ainsi exprimé:

Bonjour,

à la suite d'une manip malencontreuse (apparemment l'installation de
SP1 pour XP), je n'arrive plus à me servir correctement d'EFS. J'ai
pu décrypter tous mes dossiers cryptés, mais je ne peux pas en
crypter de nouveaux. Je me suis dit que j'allais forcer la re-
création d'un certificat pour EFS en effacant l'ancien (à ce moment
je n'avais plus aucun dossier crypté bien sûr). Mais ca ne marche
pas. EFS me dit qu'il ne trouve plus le certificat. Via la mmc j'ai
recopié alors le certificat présent dans la branche "Personnes
autorisées" (dans la branche "Certificats- Utilisateur actuel") dans
la branche "Personnels" (là où étais l'ancien certificat), vu que ce
sont apparemment les mêmes... Mais lorsque je crypte, XP me dit que
"La stratégie de récupération configurée pour ce système contient un
certificat non valide". C'est sûr il fallait s'y attendre...

Bon ben je sais plus trop quoi faire...

Des idées ?

Voui !
La méthode la plus sûre est de recréer clef privée et certificat.

Pour cela, ouvre une fenêtre de commandes, et tape la commande :
CIPHER /R:<nomdefichier>

avec
<nomdefichier> : un nom de fichier quelconque, SANS extension,
qui va servir à créer une clef et un agent de récupération.

Par exemple :
CIPHER /R:philippe

La commande affiche :
"Entrez le mot de passe protégeant votre fichier .PFX : "
-> Taper un mot de passe quelconque (s'en souvenir!!!)
"Entrez à nouveau le mot de passe pour confirmation :"
- > Retaper le mot de passe
"Votre fichier .CER a été créé."
"Votre fichier .PFX a été créé."

Cette commande a créé 2 fichiers :
p.ex. :
philippe.pfx
Il contient la clef privée et le certificat
philippe.cer
Il ne contient que le certificat

Ensuite, lancer la MMC "secpol.msc"
Stratégies de clé publique
Agents de récupération de données cryptées
Clic droit / Nouveau / Agent de récupération crypté

L'assistant s'ouvre
Bouton "Suivant"
Bouton "Parcourir les dossiers"
Sélectionner le fichier .cer précédemment créé ("philippe.cer")

Des infos sont alors affichées :
Champ utilisateur :
USER_UNKNOWN
Champ Certificat :
OUïS File Encryption Certificate, LïS,CN=xxxxxxxx

"xxxxxxxx" est le nom du compte administrateur sous lequel
on a fait la manip

Bouton "Suivant"

"Les utilisateurs suivants ont été désignés comme
agents de récupération :"
(mêmes infos que précédemment)

Bouton "Terminer"


S'il apparait une injurebox :

"Impossible de valider le certificat"

ne pas paniquer! :+)

Cela est dû au fait que le certificat n'a pas été placé dans le magasin
des

autorités de confiance.

Si on effectue un double-clic dessus (dans le panneau de droite de
secpol/msc), on lit ceci :

"Vous ne pouvez pas faire confiance à ce certificat racine
de l'autorité de certification. Pour activer la confiance,
installez ce certficat dans le magasin des Autorités de
certification de la racine de confiance"

Pour cela :
(NB: il y a plusieurs méthodes)
Ouvrir Internet Explorer
Menu Outils / Options Internet
Onglet "Contenu"
Bouton "Certificats"

Sélectionner le certficat qui vient d'être créé
Bouton "Importer"
Un assistant s'affiche
Bouton "Suivant"
Saisir le nom du fichier .pfx créé précédemment
(p.ex. "c:philippe.pfx")

Bouton "Suivant"
Taper le mot de passe que l'on a défini précédemment

Cocher ou non "Activer la protection renforcée..."
Bouton "Suivant"

Cocher "Placer tous les certificats dans le magasin suivant :"
Bouton "Parcourir"

Sélectionner "Autorités de certification racines de confiance"
Bouton "Suivant"
"Vous avez terminé correctement l'assistant Importation de
certificat"

Bouton "Terminer"

Une boite dialogue apparait, demandant :
"Voulez-vous ajouter le certificat suivant au magasin principal"
"Objet : EFS Encryption ..........xxxxxxxx
"Limite de validité .....
"...

Bouton "OUI"
"L'importation s'est terminée correctement"

Ouf !!!!!!!


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
Jean-Claude.Bellamy@wanadoo.fr * JC.Bellamy@free.fr

Philippe LE PAGE <a@a.com> s'est ainsi exprimé:

Merci beaucoup de ta réponse. En même temps tu réponds à une autre
question que je me posais, à savoir: comment créer un certificat
autosigné. Je vais essayer de suivre ta démarche (tout en continuant
à lire le kit de ressources techniques de XP, et le chapitre consacré
à EFS).

Il y a qqchose qui m'embête avec EFS, c'est que si on cracke mon mot
de passe, on peut se connecter avec mon compte et par conséquent
avoir accès aux fichiers cryptés non ?
Bien sûr!

Si quelqu'un connait ton username et password, c'est comme si c'était toi !
D'où l'intérêt des dispositifs biométriques (empreintes digitales, iris de
l'oeil,..)
Mais il y a encore des pb de fiabilité (on n'est pas à 100%)

Alors où réside l'intérêt d'un
cryptage avec clef publique/privée dans le cas présent ?

1)Craquer un password sous W2K/XP, cela commence à être "coton" !
Evdiemment, si c'est "toto", un outil d'attaque en force brute le trouvera
tout de suite.
Par contre, s'il fait plus de 15 caractères (dans ce cas, pas de password
style "Lan Manager", facile à casser), s'il mélange
minuscules/majuscules/chiffres, ne fait pas partie d'un dictionnaire, sa
"casse" est quasi impossible (plusieurs heures, voire jours, mois ou
années!)
Il y a un an, j'ai assisté chez Microsoft à une démo de casse de passwords.
Pour certains (prénom de l'utilisateur, "toto", ..) , cela a pris 2
secondes.
Mais pour d'autres, la babasse cherche encore !


2)EFS chiffre les fichiers d'un utilisateur et lui seul peut alors y
accéder.
A moins d'avoir déclaré plusieurs personnes capables de récupérer des
fichiers chiffrés, même un autre administrateur ne pourra pas y accéder
(j'ai fait le test)

Deuxio: la clef privée est stockée dans la base de registre, ne peut-
on pas la récupérer via certaines manip ?

Le password est dans la BDR (HKLMSAM), mais je te souhaite bien du plaisir
pour le décoder ! ;+)

--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
Jean-Claude.Bellamy@wanadoo.fr * JC.Bellamy@free.fr