Con EFS ho C: \ $ USER \ criptato in modo che tutti i file posseduti e utilizzati da detto utente siano crittografati.
Se questo laptop viene rubato, sono sicuro che potrebbero estrarre gli hash delle password degli utenti Microsoft, craccarli, quindi decrittografarli?
A meno che le cose non siano cambiate, le password degli account Microsoft non sono crittografate con un algoritmo di hashing strong, corretto?
Dipende da come è configurato EFS e da quale versione di NTFS stai usando. Ai fini di questa domanda, presumo una versione moderna di NTFS (ad esempio > = 3.0) su un sistema operativo moderno come Windows 8.1 o 10.
In un ambiente utente singolo esterno a un dominio, per impostazione predefinita, i file vengono crittografati in un processo a 3 fasi. Innanzitutto, viene generata una chiave di crittografia file (FEK) casuale che viene utilizzata per crittografare il file con 3DES o DESX. Questa chiave viene quindi crittografata utilizzando una coppia di chiavi asimmetrica specifica dell'utente e questa chiave crittografata viene archiviata nei metadati del file. La coppia di chiavi asimmetriche è memorizzata su disco in forma crittografata, utilizzando una chiave nota come chiave master DPAPI.
La chiave master DPAPI deriva da una combinazione della password NTLM dell'utente e del relativo SID (identificativo univoco per l'utente). Quando dico la password NTLM, intendo la loro password di accesso, non il hash NTLM della loro password. La chiave master EFS viene derivata utilizzando la funzione di derivazione chiave basata su password (PBKDF2), che viene talvolta indicata come "derivazione RFC 2898" nella documentazione. Questa chiave master non viene utilizzata solo per archiviare la coppia di chiavi asimmetriche EFS, ma anche tutti i dati relativi al riposo protetti da DPAPI .
Poiché la chiave DPAPI è derivata dalla password NTLM dell'utente, il crack dell'hash NTLM fornisce le informazioni necessarie per derivare la chiave DPAPI, che consentirebbe di decrittografare la coppia di chiavi asimmetriche EFS, che a sua volta consente di decrittografare i flussi $ EFS che contengono i FEK, che a loro volta consentono di decrittografare i dati dei file. Esistono strumenti standard per farlo in ambito forense.
Tuttavia, ci sono altri ambienti e configurazioni per EFS. Ad esempio, in un ambiente di dominio, è possibile avere file protetti da EFS accessibili da più utenti che utilizzano certificati di crittografia supportati dal dominio. Infatti, anche nei file EFS accessibili all'utente singolo, la coppia asimmetrica EFS può essere controllata dal dominio, consentendo l'accesso ai file crittografati EFS da qualsiasi terminale, indipendentemente da dove il file è stato inizialmente crittografato. È anche possibile inserire la chiave master DPAPI o la coppia di chiavi asimmetriche EFS per un utente su una smart card, ignorando così la necessità di archiviarle su disco. Queste configurazioni complicano la situazione oltre il semplice caso di "crack NTLM e ottieni i file EFS".
Inoltre, se si utilizza la crittografia del disco BitLocker, le chiavi master DPAPI possono essere crittografate utilizzando anche le chiavi BitLocker, consentendo loro di essere protette con un dispositivo come un TPM, che può avere requisiti di autenticazione aggiuntivi (ad es. smart card) prima le chiavi sono sbloccate.
Si noti inoltre che, all'accesso, il sistema memorizza una copia cache della chiave master DPAPI in memoria per accedere a determinati segmenti di memoria crittografati e, ovviamente, alla coppia di chiavi asimmetrica EFS. Se si utilizza un sistema operativo con privilegi amministrativi, è possibile utilizzare numerosi strumenti per eseguire il dump delle chiavi EFS, della chiave master DPAPI e delle aree protette LSA. Ciò evita di dover decifrare la password NTLM.
Sì, se un utente malintenzionato può violare l'hash della password locale, può accedere come utente e avere lo stesso accesso ai file crittografati. Potresti esportare il tuo certificato EFS e la tua chiave privata in un file PFX protetto con una password separata che sarebbe più difficile da decifrare, ma questo significherebbe eliminarlo dal tuo keystore locale quando non è in uso e quindi importarlo di nuovo ogni volta che volevi accedere ai dati crittografati. Questo potrebbe non essere pratico, specialmente se l'intera directory dell'utente è crittografata.
Windows usa ancora l'hash NTLM, che è uno degli hash più veloci quando si tratta di crack (che è male). Tuttavia, anche con la peggio di hashing, se si utilizza una password di 12+ veramente casuale, non c'è quasi nessuna possibilità che un aggressore possa crackarlo.
Leggi altre domande sui tag windows encryption microsoft file-encryption efs