Windows 7でのEFS(暗号化ファイルシステム)の脆弱性
Windows 7でファイル/フォルダーレベルでEFS(暗号化ファイルシステム)を使用することを検討しています。
EFSに関するウィキペディアの記事を読みましたが、Windows2000とXPに関連するいくつかの脆弱性について言及しています。どうやらそれらは後のOSバージョンで修正されています。
次に、このツール(Advanced EFS Data Recovery、AEFSDR)を見つけました: http://www.elcomsoft.com/aefsdr.html 場合によってはEFS暗号化ファイルを復号化できます。私は今、このツールを使用したときにWindows7でEFSがどれほど脆弱であるかを理解しようとしています。
AEFSDR製品ページには、無視できるWindows2000の脆弱性が記載されています。それ以外はあまり詳細がありません。
詳細については、こちらをご覧ください: http://www.elcomsoft.com/cases/tips_on_recovering_EFS-encrypted_data_when_it_gets_lost.pdf 。 「ソリューション」と呼ばれる段落では、次のように述べています。
高度なEFSデータ復旧では、ユーザーデータベースがSYSKEYで保護されている場合でも、ファイルを復号化できます。まず、AEFSDRはすべてのEFSキーを検索し、セクターごとにハードドライブをスキャンします。ユーザーがプログラムにユーザーパスワードを入力した後、ソフトウェアは、ユーザーの暗号化されたデータの復号化に必要なキー、または少なくとも1つのキーを復号化します。第2段階では、AEFSDRはファイルシステム内のEFS暗号化ファイルを探し、それらの回復を試みます。通常、回収率は99%以上と非常に高いです。
そのため、ユーザーパスワードを入力する必要がありました。それがWindowsユーザーアカウントのパスワードだったと思います。
私の質問はこれです:EFS暗号化ファイル/フォルダを備えたラップトップが盗まれ、その時にシャットダウンされたと考えてください(完全にオフで、スリープ/休止状態モードではありません)。侵入者が利用できるユーザーパスワードはありませんが、ハードドライブは明らかに取り外して、別のコンピューターからアクセスできます。ファイルを復号化することは可能ですか?
EFSは、パスワードに基づいてファイルを保護するように設計されています。したがって、パスワードが長くて複雑で、もちろんログインにのみ使用される場合は、安全である必要があります。
しかし、通常、Windowsユーザーのパスワードは短すぎます。残念ながら、Windows 7はそれらを特別なハッシュ方式(NTLMv2)で保存します-より安全でないNTLMバージョンでも古いバージョンです。現在のグラフィックカードをコードクラッカーとして使用すると、NTLMv2パスワードでも壊れることがあります。
NTLMv2認証のクラッキング(2002年から) 興味深い部分は、パスワードを破るために古いCPUのみを考慮している場合でも、最後から2番目のスライドです。
現時点では、12文字以上の複雑なパスワードのみが安全であると見なすことができます。
TrueCryptは、EFSよりも優れたセキュリティを提供し、BitLocker(フルディスク暗号化)と同じ機能も提供します。
TrueCryptの唯一の欠点(EFSと比較して)は、ハードドライブ上の個々のファイルとフォルダーを暗号化できないことです。代わりに、ディスク上またはドライブ上のファイル内に暗号化されたボリュームを作成し、それを別の暗号化されたボリュームとしてマウントします。
残念ながら、これはVaultスタイルのソリューションではありません。つまり、(EFSと同様に)ログインすると、ファイルは安全ではなくなります。 TrueCrypt、EFS、およびBitLockerは、Vaultスタイルのセキュリティを提供しません。