Unterstützung von Fremdanbieter-Zertifizierungsstellen für das verschlüsselnde Dateisystem

Dieser Artikel beschreibt, wie Microsoft Windows 2000 Fremdanbieter-Zertifizierungsstellen unterstützt, die Zertifikate für das verschlüsselnde Dateisystem (Encrypting File System/EFS) und Zertifikate für den EFS-Wiederherstellungs-Agenten ausstellen.

Überblick

Dieser Artikel ist in die folgenden zwei Abschnitte unterteilt:

• Eine kurze Erklärung zum verschlüsselnden Dateisystem und dessen Nutzung der Infrastruktur öffentlicher Schlüssel (Public Key Infrastructure/PKI).
• Auf welche Weise es einer Fremdanbieter-Zertifizierungsstelle erlaubt ist, Zertifikate auszustellen, die vom EFS sowohl für die Dateiverschlüsselung als auch für die Wiederherstellung verwendet werden.

EFS-Überblick und Infrastruktur öffentlicher Schlüssel

EFS ist die Lösung in Windows 2000 zum Verschlüsseln von Dateien auf Volumes, die mit dem NTFS-Dateisystem formatiert sind. EFS verwendet die Features "Crypto Architecture" (Verschlüsselungsarchitektur) und "Public Key Infrastructure" in Windows 2000.

Zertifikatsregistrierung

Während eines Verschlüsselungsvorgangs verwendet EFS Ihr aktuelles EFS-Zertifikat. Falls kein solches Zertifikat verfügbar ist, durchsucht EFS Ihren Speicher nach einem geeigneten Zertifikat. Sollte EFS kein aktuelles Zertifikat finden können, registriert EFS Sie für ein EFS-Zertifikat. Eine Windows 2000-Onlinezertifizierungsstelle, welche die EFS-Vorlage unterstützt, kann ein EFS-Zertifikat ausgeben. Ein selbstsigniertes Zertifikat wird von EFS dann erzeugt, wenn eine Registrierung bei einer Windows 2000-Onlinezertifizierungsstelle nicht möglich ist oder Sie kein Domänenkonto verwenden.

Nachdem EFS ein Zertifikat ausgewählt hat, können Sie es über die Benutzeroberfläche des Systems nicht mehr ändern. Außerdem wechselt EFS nicht automatisch das Zertifikat, wenn ein besseres verfügbar wird (zum Beispiel wenn EFS sein selbstsigniertes Zertifikat verwendet und Sie sich bei einer Windows 2000-Onlinezertifizierungsstelle für ein EFS-Zertifikat registrieren).

Es gibt zwei Möglichkeiten, das von EFS verwendete Zertifikat zu ändern:

• Verwenden Sie die API SetUserFileEncryptionKey, die im Microsoft Developer Network (MSDN) dokumentiert ist, um für EFS die Verwendung eines neuen Zertifikats festzulegen. EFS beginnt dann unverzüglich, das neue Zertifikat zu verwenden.
• Ändern Sie den Hashwert des Zertifikats, der im folgenden Registrierungsschlüssel gespeichert wird, zu dem Hashwert, der im Feld Fingerabdruck in dem neuen Zertifikat angegeben ist:
  HKEY_CURRENT_USER\Software\Microsoft\Windows NT\Current Version\EFS\CurrentKeys
  
  Wert: CertificateHash
  Typ: REG_BINARY
  Daten: Fingerabdruck des neuen Zertifikats

EFS erwartet, dass die Schlüssel für das EFS-Zertifikat im Microsoft-Kryptografiedienstanbieter "Rivest-Shamir-Adelman Base" (RSABase) gespeichert werden. Das Attribut Key Info (Schlüsselinformationen) auf dem Zertifikat sollte auf diesen Kryptografiedienstanbieter verweisen. EFS sucht im Zertifikatsspeicher MY, der Zertifikate und private Schlüssel enthält.

Verschlüsselung und Entschlüsselung von Dateidaten

EFS verwendet zum Verschlüsseln von Dateidaten einen nach dem Zufallsprinzip erzeugten, symmetrischen Schlüssel. Für jede zu verschlüsselnde Datei wird ein neuer Schlüssel erstellt. Als Datenverschlüsselungsalgorithmus wird DESX verwendet (ein stärkere Version von "Data Encryption Standard"). Andere Algorithmen können nicht konfiguriert werden.

Der symmetrische Verschlüsselungsschlüssel wird dann mithilfe des öffentlichen Schlüssels aus Ihrem EFS-Zertifikat verschlüsselt. Die daraus resultierenden verschlüsselten Daten, Ihr Anzeigename und ein Hashwert des Zertifikats werden in einem benannten Datenstrom in der Datei gespeichert, die die EFS-Metadaten enthält. Bei der Entschlüsselung einer Datei verwendet EFS Ihren privaten Schlüssel, um den symmetrischen Verschlüsselungsschlüssel zu entschlüsseln. EFS verwendet dann den symmetrischen Schlüssel, um die Daten zu entschlüsseln.

Um eine Datei auf einem Netzwerkserver zu verschlüsseln, lädt EFS Ihr Profil in das Netzwerk (falls Sie servergespeicherte Profile verwenden). Sollten Sie keine servergespeicherten Profile haben, erwartet EFS, Ihr Zertifikat und Ihre Schlüssel auf dem Server zu finden und versucht dann, dort ein Profil zu erstellen.

Wird eine EFS-Datei über das Netzwerk kopiert, wird sie entschlüsselt und dann im Klartext über das Netzwerk versendet. Verwenden Sie die IP-Sicherheit, um Ihre Dateien zu schützen, während sie über das Netzwerk versendet werden.

Erneuerung von EFS-Zertifikaten

Wenn das EFS-Zertifikat ausläuft, erneuert EFS das Zertifikat, indem es mit einem neuen Schlüsselpaar eine Registrierung für ein neues Zertifikat durchführt. EFS selbst erneuert das gegenwärtige Zertifikat nicht, wenn es ausläuft.

Wenn Sie das EFS-Zertifikat erneuern und das alte Zertifikat archivieren, bevor es ausläuft, verwendet EFS weiterhin das alte Zertifikat, bis es abgelaufen ist. EFS durchläuft dann den gleichen Prozess der Registrierung, um im Speicher ein neues Zertifikat zu finden oder ein neues zu beziehen, wenn es kein gültiges Zertifikat finden kann. Während es nach einem neuen Zertifikat sucht, kann EFS ein anderes als das Zertifikat beziehen, das Sie im Wege der Zertifikatserneuerung bezogen haben, falls es im Speicher mehr als ein EFS-Zertifikat gibt.

Nachdem EFS mit der Verwendung eines neuen Zertifikats begonnen hat und eine Datei bearbeitet, die zuvor mit einem anderen Zertifikat verschlüsselt wurde, erzeugt EFS die Metadaten neu, um das neue Zertifikat verwenden zu können.

Prüfung auf Zertifikatssperren

EFS führt keinerlei Prüfung auf etwaige Zertifikatssperren durch.

EFS-Wiederherstellungs-Agent

Sie können den EFS-Wiederherstellungs-Agenten verwenden, um eine verschlüsselte Datei zu entschlüsseln, falls der Benutzer, der die Datei verschlüsselt hat, Ihr Unternehmen verlassen hat. Sie können sich für EFS-Wiederherstellungs-Agent-Zertifikate registrieren, indem Sie die Vorlage EFS-Wiederherstellung auf Windows 2000-Zertifizierungsstellen verwenden.

Sie können EFS-Wiederherstellungs-Agent-Zertifikate in einer globalen Domänenrichtlinie für alle Benutzer in der Domäne festlegen. Sie können diese Zertifikate auch für alle Benutzer eines lokalen Computers in einer lokalen Computerrichtlinie festlegen. Falls beide Richtlinien vorhanden sind, hat die globale Richtlinie vorrangige Geltung.

Gehen Sie folgendermaßen vor, um den Assistenten für das Hinzufügen eines Wiederherstellungs-Agenten zu öffnen: Klicken Sie auf Gruppenrichtlinie, klicken Sie auf Richtlinien öffentlicher Schlüssel, und klicken Sie dann auf Agenten für Wiederherstellung von verschlüsselten Daten. Dieser Assistent hilft Ihnen dabei, Wiederherstellungs-Agent-Zertifikate zuzuweisen. Sie können auf Ordner durchsuchen und dann auf die Zertifikatsdatei klicken, um dieses Zertifikat direkt als Wiederherstellungs-Agent-Zertifikat zu importieren. Das Zertifikat wird mit der Wiederherstellungs-Agent-Anmerkung Benutzer unbekannt importiert. Dieses Verfahren wird bei allen Zertifikaten von Fremdanbieter-Zertifizierungsstellen verwendet, die Sie als Wiederherstellungs-Agent-Zertifikate bestimmen.

Falls Sie das Zertifikat in dem Verzeichnis für einen Benutzer veröffentlichen (was der Fall ist, wenn Sie bei einer Windows 2000-Onlinezertifizierungsstelle eine Registrierung für das EFS-Wiederherstellungs-Agent-Zertifikat des Benutzers durchführen), können Sie den Assistenten verwenden, um den Benutzer direkt als Wiederherstellungs-Agenten zu importieren. Durchsuchen Sie das Verzeichnis und wählen Sie den Benutzer aus, den Sie zum Wiederherstellungs-Agenten bestimmen möchten.

Bei der Dateiverschlüsselung wird der symmetrische Verschlüsselungsschlüssel ebenfalls unter Verwendung des öffentlichen Schlüssels des Wiederherstellungs-Agenten verschlüsselt. Die betreffenden Informationen werden dann in dem benannten Datenstrom gespeichert, der die EFS-Metadaten enthält. Zur Wiederherstellung einer verschlüsselten Datei verwendet EFS den privaten Schlüssel des Wiederherstellungs-Agenten, um damit die Daten zu entschlüsseln.

Regeln für Fremdanbieter-Zertifizierungsstellen für das Erstellen und Verwenden von gültigen EFS- und EFS-Wiederherstellungs-Agent-Zertifikaten

EFS-Zertifikate

Für das Erstellen eines Zertifikats gelten die folgenden Regeln:

• Die Erweiterung "Schlüsselverwendung" in dem Zertifikat muss die Optionen "Schlüsselverschlüsselung" und "Datenverschlüsselung" enthalten.
• Die Erweiterung "Erweiterte Schlüsselverwendung" in dem Zertifikat muss den Bezeichner für das Encrypting File System (1.3.6.1.4.1.311.10.3.4) enthalten.
• Während ihrer Verwendung müssen Sie die Schlüssel im Microsoft-Kryptografiedienstanbieter "RSABase" speichern.
• Das Attribut Key Info (Schlüsselinformationen) auf dem Zertifikat muss auf diesen Schlüssel verweisen.

Damit die Zertifikate die richtigen Werte für Schlüsselverwendung und Erweiterte Schlüsselverwendung enthalten, müssen Sie eventuell die Fremdanbieter-Zertifizierungsstellen so anpassen, dass sie Zertifikate mit den korrekten Werten ausgeben.

Es gibt zwei Möglichkeiten zur Registrierung für EFS-Zertifikate unter Verwendung von Fremdanbieterprodukten:

• Die Fremdanbieter-Zertifizierungsstelle verwendet eventuell ein Registrierungsverfahren, das von der Microsoft Crypto Architecture (Microsoft-Verschlüsselungsarchitektur) unabhängig ist. In diesem Fall muss der Fremdanbieter das Zertifikat und den dem Zertifikat zugeordneten privaten Schlüssel in eine Datei exportieren, die mit dem MMC-Snap-In "Zertifikatverwaltung" in Ihr Profil importiert werden kann. Die Schlüssel werden in den Microsoft-Kryptografiedienstanbieter "RSABase" importiert, und die Eigenschaft Key Info (Schlüsselinformationen) wird auf diesen Kryptografiedienstanbieter festgelegt.
• Die Fremdanbieter-Zertifizierungsstelle bietet möglicherweise ein Registrierungsverfahren für Zertifikate auf Web-Basis an, welches das Microsoft-Steuerelement "XEnroll" verwendet. Bei dieser Registrierungsmethode werden die Schlüssel automatisch im Microsoft-Kryptografiedienstanbieter "RSABase" gespeichert. Zudem wird automatisch die Eigenschaft Key Info (Schlüsselinformationen) gesetzt.

Nachdem Sie sich für ein Zertifikat registriert oder ein Zertifikat erneuert haben, müssen Sie das EFS über diese Änderung informieren, falls es zuvor ein Zertifikat verwendet hat. Sie müssen einen Aufruf an SetUserFileEncryptionKey durchführen, der auf das neue Zertifikat verweist. Falls das Zertifikat vor einer EFS-Operation erstellt wird, ist kein Aufruf des Typs SetUserFileEncryptionKey erforderlich. EFS findet das neue Zertifikat in Ihrem persönlichen Zertifikatsspeicher und legt es als Standardzertifikat fest.

EFS-Wiederherstellungs-Zertifikate

Für das Erstellen eines Zertifikats gelten die folgenden Regeln:

• Schlüsselverwendung = Schlüsselverschlüsselung
• Erweiterte Schlüsselverwendung = Dateiwiederherstellung (1.3.6.1.4.1.311.10.3.4.1)

Wie im Abschnitt "EFS-Zertifikate" bereits erwähnt, kann die Fremdanbieter-Zertifizierungsstelle Microsoft-Clients Webseiten anbieten, auf denen man sich für ein Zertifikat registrieren kann. Eine weitere Möglichkeit ist, dass die Fremdanbieter-Zertifizierungsstelle das Zertifikat und den entsprechenden privaten Schlüssel in eine Datei exportiert, die in einen Microsoft-Client importiert werden kann.

Nach seiner Erstellung kann das Zertifikat mit dem Assistenten für das Hinzufügen eines Wiederherstellungs-Agenten importiert werden.

Im Rahmen der Dateiwiederherstellung müssen sowohl das Zertifikat für die Dateiwiederherstellung als auch der private Schlüssel den folgenden Richtlinien entsprechend in das System importiert werden, das für die Dateiwiederherstellung verwendet wird:

• Schlüssel müssen im Microsoft-Kryptografiedienstanbieter "RSABase" gespeichert werden.
• Die Eigenschaft Key Info (Schlüsselinformationen) auf dem Zertifikat muss auf diesen Schlüssel im Kryptografiedienstanbieter "RSABase" verweisen. Der Name des Dienstanbieters sollte "Microsoft Base Cryptographic Provider v1.0" sein.

Sie können die Option Zertifikatimport (Certificate Import) im MMC-Snap-In "Zertifikat" (Certificate) verwenden, um das Zertifikat und den privaten Schlüssel zu importieren. Wichtig: Die in diesem Artikel dargelegten Richtlinien wurden von Microsoft überprüft, indem man das Produkt einer führenden Fremdanbieter-Zertifizierungsstelle darauf konfigurierte, EFS- und EFS-Wiederherstellungs-Agent-Zertifikate auszugeben. Das EFS-Testteam hat Verschlüsselung und Wiederherstellung unter Verwendung dieser Zertifikate getestet.