Encrypting File System (EFS)

Inhaltsverzeichnis

Abbildungsverzeichnis

1 Einleitung

2 Theoretischer Teil
2.1 Einordnung von EFS in die Kryptographie
2.2 Aspekte bezüglich der Nutzung von EFS

3 Praktischer Teil
3.1 Umgebung und Werkzeuge
3.2 Erstellung eines mit EFS verschlüsselten Verzeichnisses
3.3 Dateioperationen in verschlüsselten Verzeichnissen
3.3.1 Dateien erstellen, bearbeiten und löschen
3.3.2 Dateien innerhalb der Partition kopieren
3.3.3 Dateien auf einen USB-Stick kopieren
3.3.4 Dateien über ein Netzwerk verschicken
3.4 Untersuchung eines forensischen Partitionsabbildes
3.4.1 Untersuchung mit Autopsy
3.4.2 Untersuchung mit X-Ways Forensics

4 Fazit und Ausblick

Anhang A: Aktivitätenprotokoll

Anhang B: Netzwerkpläne

Quellenverzeichnis

Abbildungsverzeichnis

Abbildung 01: Vorgang Verschlüsselung EFS (gemäß [1], S. 210)

Abbildung 02: Vorgang Entschlüsselung EFS (gemäß [1], S 210)

Abbildung 03: Gehashtes Zertifikat in Registry

Abbildung 04: Eingerichtete Partition für Versuche mit EFS

Abbildung 05: Dialog Verschlüsselung über Eigenschaften des Ordners

Abbildung 06: Fehlende Option für erste Variante Zertifikatsexport

Abbildung 07: Snap-in hinzufügen in Microsoft Management Console (mmc)

Abbildung 08: Übersicht ausgestellte Zertifikate in mmc

Abbildung 09: Export von markierten Zertifikaten in mmc

Abbildung 10: Auswahl privater Schlüssel im Exportassistent

Abbildung 11: Formatauswahl im Exportassistent

Abbildung 12: Passwortvergabe und Verschlüsselung für exportierte Datei

Abbildung 13: Erfolgreich erstellte .pfx- Datei

Abbildung 14: Export von Zertifikaten über die Systemsteuerung

Abbildung 15: Dialog Zertifikatserstellung über Systemsteuerung

Abbildung 16: Dialog Zertifikatssicherung über Systemsteuerung

Abbildung 17: Erstellte verschlüsselte Dateien

Abbildung 18: Gelöschte verschlüsselte Datei

Abbildung 19: Zertifikat für einzelne Datei nach Variante eins

Abbildung 20: Datei 'Gar nicht geheim.txt' unverschlüsselt Originalordner

Abbildung 21: Abfrage Übertragung Ordner ohne Verschlüsselung

Abbildung 22: Unverschl. Ordner auf Desktop und verschl. auf USB-Stick

Abbildung 23: Übertragung von USB-Stick per FTP schlägt fehl

Abbildung 24: Verlaufsprotokoll FTP-Kommunikation

Abbildung 25: Unverschl. Übertragung EFS-Datei zw. Client und FTP-Server

Abbildung 26: Datenquellimport, hier: Encryption Detection Module

Abbildung 27: Übersicht importiertes logisches Image der Partition

Abbildung 28: MFT Eintrag 40 (allocated File), logisches Image Partition

Abbildung 29: File Metadata verschlüsselte Textdatei 'Geheim.txt'

Abbildung 30: MFT Eintrag 43 (unallocated File), physisches Image USB-Stick

Abbildung 31: EFS0.LOG File in Autopsy

Abbildung 32: Gefilterte EFS-Dateien X-Ways Forensics

Abbildung 33: $EFS-Einträge, die das Data Decryption Field beinhalten

Abbildung 34: Gewonnene Informationen aus $EFS- Einträgen

Abbildung 35: Netzwerkplan 1, fehlgeschlagene FTP-Übertragung

Abbildung 36: Netzwerkplan 3, erfolgreiche FTP-Übertragung

1 Einleitung

Die vorliegende Hausarbeit ist ein Thema aus einem ganzen Komplex an Themen, die den Studenten der digitalen Forensik des Jahrgangs 2018 der Hochschule Albstadt-Sig- maringen im Studienmodul M111 zur Auswahl gestellt wurden. Gegenstand dieses Mo- duls ist die Datenträgerforensik. Diese Hausarbeit beschäftigt sich mit dem Encrypting File System (EFS) des New Technology File System (NTFS) von Microsoft und wird, der Aufgabenstellung entsprechend, den Sachverhalt sowohl theoretisch darstellen als auch praktisch untersuchen.

Kapitel 2 widmet sich aus diesem Grund der theoretischen Annäherung an das Thema. Dabei geht es darum zuerst die grundsätzliche Funktionsweise von EFS zu erschließen. Zum besseren Verständnis wird dabei auf den Ver- und Entschlüsselungsvorgang von Verzeichnissen und Dateien eingegangen.

Kapitel 3 ist dem praktischen Anteil dieser Arbeit gewidmet. In diesem Abschnitt wer- den konkrete Versuche durchgeführt, um die verschiedenen Anwendungen von EFS zu erproben und anhand eines forensischen Abbildes weiter zu untersuchen.

Kapitel 4 zieht ein kurzes Fazit über die Inhalte der Arbeit und gibt einen Ausblick dar- über welche Erkenntnisse gewonnen werden konnten und wie auf diese Arbeit für wei- tere Analysen aufgebaut werden kann.

2 Theoretischer Teil

Mit Hilfe des Encrypting File System (EFS) ist es einem Nutzer möglich Dateien und Verzeichnisse im Windows Betriebssystem zu ver- oder entschlüsseln. Es steht aus- schließlich für das proprietäre Dateisystem NTFS von Microsoft zur Verfügung.

Zunächst ergibt es Sinn eine kurze allgemeine Einführung in den Bereich der Kryptogra- phie vorzunehmen, um EFS korrekt einzuordnen und die Mechanismen hinter EFS zu verstehen.

2.1 Einordnung von EFS in die Kryptographie

Verschlüsselung (engl. Encryption) beschreibt den Vorgang, dass, unter Verwendung ei- nes kryptographischen Algorithmus und eines Schlüssels, Klartext in einen chiffrierten Text umgesetzt wird.

Dabei wird auf Seiten des Krypto-Algorithmus zwischen symmetrischen und asymmetri- schen Konzepten unterschieden. Eine symmetrische Umsetzung verwendet dabei den gleichen Schlüssel für Ver- und Entschlüsselung von Informationen. Diese Technik ist schnell, besitzt jedoch Nachteile in Bezug auf die Verteilung der verschlüsselten Infor- mation. Bei mehreren Empfängern muss der Schlüssel entweder allen bekannt sein, ohne den Schlüssel zu ändern, oder eine Kopie der Information mit unterschiedlichen indivi- duellen Schlüsseln bearbeitet werden. Im ersten Fall ist es schwierig einen User auszu- schließen und im letzteren Fall würde der Speicherbedarf von Daten immens steigen.

Asymmetrische Kryptoverfahren verwenden hingegen verschiedene Schlüssel für Ver- und Entschlüsselung. Dabei ist es in der Regel üblich, dass einer der Schlüssel privat (Entschlüsselungsanteil) und der andere öffentlich (Verschlüsselungsanteil) bekannt ist. Dadurch werden beide Nachteile des symmetrischen Vorgehens ausgemerzt ([1], S.209).

Bei EFS handelt es sich um eine Kombination aus sysmmetrischen und asymmetrischen Kryptierungsverfahren. Beim symmetrischen Anteil kam früher der Algorithmus DESX, seit Windows XP AES, zum Einsatz. Mit AES wird ein zufälliger Schlüssel, der soge- nannte File Encryption Key (FEK), für jeden Eintrag in der Master File Table (MFT), und damit für die beinhalteten Daten, erzeugt.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 01: Vorgang Verschlüsselung EFS (gemäß [1], S. 210)

Gemäß Abbildung 01 wird der FEK wiederum, je nach Benutzer, ein weiteres Mal mittels RSA-Algorithmus asymmetrisch verschlüsselt und anschließend im sogenannten $LOG- GED_UTILITY_STREAM Attribut abgelegt. In diesem Attribut liegen, neben dem ver- schlüsselten FEK, auch data decryption fields (DDF) und data recovery fields (DRF) ([1], S. 209).

Im DDF ist die Security ID (SID) eines Users und sein entsprechender, mit seinem öf- fentlichen Schlüssel, verschlüsselter FEK zu finden. Unterdessen befindet sich im DRF, je nach Wiederherstellungsmethode, der FEK welcher an dieser Stelle mit dem öffentli- chen Schlüssel eines autorisierten Benutzers (Administrator) verschlüsselt wurde. Dadurch wird gewährleistet, dass beispielsweise ein Zugriff durch einen Admin mit dem passenden Schlüssel auf die Daten erfolgen kann.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 02: Vorgang Entschlüsselung EFS (gemäß [1], S 210)

Für eine Entschlüsselung von Daten wird zunächst das zugehörige DDF des Nutzers iden- tifiziert. Danach wird mit Hilfe des privaten Schlüssels der verschlüsselte FEK entschlüs- selt und dieser dann benutzt um schlussendlich die gewünschten Daten zu dekryptieren.

Der private RSA 2048-Bit Schlüssel wird zur Laufzeit erzeugt und wird mit einem SHA1 gehasht [2]. Dieser Hashwert ist auch in der Registry unter dem Registryschlüssel HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\EFS \Cur- rentKeys zu finden.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 03: Gehashtes Zertifikat in Registry

Da der Hashwert schwach gehasht in der Windows Registry liegt, sind im Ermittlungsfall die Anmeldedaten und die Registry ausreichend, um mit EFS verschlüsselte Daten des entsprechenden Nutzers zu entschlüsseln ([1], S.210).

Gelingt es einem Angreifer oder Ermittler also unter Verwendung von gängigen Tools die Logindaten eines Users zu extrahieren, dann können diese Informationen genutzt wer- den, um die verschlüsselten Verzeichnisse und Dateien zu entschlüsseln. Einen weiteren Schwachpunkt in EFS sah B. Carrier 2005 in der Tatsache, dass während des Verschlüs- selungsvorgangs temporäre Dateien angelegt werden, die die Inhalte der zu verschlüs- selnden Dateien in Klartext beinhalten. Nach Abschluss der Verschlüsselung werden diese temporären Dateien gelöscht, jedoch nicht vollständig entfernt. Dadurch entstehen viele Möglichkeiten diese Daten mit den entsprechenden Werkzeugen wiederherzustellen [1].

Voraussetzung dafür ist, dass der Eintrag in der MFT nicht realloziert wurde. Inwiefern diese Aussagen zum Zeitpunkt der vorliegenden Arbeit noch korrekt sind, wird im Wei- teren untersucht werden müssen.

2.2 Aspekte bezüglich der Nutzung von EFS

EFS ist eine Verschlüsselung, die auf dem Betriebssystem von Windows für das Datei- system NTFS verwendet wird. EFS kann dementsprechend beispielsweise nicht für das Dateisystem FAT16/32 eingesetzt werden. Der lesende und schreibende Zugriff auf ver- schlüsselte Dateien und Ordner ist in der Regel nur durch denjenigen Nutzer möglich, der die Kryptierung vorgenommen hat. Jedoch können weiteren Nutzer zusätzlich Rechte ge- währt werden, um einen Zugriff auf die verschlüsselten Daten zu erhalten ([3]).

Bei der ersten Benutzung von EFS wird durch das Betriebssystem ein Zertifikat für den angemeldeten Benutzer angelegt. Dieses Zertifikat, nebst dem erzeugten privaten Schlüs- sel, stellt alle Bestandteile dar, um die Verschlüsselung vorzunehmen und sollte durch den jeweiligen Nutzer zusätzlich extern gespeichert werden, um notfalls wieder impor- tiert zu werden. Das erzeugte Zertifikat mit dem Schlüssel können unter anderem mit Hilfe der Microsoft Management Console certmgr.msc exportiert werden. Ohne die Si- cherung ist im Falle eines Systemabsturzes oder einer Neuvergabe eines Passwortes durch den Admin kein Zugriff mehr durch den Nutzer auf die verschlüsselten Daten möglich. Das Vorgehen zur Sicherung wird im praktischen Teil erläutert ([3]).

Zur Wiederherstellung von verschlüsselten Dateien können folglich das gesicherte Zerti- fikat und der Schlüssel oder ein sogenannter Wiederherstellungsagent benutzt werden. Bei diesem Agenten handelt es sich, wie oben beschrieben, um einen autorisierten Benut- zer, der die verschlüsselten Daten wiederherstellen kann. Je nach Betriebssystemversion wird der Wiederherstellungsagent automatisch erstellt oder muss manuell angelegt wer- den ([4]).

In älteren Dokumentationen wird beschrieben, dass die Portierbarkeit von verschlüsselten Dateien nicht ohne Tücken funktioniert. Es wird unter anderem darüber berichtet, dass Nutzer B, der die verschlüsselte Datei und den zugehörigen Schlüssel von Nutzer A be- sitzt, die Datei zwar entschlüsseln kann, jedoch anschließend automatisch die Datei mit dem eigenen Schlüssel kryptiert. Das heißt, dass der originäre Nutzer A die Datei mit seinem Schlüssel nicht mehr dekryptieren kann.

Des Weiteren sind Fälle in den Anfängen von EFS dokumentiert, die belegen, dass die Verschlüsselung bei Transport über ein Netzwerk oder bei Ablage auf externen Datenträ- gern aufgehoben wurde ([4]).

Diese Untersuchungsergebnisse beziehen sich jedoch auf Windows 2000 und Windows XP und bedürfen im praktischen Teil einer erneuten Verifikation anhand eines neueren Betriebssystems.

3 Praktischer Teil

In diesem Abschnitt wurden praktische Versuche mit EFS durchgeführt. Zunächst ist all- gemein die Verschlüsselung erprobt und dann an konkreten Beispielen untersucht wor- den. Im Fokus standen dabei die Funktionsweise und die Sicherheit von EFS.

Des Weiteren sollte laut Aufgabenstellung ein forensisches Abbild der entsprechenden Partition mit unterschiedlichen Tools erforscht werden. Dabei ging es vor allem um die Nachweisbarkeit von verschlüsselten Informationen und deren Auffindbarkeit.

3.1 Umgebung und Werkzeuge

Die Untersuchungen wurden auf einem, bzw. zwei virtuellen Windows 10 Pro 64-Bit Betriebssystemen durchgeführt, da die eigene Windows 10 Home 64-Bit, bzw. Windows 7 Home 64-Bit Version nicht die Möglichkeit bietet EFS zu nutzen.

3.2 Erstellung eines mit EFS verschlüsselten Verzeichnisses

Zunächst ergab es, in Hinblick auf die weiterführende Aufgabenstellung, Sinn eine neue Partition anzulegen. Diese Partition sollte dann für die weiteren Versuche benutzt wer- den und erleichterte die Erstellung eines Images in den letzteren Untersuchungen. Diese neue Partition ist mit einer Größe von etwa 200 MB angelegt worden, um den Imaging- Prozess aufgrund des geringen Umfangs schneller durchführen zu können. Dies ist für Versuchszwecke völlig ausreichend, um einige Verzeichnisse und Dateien abzuspei- chern und zu testen ([5]).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 04: Eingerichtete Partition für Versuche mit EFS

Nachdem die zusätzliche Partition erstellt wurde, ist ein Ordner mit der Bezeichnung ver- schluesselter_Ordner angelegt worden. Anschließend erfolgte per Rechtsklick auf den Ordner über Eigenschaften>Erweitert und die Option Inhalt verschlüsseln, um Daten zu schützen die eigentliche Verschlüsselung.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 05: Dialog Verschlüsselung über Eigenschaften des Ordners

Am Ende des Verschlüsselungsvorgangs ist optisch erst einmal kein Unterschied zu er- kennen; das Verzeichnis sah genauso aus wie zuvor. Jedoch war per Rechtsklick ein Ein- trag Dateibesitz zu erkennen, der auf eine Schaltfläche Privat mit einem geöffneten Schloss verwies. Wird diese angeklickt, dann wird die Verschlüsselung rückgängig ge- macht und die Eigenschaften des Ordners sind wieder im Ursprungzustand.

Ist die Verschlüsselung angestoßen, weist eine Meldung des Betriebssystems bereits da- rauf hin, dass das Zertifikat gesichert werden sollte. Die Sicherung kann dabei auf meh- reren Wegen vorgenommen werden.

Gemäß Recherche kann zum einen per Rechtsklick auf den Ordner und den Dialog Ei- genschaften>Erweitert>Details>Schlüssel sichern der Assistent zum Sichern von Zerti- fikaten aufgerufen werden. Die Optionen wurden jedoch nicht angezeigt, deshalb konnte auf diesem Weg die Sicherung nicht erfolgen.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 06: Fehlende Option für erste Variante Zertifikatsexport

Die zweite Möglichkeit ist die, in den vorherigen Abschnitten beschriebene, Speicherung des Zertifikates über die Management-Konsole von Windows. Diese wird über die cmd mit dem Befehl mmc aufgerufen.

Dann muss das Snap-in für Zertifikate über Datei>Snap-in hinzufügen>Zertifikate er- gänzt werden.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 07: Snap-in hinzufügen in Microsoft Management Console (mmc)

In der Strukturauflistung Zertifikate-Aktueller Benutzer>Eigene Zertifikate>Zertifikate kann dann schließlich mit Rechtsklick auf das entsprechende Zertifikat und Alle Aufga- ben>Exportieren die Sicherung von Zertifikat und privatem Schlüssel durchgeführt wer- den.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 08: Übersicht ausgestellte Zertifikate in mmc

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 09: Export von markierten Zertifikaten in mmc

[...]