Odczytanie zawartości zaszyfrowanego pliku txt.

pytanie zadane 21 czerwca 2017 w Bezpieczeństwo, hacking przez Pawel19 Nowicjusz (120 p.)

Witam.

Mam problem z odczytaniem ważnego dokumentu tekstowego ponieważ wcześniej nie wiedząc jak działa opcja "Szyfruj zawartość aby zabezpieczyć dane"

Skopiowałem ten dokument na pendrive i po formacie komputera nie mogę już tego otworzyć ani przenieść na dysk i wyskakuje komunikat "Odmowa dostępu". Może istnieje jakiś program który potrafi to odszyfrować ;/?

Prosze o pomoc

komentarz 21 czerwca 2017 przez Mateusz Analityk Stary wyjadacz (13,710 p.)
edycja 21 czerwca 2017 przez Mateusz Analityk

Pierwsza sprawa, jakiego formatu jest ten plik. Po szyfrowaniu zmienia się rozszerzenie pliku. Mniemam, że wcześniej plik miał rozszerzenie txt. teraz niekoniecznie.

Jeśli plik dalej jest txt zobacz czy masz uprawnienia do otwarcia tego pliku.

Zobacz również jakiej wielkości jest plik.

komentarz 21 czerwca 2017 przez Pawel19 Nowicjusz (120 p.)

No tak plik ma dalej rozszerzenie txt. a jego wielkość jest taka jak wcześniej czyli około 3kb i jak próbuje cokolwiek z nim zrobić to wyskakuje odmowa dostępu. Z tego co mi wiadomo jest to szyfrowanie efs. Tak to wygląda http://imgur.com/cr79rCP

1 odpowiedź

odpowiedź 21 czerwca 2017 przez Gynvael Coldwind Nałogowiec (27,530 p.)

Auć. Nie mam dla Ciebie dobrych wiadomości - jeśli nie wyeksportowałeś sobie kluczy wcześniej, to w zasadzie nie ma szansy dobrania się do tych danych (co jak co, ale z tego co mi wiadomo MS się postarał przy EFS). Patrz również https://en.wikipedia.org/wiki/Encrypting_File_System#Recovery

Swoją drogą, miałeś pendrive z NTFS? Całkiem nietypowe.

komentarz 22 czerwca 2017 przez Mateusz Analityk Stary wyjadacz (13,710 p.)

Trzeba wygenerować takie klucze, które będą pasowały. Jeśli znamy hasło, które zostało użyte przy tworzeniu tych kluczy, może by było możliwe jeszcze raz wygenerować takie same klucze w miare przystępnym czasie, jeśli windows nie wziął tego hasła z kosmosu, a ono zostało podane przez użytkownika. To mamy w tedy ograniczoną ilość możliwości. Jeśli nie znamy tego hasła nie będzie to możliwe na pewno, ale jeśli znamy można by pokombinować, bo myślę, że w tedy była by skończona ilość możliwości.

Nie wiem jak działa ten szyfr i nigdy tego nie robiłem, także piszę tylko hipotetycznie.

komentarz 22 czerwca 2017 przez Gynvael Coldwind Nałogowiec (27,530 p.)

W ogólności masz rację, jeśli klucz użyty do zaszyfrowania pliku zostałby wygenerowany na podstawie hasła (tzw. password-based key derivation), to to co mówisz ma sens.

Natomiast zauważ, że takie rozwiązanie byłoby nieoptymalne - w końcu w momencie zmiany hasła użytkownika należałoby przeszyfrować (tj. odszyfrować kluczem ze starego hasła i zaszyfrować kluczem z nowego) wszystkie zaszyfrowane pliki (łącznie, z plikami, które mogły by być np. na dyskach zew. lub pendrive'ach aktualnie niepodłączonych do komputerach, co jest fizycznie niemożliwe).

Alternatywnym pomysłem jest generowanie losowych kluczy per plik, a następnie szyfrowanie tychże jakimś głównym kluczem przypisanym do użytkownika (również losowo wygenerowanym) i trzymanie ich razem z zaszyfrowanymi plikami. Sam główny klucz mógłby być zaszyfrowany kluczem wyprowadzonym z hasła użytkownika. W takim przypadku przy zmianie hasła musimy przeszyfrować jedynie główny klucz.

Mniej więcej powyższy sposób jest użyty w EFS (patrz link z mojej odpowiedzi, sekcja Operation). W tym wypadku klucz główny jest kluczem prywatnym, a zaszyfrowane (kluczem publicznym) klucze konkretnych plików są trzymane w NTFS ADS (https://en.wikipedia.org/wiki/NTFS#Alternate_data_streams_.28ADS.29).

Co sprowadza nas do tego co napisałem - jeśli klucz prywatny danego użytkownika nie został wyeksportowany (choćby w formie zaszyfrowanej hasłem użytkownika), to nie ma praktycznie żadnych nadziei na odzyskanie danych z zaszyfrowanego pliku.

Jedyna nadzieja polega na znalezieniu jakieś leżącej przez przypadek gdzieś na dysku niezaszyfrowanej wersji tego pliku (co w przypadku formatu i używania system nie brzmi zbyt prawdopodobnie).