EFS-Schlüssel existiert nicht
Als kürzlich mein Windows XP nicht mehr starten wollte, habe ich einfach ein gesichertes Abbild (Image) des System-Laufwerks zurückgeschrieben. Alles funktionierte danach wieder problemlos - mit einer Ausnahme: Ich kann jetzt nicht mehr auf meine verschlüsselten Dateien zugreifen. Was läuft schief?
- Andreas Beier
Als kürzlich mein Windows XP nicht mehr starten wollte, habe ich einfach ein gesichertes Abbild (Image) des System-Laufwerks zurückgeschrieben. Alles funktionierte danach wieder problemlos - mit einer Ausnahme: Ich kann jetzt nicht mehr auf meine verschlüsselten Dateien zugreifen. Was läuft schief?
Prinzipiell haben Sie alles richtig gemacht. Allerdings scheinen Sie das Encrypted File System (EFS) erst nach dem Anlegen des Images aktiviert zu haben. Windows legt den Schlüssel, den es zum Schützen der Dateien verwendet, nämlich erst beim ersten Einsatz von EFS an. Das Windows im gesicherten Image hat demnach noch nicht den zum Entschlüsseln nötigen Key enthalten, nach dem Zurückspielen klappt der Zugriff auf die EFS-Dateien folglich nicht.
Leider ist uns kein Weg bekannt, um ohne Schlüssel die Daten lesen zu können. Ihre Daten sind also unwiederbringlich verloren.
Deshalb sollte man sofort nach dem ersten Nutzen von EFS sein von Windows angelegtes Zertifikat - das enthält auch den EFS-Schlüssel - exportieren. Dies erledigt man im certmgr.msc, einer Microsoft Management Console (mmc.exe), die durch Eingabe von certmgr.msc in „Ausführen“ im Startmenü aufgerufen wird. Über Alle Tasks/Exportieren im Kontextmenü seines Zertifikats im Zweig „Eigene Zertifikate“ startet man den Zertifikatsexport-Assistent, der durch den Vorgang führt. Sichern Sie unbedingt den privaten Schlüssel mit und aktivieren Sie die Optionen „Wenn möglich, alle Zertifikate im Zertifizierungspfad einbeziehen“ und „Verstärkte Sicherheit aktivieren“. Die Exportdatei mit der Endung pfx schützt der Assistent mit einem Passwort. Sie können sie beispielsweise auf CD-R brennen.
In einem Windows ohne passenden Schlüssel, etwa nach einer Neuinstallation oder Ändern des Benutzerpasswortes durch den Administrator, kann man durch einen Doppelklick auf die pfx-Datei den Importvorgang starten, durch den ein Assistent führt. Anschließend sollte der Zugriff auf die verschlüsselten Dateien wieder gelingen. Weitere Tipps rund um das Thema EFS finden Sie im Artikel „Verschlüsseln, aber richtig“ (c't 12/03, S. 218). (adb) (adb)
