Estoy jugando con los certificados y el cifrado en un sistema Windows, pero o no funciona o no sé cómo debería funcionar.
Cuando cifro un archivo, su nombre cambia a verde. Pero entonces, puedo abrirlo sin ningún aviso o algo. Pensé "bueno ... estoy registrado con el mismo usuario que cifró el archivo, transfirámoslo al teléfono", y así lo hice, y puedo abrir el archivo sin ningún problema en el teléfono también.
¿Por qué?
El cifrado incorporado de Windows se realiza de forma transparente en el nivel del sistema de archivos. La clave de cifrado se almacena en su perfil de cuenta cifrado con su contraseña de inicio de sesión (es por eso que aparece una advertencia cuando cambia su contraseña). Así que el inicio de sesión desbloquea la clave, lo que hace que sus archivos cifrados estén disponibles.
Dado que el cifrado y descifrado se realiza de forma transparente mediante NTFS, nunca se ve realmente el texto cifrado. Si NTFS no tiene la clave de descifrado, simplemente no le permitirá leer el archivo. Puede obtener el texto cifrado leyendo los datos de la partición sin procesar, pero no hay una ventaja real para hacerlo. El archivo solo se puede descifrar con la clave que mencioné, que en realidad nunca se ve.
Windows le permite hacer una copia de seguridad de su clave de cifrado, donde exporta la clave cifrada con otra contraseña elegida. Esto es útil si alguna vez coloca el disco en una computadora diferente o si reinstala Windows. Pero no es realmente útil de otra manera.
Dado que el cifrado está vinculado al sistema de archivos, no está diseñado para compartir datos cifrados. En su lugar, está protegiendo los archivos donde se sientan contra cualquier otra persona que ponga sus manos en su computadora.
Si desea crear un contenedor cifrado para transferir archivos a otra persona, recomendaría una herramienta de compresión que admita un cifrado sólido. 7-zip es una gran elección.
La clave de cifrado está vinculada a su cuenta y se desbloquea cuando ingresa la contraseña de su cuenta. Por lo que sé, pero no soy un experto en Windows, lo que significa "desbloquear" depende de la versión de Windows y de si hay un TPM disponible, pero la idea es que la clave de cifrado no se puede recuperar sin adivinar su contraseña (y , con un TPM, no se puede recuperar en una máquina diferente incluso con su contraseña).
El acceso a los archivos cifrados es transparente en el sistema operativo. Cuando intenta leer desde un archivo encriptado, el sistema operativo lo descifra sobre la marcha (y, a la inversa, se encripta cuando escribe), por lo que las aplicaciones no necesitan saber que algunos archivos están encriptados.
Cuando copia el archivo a otra computadora, el contenido del archivo se copia. No tendría sentido copiar el texto cifrado.
Puede observar el cifrado configurando los permisos del archivo para que otra cuenta pueda leerlo e intente acceder a él a través de la otra cuenta. Puede observar el cifrado montando el disco en otra máquina o iniciando otro sistema operativo (por ejemplo, un sistema Linux en vivo). En estos casos, la clave no estaría disponible, por lo que no podrá acceder a los datos.
La propiedad de seguridad que ofrece el cifrado es que si alguien se apodera de su computadora (o más precisamente en el disco de su computadora) mientras no está conectado, no podrá acceder a sus datos (suponiendo que no puedan adivinarlos). tu contraseña).
Es extremadamente útil para usos empresariales como los "perfiles móviles", en los que los datos se copian de un servidor a la estación de trabajo local cuando inicia sesión. Cada usuario diferente que inicie sesión tendrá su propio directorio de perfil con sus propios archivos.
El cifrado a nivel de archivo significa que incluso si alguien captura el disco de la máquina, el contenido de los directorios de perfil de todos los usuarios que han iniciado sesión en esa máquina no contiene más que datos cifrados.
El esquema de encriptación empresarial (con Active Directory) también tiene características como "Recuperación de clave" que le permite a la administración leer sus archivos si decide no volver a trabajar, o si olvida su contraseña y necesita una nueva.
Cuando usa esto fuera de una empresa, no es un gran sistema. La base de datos SAM de Windows todavía contiene un hash de su contraseña para los inicios de sesión. Este es un punto débil porque la contraseña debe estar protegida contra ataques sin conexión. Es decir, Brute forzando la base de datos SAM
Hay maneras de evitarlo al cifrar la base de datos SAM, pero en este punto, es mucho mejor usar algo como TrueCrypt, Bitlocker o algún otro esquema de cifrado de disco completo. El cifrado a nivel de archivo es interesante en Windows, pero no he encontrado un uso para él fuera de los entornos empresariales.
Algunas buenas respuestas aquí. Pero lo que podría simplificar todo esto es simplemente decir que el cifrado está vinculado a la cuenta actual en la que inició sesión cuando lo cifró. Intenta crear una nueva cuenta en esa máquina. (incluso una cuenta de administrador) Inicie sesión en la nueva cuenta y ahora mire el archivo (en su lugar, sin moverlo del sistema). No puedes leerlo ahora, ¿verdad? En su ejemplo de teléfono. El hecho de moverlo fuera del sistema a una unidad que no sea NTFS le permitirá mover la versión sin cifrar al teléfono. Así que, por supuesto, ahora cualquiera puede leerlo.
Es completamente intuitivo. "Cifrar" implica que los archivos se codificarán y se requerirá una contraseña para cada acceso, para cada nueva aplicación y con la implementación de las opciones de tiempo de espera. Algo así como iniciar sesión en su cuenta bancaria con niveles de seguridad y que se desconecta automáticamente después de un tiempo.
Sin embargo, esto no es lo que sucede. Como otros han dicho anteriormente, la clave de descifrado está vinculada a su inicio de sesión y se utiliza automáticamente al iniciar sesión, y en el nivel del sistema, de modo que, mientras esté conectado, los archivos estarán tan accesibles como antes, desde cualquier lugar. Aplicación y sin ninguna solicitud de contraseña o tiempos de espera. Básicamente, si deja su computadora desbloqueada o la comparte en la misma cuenta, podrán leer sus archivos.
Se está implementando mal intentar acceder a las carpetas / archivos de otra cuenta en la misma máquina. No puede abrir ni leer ningún archivo, pero sí puede leer el árbol de directorios y leer todos los nombres de directorios y archivos. Por ejemplo, "Mis cuentas bancarias secretas.txt" o "Carta secreta a mi lawer.doc". Por lo tanto, otro usuario en la misma máquina podrá ver exactamente qué tipo de elementos ha cifrado, leyendo todos los metadatos asociados con cada archivo, por ejemplo, es un documento, una imagen, cuando se creó, etc.
Lea otras preguntas en las etiquetas encryption windows file-encryption