涉及程序:
PGP
描述:
PGP和NTFS相互影响使EFS加密数据泄露
详细:
PGP 7.0.3,一款使用得非常广泛加密免费软件,它能够将被删除的文件彻底清除。
EFS为位于NTFS(5.0版)分区上的文件使用一个加密算法。当一个由EFS保护的文件的临时拷贝被创建的时候,它们也是被加密的。象这些文件的备份和拷贝一样,即使是内存分页文件也是加密的。将文件重新命名也不能降低它的加密性。
但是由于PGP 和NTFS相互影响,反而使得EFS加密数据容易泄露。我们发现如果使用PGP的文件彻底清除(file wiping)选项,并且设置加密(encrypted)属性到一个文件夹上后,它的临时拷贝反而变成了非加密性。并且不能将其彻底删除(wipe).
当我们将一个源文件重命名为"EFSn.TMP"的形式时(这里文件名中的n为一个从零开始逐渐增加的整数),然后将这个文件加密. 将这个临时文件的权限设置到一个非常严格的级别。通常能将它删除。然而使用PGP的wipe项删除这个文件时,会显示PGP阻止文件的删除。因为用户运行的PGP在删除文件上的权限不是很合理,不能将临时文件彻底删除。
如果别人获得了这块硬盘,将能获得这些临时文件的权限。同时在NTFS的缺省设置中,隐藏文件是不会显示的,所以普通用户是不会注意到临时文件的存在的。但是任何管理员都能获得其权限,并且阅读它。
中国网管联盟bitsCN.com
Repro:
1: 建立一个目录为"efs-pgp-interaction-bug",然后拷贝一个文本文件到这个目录中.
2: 右击PGP 快捷键,设置"Automatically wipe on delete" 项,点OK.
3: 右击"efs-pgp-interaction-bug" 目录,依次选择属性,高级,然后再选择"Encrypt contents”
4: 双击 efs-pgp-interaction-bug.如果你已经设置了“显示隐藏的文件和文件夹”,你将会看到EFSn.TMP这个临时文件。 尝试着去打开这个临时文件时,就会导致一个错误:显示"[Permission Denied]",
5: 敲击一下backspace 键后,右击efs-pgp-interaction-bug目录,选择“共享和安全”后,再依次选择“安全”,“高级”,再选中"replace permission entries on all child objects“,确定。
6: 重新打开 efs-pgp-interaction-bug 右击临时文件(EFS0.TMP). 选择 Open With,然后注意浏览你的文件,你将会有所发现.
解决方案:
为 PGP Desktop Securityv7.0.x, PGP Corporate Desktop v7.1.x 和 PGPfreeware v7.0.x (all forWindows 2000) 下载补丁:
http://www.nai.com/naicommon/download/upgrade/upgrades-patch.asp
网管bitscn_com 临时解决方案:
如果你使用加密的NTFS ,建议你不要使用PGP的“ Wipe Deleted “功能。可以使用PGP 的Wipe Free Space功能。
评论加载中…
