EFS ist nicht gleich EFS

Praxis & Tipps | Tipps & Tricks

Gelegentlich muss ich auf meinem Laptop Dateien benutzen, die auf meinem Desktop-PC mit dem Encrypted File System (EFS) verschlüsselt wurden. Mein Verschlüsselungszertifikat habe ich exportiert und auf dem Laptop importiert, was ohne Probleme funktioniert hat. Trotzdem gelingt es Windows auf dem tragbaren Rechner nicht, die Dateien zu entschlüsseln. Die Anwendungen melden entweder, dass die Dateien beschädigt sind oder zeigen nur Buchstabensuppe am Bildschirm an. Was kann ich tun?
Je nach Windows-Version setzt EFS unterschiedliche Verschlüsselungsalgorithmen ein. Windows XP ab Service Pack 1 und Windows Server 2003 nutzen standardmäßig AES (Advanced Encryption Standard), verstehen aber auch DESX respektive 3DES. Windows 2000, das erste System, das EFS mitbrachte, kann nur mit DESX umgehen, Windows XP ohne Service Pack außerdem noch mit 3DES.

Damit auf mehreren Rechnern die Entschlüsselung reibungslos klappt, muss auf allen Systemen der kleinste gemeinsame Verschlüsselungsnenner eingestellt sein. Dazu gehen Sie wie folgt vor: Entschlüsseln Sie zuerst alle Dateien, die Sie gemeinsam verwenden wollen. Danach müssen Sie das Verfahren einstellen, das EFS einsetzen soll. Leider hat Microsoft dafür keinen grafischen Konfigurationsdialog vorgesehen, sondern zwingt zur Manipulation der Registry mit dem Registrierungseditor („regedit“ im Start-Menü in „Ausführen...“ eingeben). Der zuständige Eintrag lautet „AlgorithmID“ und steht im Zweig HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS. Sollte der Eintrag fehlen, legen Sie ihn über den Menüpunkt Bearbeiten/Neu/DWORD-Wert oder das Kontextmenü einfach an.

Soll Windows AES mit 256-bittigem Schlüssel nutzen, muss AlgorithmID den hexadezimalen Wert 0x6610 besitzen; der Wert 0x6603 aktiviert 3DES, mit 0x6604 kommt DESX zum Einsatz (einzugeben jeweils ohne vorangestelltes 0x). Damit Windows die Einstellung auch tatsächlich verwendet, ist noch ein Neustart fällig. (adb)

Anzeige