Jak działa efs



Pobieranie 100,77 Kb.
Strona1/3
Data23.12.2017
Rozmiar100,77 Kb.
  1   2   3

Jak działa EFS?




Moduł Certyfikaty.
System szyfrowania plików opiera się na zawartych w Windows XP komponentach technologii PKI (Public Key Infrastructure). Technologia ta między innymi zapewnia bezpieczną komunikację sieciową, ochronę informacji przesyłanych przez Internet lub zabezpiecza wiadomości elektroniczne. Zrozumienie mechanizmów działania EFS nie jest trudne, wystarczy poznać podstawowe pojęcia związane z infrastrukturą klucza publicznego.

Na początku artykułu powiedzieliśmy, jak szyfrować i rozszyfrowywać pliki. Zaszyfrowanie polega na przekształceniu danych w taki sposób, że nawet po uzyskaniu bezpośredniego dostępu do pliku jego treść pozostaje nieczytelna. Utajnienie zawartości plików następuje wskutek połączonego działania algorytmów szyfrowania symetrycznego oraz niesymetrycznego. Dane są kodowane za pomocą algorytmów szyfrowania symetrycznego, np. DESX, AES 256 lub 3DES. Do zaszyfrowania i rozszyfrowania danych niezbędny jest wygenerowany przez Windows klucz szyfrowania. Każdy zaszyfrowany plik ma własny klucz, przechowywany w odpowiednim polu nagłówka. Utrata lub brak dostępu do klucza sprawia, że nie można poznać zawartości pliku. Jeśli klucz trafi w ręce osób niepowołanych, poufność danych staje pod znakiem zapytania. Dlatego ochrona klucza jest podstawowym wymogiem skutecznego działania systemu EFS. Do zaszyfrowania poufnych pól nagłówków plików Windows wykorzystuje algorytmy szyfrowania niesymetrycznego, np. RSA. Posługują się one powiązaną ze sobą parą kluczy - publicznym i prywatnym. W przeciwieństwie do algorytmów symetrycznych dane nie są szyfrowane i deszyfrowane tym samym kluczem. Do zaszyfrowania jest stosowany klucz publiczny, a do rozszyfrowania prywatny.

W nagłówkach plików systemu NTFS znajdują się pola związane z EFS. Każdy z plików ma dwa rodzaje pól: DDF (Data Decryption Fields) i DRF (Data Recovery Fields). DDF gromadzi klucze szyfrowania, tzw. FEK (File Encypion Key), zaszyfrowane kluczem publicznym użytkownika. Pole to może zawierać wiele wpisów. Dzięki temu system operacyjny umożliwia współdzielenie zaszyfrowanych plików kilku użytkownikom. Konfiguracja współdzielenia plików jest omówiona w dalszej części artykułu. Jeśli chcesz otworzyć plik, system odczytuje zawartość pola DDF i sięga do chronionego magazynu certyfikatów w celu pobrania twojego klucza prywatnego, którym rozszywrowuje klucz FEK. Po uzyskaniu klucza FEK można rozszyfrować cały plik lub tę jego część, której żądanie zostało przesłane przez system operacyjny. Pola DRF służą do przechowywania klucza FEK, zaszyfrowanego przez publiczne klucze agentów odzyskiwania. Jeśli utracisz certyfikaty użytkowników szyfrujących pliki, dane przechowywane w DRF zabezpieczą cię przed utratą dostępu do zasobów.

Na pierwszy rzut oka mechanizm szyfrowania wydaje się niepotrzebnie skomplikowany. Szyfrowanie i rozszyfrowanie pliku jednym kluczem, a następnie szyfrowanie klucza kolejnym kluczem może utrudniać zrozumienie działania EFS. Jednakże stosowanie takiego mechanizmu ma wiele zalet. Po pierwsze, każdy plik może mieć własny klucz szyfrowania. Zastosowanie algorytmów szyfrowania asymetrycznego powoduje, że klucz ten jest odpowiednio zabezpieczony. Użytkownik szyfrujący dane nie musi przechowywać dziesiątków lub setek kluczy. Podział na pola DDF i DRF wprowadza dodatkowy poziom bezpieczeństwa danych.



UWAGA!

Użytkownicy Windows XP, którzy często szyfrują pliki, mogą umieścić polecenie szyfrowania w menu podręcznym. W tym celu uruchom program REGEDIT (Start | Uruchom | Regedit | OK) i przejdź do klucza HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced. Następnie z menu Edycja wybierz polecenie Nowy | Wartość DWORD i wpisz nazwę EncryptionContextMenu. Po naciśnięciu [Enter] z menu Edycja wybierz polecenie Modyfikuj, wprowadź wartość 1 i zamknij Edytor rejestru. Od tej chwili szyfrowanie następuje po kliknięciu obiektu prawym przyciskiem myszy i wskazaniu opcji Szyfruj.

Wystaw sobie certyfikat

Zanim którykolwiek z użytkowników Windows będzie mógł szyfrować pliki, musi mieć odpowiedni certyfikat. Stosowane w technologii PKI certyfikaty to cyfrowe dokumenty potwierdzające tożsamość użytkownika. Pełnią one podobne funkcje, jak dowody osobiste. Certyfikaty mogą też być wystawiane komputerom lub usługom. Te, które spotykasz w Internecie, są przyznawane przez urzędy certyfikacji jak np. Thawte, Verisign itd. Ponieważ EFS jest usługą o zasięgu lokalnym, nie trzeba przypisywać użytkownikom certyfikatów wystawionych przez specjalistyczną firmę. Gdyby jednak system EFS był wykorzystywany w domenie Windows 2000 lub Server 2003, można go skonfigurować tak, żeby pracował z wykorzystaniem certyfikatów wystawionych przez urząd certyfikacji.






Okno Kreatora eksportu certyfikatu.


  1   2   3


©operacji.org 2017
wyślij wiadomość

    Strona główna