Шифрование файлов Windows
В систему Windows версий Windows 2000/XP/Vista включено такое средство защиты, как шифрующая файловая система EFS (Encrypted File System). Она обеспечивает ядро технологии шифрования файлов, которая используется в файловой системе NTFS.
Для шифрования применяется симметричный алгоритм DESX с секретным 56-разрядным ключом, генерируемым для каждой папки или файла. Данный ключ шифруется открытым ключом пользователя Windows и присоединяется к шифруемому файлу или папке как атрибут DDF (Data Decipher Field - поле дешифрации данных), который расшифровывается закрытым ключом пользователя при открытии файла.
Шифрование является прозрачным для пользователя, зашифровавшего файл, поэтому он имеет возможность работать с этим файлом так же; как и с другими файлами или папками. Расшифровка выполняется в фоновом режиме при открытии файла, а при завершении работы с файлом выполняется шифрование.
При работе с зашифрованными файлами и папками необходимо учитывать следующие моменты:
· шифруются только файлы и папки, находящиеся на томах NTFS;
· сжатые файлы и папки, а также файлы и папки, открытые для общего доступа, не могут быть зашифрованы;
· зашифрованные файлы могут стать расшифрованными, если файл копируется или перемещается на том, не являющийся томом NTFS, а также при копировании в незашифрованную папку, даже если она находится на NTFS-томе;
· при перемещении незашифрованных файлов в зашифрованную папку они автоматически шифруются. Обратная операция не проводится. Другими словами, при перемещении файла из зашифрованной папки в незашифрованную файл все равно останется зашифрованным;
· не могут быть зашифрованы файлы с атрибутом System (Сис- темный).
|
После шифрования доступ к файлу может получить либо сам пользователь, выполнивший шифрование, либо агент восстановления (пользователь, имеющий права на открытие шифрованных файлов и которому выдан сертификат открытого ключа для восстановления пользовательских данных, закодированных шифрующей файловой системой EFS). По умолчанию таким агентом назначается локальный администратор системы, однако система Windows позволяет делегировать права агента восстановления любым пользователям, у которых имеются файлы сертификатов.
Что такое шифрованная файловая система (EFS)?
Шифрованная файловая система (EFS) - это компонент Windows, позволяющий сохранять сведения на жестком диске в зашифрованном формате. Шифрование - это самая сильная защита, которую предоставляет Windows для защиты данных.
Некоторые ключевые свойства EFS:
· Шифрование - простое действие; для его включения достаточно установить флажок в свойствах файла или папки.
· Можно указать, кому именно разрешается читать эти файлы.
· Файлы шифруются, когда они закрываются, но при открытии они автоматически готовы к использованию.
· Если шифровать файл больше нет необходимости, снимите флажок в свойствах файла.
Примечание
· Файловая система EFS в выпусках Windows 7 Начальная, Windows 7 Домашняя базовая и Windows 7 Домашняя расширенная поддерживается частично. В этих выпусках ОС Windows при наличии ключа шифрования или сертификата можно выполнять следующие действия.
o Дешифровать файлы, запуская файл Cipher.exe в окне командной строки (для опытных пользователей)
o Изменять зашифрованный файл
|
o Копировать зашифрованный файл как расшифрованный на жесткий диск вашего компьютера
o Импортировать сертификаты и ключи системы EFS
o Создавать резервные копии EFS-сертификатов и ключей, запуская файл Cipher.exe в окне командной строки (для опытных пользователей)
Сертификат открытого ключа, обычно называемый просто сертификатом, - это документ с цифровой подписью, связывающий значение открытого ключа с удостоверением пользователя, устройства или службы, которым принадлежит соответствующий закрытый ключ. Одно из основных преимуществ использования сертификатов состоит в устранении необходимости использования на узлах паролей для отдельных субъектов, для предоставления доступа которым необходимо выполнять проверку их подлинности. Вместо этого узел просто устанавливает доверительные отношения с поставщиком сертификата.
Большинство широко используемых сертификатов основано на стандарте сертификата X.509 версии 3.
Как правило, сертификаты содержат следующие сведения:
- значение открытого ключа субъекта;
- сведения об идентификации субъекта, такие как имя и адрес электронной почты;
- срок действия (время, в течение которого сертификат считается действительным);
- сведения для идентификации поставщика;
- цифровую подпись поставщика, заверяющую действительность связи между общим ключом субъекта и сведениями для его идентификации.
Сертификат действителен только в течение указанного в нем периода; каждый сертификат содержит даты Действителен с и Действителен по, которые задают границы срока действия. По окончании срока действия сертификата субъект устаревающего сертификата должен запросить новый сертификат.
|
Сертификаты могут использоваться для выполнения следующих задач:
- Проверка подлинности, которая служит для идентификации кого-либо или чего-либо.
- Секретность, которая гарантирует доступность сведений только для указанной аудитории.
- Шифрование, которое изменяет сведения таким образом, чтобы их было невозможно расшифровать при попытке несанкционированного прочтения.
- Цифровые подписи, которые предоставляют целостность и невозможность отрицания авторства сообщений.
Эти службы могут быть важны для безопасности подключений. Кроме того, сертификаты используются во многих приложениях, например в приложениях электронной почты и веб-браузерах.
Проверка подлинности
Проверка подлинности крайне важна для повышения безопасности подключения. Пользователи должны иметь возможность доказать свою подлинность тем, с кем они соединяются, и должны иметь возможность проверить подлинность других пользователей. Проверка подлинности по сети довольно сложна, поскольку пользователи, устанавливающие соединение, физически не встречаются. Это может позволить перехватывать сообщения и выдавать себя за другое лицо.
Конфиденциальность
Всякий раз, когда конфиденциальная информация передается между двумя вычислительными устройствами по сети любого типа, пользователи обычно должны использовать какой-либо вид шифрования для сохранения секретности своих данных.
Шифрование
Шифрование можно себе представлять как запирание ценностей в сейф под ключ. И наоборот, расшифровывание аналогично открыванию сейфа и извлечению ценностей. На компьютерах конфиденциальные данные в форме сообщений электронной почты, файлов на диске и файлов, передаваемых по сети, могут быть зашифрованы с помощью ключа. Зашифрованные данные и ключ, используемый для шифрования данных, нельзя расшифровать.
Дополнительные сведения о шифровании и сертификатах см. в разделе Ресурсы, посвященные сертификатам.
Цифровые подписи
Цифровая подпись – это способ гарантировать целостность и происхождение данных. Цифровая подпись обеспечивает убедительные доказательства, что данные не были изменены после подписания, и подтверждает подлинность пользователя или элемента, подписавшего данные. Это создает такие возможности системы безопасности, как целостность и неотрекаемость, которые важны для безопасных электронных торговых операций.
Цифровые подписи обычно используются при распространении данных в виде обычного текста в незашифрованной форме. Хотя в этих случаях уязвимость сообщения не является основанием для шифрования, могут оставаться важные причины для гарантии того, что данные находятся в исходном виде и не были отправлены самозванцем. Это связано с тем, что в распределенных вычислительных средах незашифрованный текст может быть прочитан и изменен любым лицом с соответствующим доступом (санкционированным или нет).
Открытые и закрытые ключи
При шифровании с открытым ключом для шифрования и расшифровки информации используются два разных ключа. Закрытый ключ известен только его владельцу, а открытый ключ может предоставляться другим субъектам в сети.
Эти два ключа различаются друг от друга, но функционируют во взаимодействии. Например, открытый ключ пользователя может публиковаться в сертификате, расположенном в папке, чтобы ключ был доступен другим пользователям в организации. Отправитель сообщения может извлечь сертификат пользователя из доменных служб Active Directory, получить открытый ключ из сертификата, а затем зашифровать сообщение с помощью открытого ключа получателя. Информация, зашифрованная с помощью открытого ключа, может расшифровываться только с использованием закрытого ключа из соответствующего набора ключей, который хранится у его владельца, получателя сообщения.