Szyfrowanie systemu plików

Encrypting File System ( EFS ) to system szyfrowania danych, który implementuje szyfrowanie na poziomie plików w systemach operacyjnych Microsoft Windows NT (począwszy od Windows 2000 i nowszych), z wyjątkiem wersji „domowych” ( Windows XP Home Edition , Windows Vista Basic , Windows Vista Home Premium , Windows 7 Starter (Home Basic i Premium), Windows 10 Pro, Enterprise i Education, Windows Server 2016 , Windows Server 2019. Ten system zapewnia możliwość „ przezroczystego szyfrowania» dane przechowywane na partycjach NTFS w celu ochrony potencjalnie wrażliwych danych przed nieautoryzowanym dostępem podczas fizycznego dostępu do komputera i dysków.

Uwierzytelnianie użytkownika i uprawnienia do zasobów znalezione w NT działają podczas uruchamiania systemu operacyjnego, ale możliwe jest uruchomienie innego systemu operacyjnego podczas fizycznego dostępu do systemu, aby ominąć te ograniczenia. EFS wykorzystuje szyfrowanie symetryczne do ochrony plików, a także szyfrowanie oparte na parze kluczy publiczny/prywatny, aby chronić losowo generowany klucz szyfrowania dla każdego pliku. Domyślnie klucz prywatny użytkownika jest chroniony przez szyfrowanie hasła użytkownika, a bezpieczeństwo danych zależy od siły hasła użytkownika.

Opis pracy

EFS działa poprzez szyfrowanie każdego pliku za pomocą algorytmu szyfrowania symetrycznego, który zależy od wersji systemu operacyjnego i ustawień (począwszy od Windows XP, teoretycznie możliwe jest użycie bibliotek innych firm do szyfrowania danych). Wykorzystuje losowo generowany klucz dla każdego pliku, zwany kluczem szyfrowania plików (FEK), wybierając na tym etapie szyfrowanie symetryczne ze względu na jego szybkość w stosunku do szyfrowania asymetrycznego.

FEK (symetryczny klucz szyfrowania, losowy dla każdego pliku) jest chroniony przez szyfrowanie asymetryczne , przy użyciu klucza publicznego użytkownika szyfrującego plik oraz algorytmu RSA (teoretycznie można zastosować inne algorytmy szyfrowania asymetrycznego). Zaszyfrowany w ten sposób kod FEK jest przechowywany w alternatywnym strumieniu $EFS systemu plików NTFS. Aby odszyfrować dane, zaszyfrowany sterownik systemu plików w sposób przezroczysty odszyfrowuje FEK przy użyciu klucza prywatnego użytkownika, a następnie wymagany plik przy użyciu odszyfrowanego klucza pliku.

Ponieważ szyfrowanie/odszyfrowywanie plików odbywa się za pomocą sterownika systemu plików (w rzeczywistości jest to dodatek do NTFS), jest on niewidoczny dla użytkownika i aplikacji. Warto zauważyć, że EFS nie szyfruje plików przesyłanych przez sieć, więc do ochrony przesyłanych danych należy użyć innych protokołów ochrony danych ( IPSec lub WebDAV ).

Interfejsy do interakcji z EFS

Aby pracować z EFS, użytkownik ma możliwość skorzystania z graficznego interfejsu eksploratora lub narzędzia wiersza poleceń.

Korzystanie z GUI

W celu zaszyfrowania pliku lub folderu zawierającego plik, użytkownik może skorzystać z odpowiedniego okna dialogowego właściwości pliku lub folderu, zaznaczając lub odznaczając pole wyboru „szyfruj zawartość w celu ochrony danych”, natomiast w przypadku plików rozpoczynających się od Windows XP można dodaj klucze publiczne innych użytkowników, którzy również będą mogli odszyfrować ten plik i pracować z jego zawartością (jeśli mają odpowiednie uprawnienia). Kiedy zaszyfrujesz folder, wszystkie znajdujące się w nim pliki są zaszyfrowane, a także te, które zostaną w nim umieszczone później.

Podczas pracy z Eksploratorem Windows możliwe jest (domyślnie) wyświetlanie zaszyfrowanych folderów i plików w innym (domyślnie zielonym) kolorze, co pozwala wizualnie odróżnić chronione w ten sposób treści. Podczas kopiowania zaszyfrowanych plików na partycję, na której szyfrowanie nie jest obsługiwane (na przykład z systemem plików FAT32 itp.), zostanie wyświetlone ostrzeżenie, że plik zostanie odszyfrowany.

Korzystając z metody edycji rejestru , można dodać pozycje „szyfruj” i „odszyfruj” do menu kontekstowego Eksploratora (i innych menedżerów plików obsługujących tę funkcjonalność), co zwiększa wygodę pracy przy częstym korzystaniu z tych funkcji, m.in. które należy utworzyć (lub zmienić istniejące) ustawienie rejestru typu DWORD EncryptionContextMenuna 00000001, znajdujące się w HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced.

Interfejs wiersza poleceń

Do pracy z użytkownikiem EFS można również wykorzystać interfejs wiersza poleceń  - polecenie cipher . Gdy to polecenie zostanie wykonane bez parametrów, zawartość bieżącego folderu zostanie wyświetlona z etykietą U przed plikiem, jeśli nie jest zaszyfrowany, i E, jeśli jest zaszyfrowany.

Polecenie szyfrowania pliku/folderu wygląda tak:

cipher /E <путь к папке>,

Polecenie deszyfrowania pliku/folderu wygląda tak:

cipher /D <путь к папке>.

To narzędzie ma wiele innych funkcji, których listę można uzyskać za pomocą polecenia cipher /?, w tym ponowne szyfrowanie plików nowym kluczem, generowanie nowego klucza szyfrowania, dodawanie agenta odzyskiwania itp.

Sprzątanie nieużywanego miejsca

Podczas usuwania pliku lub folderu nie następuje całkowite fizyczne usunięcie informacji, usuwany jest tylko „spis treści” systemu plików. Za pomocą narzędzia szyfrującego możliwe jest częściowe rozwiązanie tego problemu, ponieważ możliwe jest wyczyszczenie wolnego miejsca na dysku przez jego nadpisanie. Aby to zrobić, musisz użyć składni

cipher /W <путь к любой папке на разделе, подлежащем очистке>.

WinAPI

Do pracy z aplikacjami i programami systemowymi EFS można korzystać z udokumentowanych i nieudokumentowanych funkcji Windows API.

Algorytmy szyfrowania używane przez EFS

Podsystem EFS używa różnych algorytmów szyfrowania symetrycznego w zależności od używanej wersji systemu operacyjnego Windows NT.

Linki

• Szyfrowanie systemu plików w systemie Windows XP i Windows Server 2003 (en) Zarchiwizowane 1 stycznia 2008 r. w Wayback Machine
• EFS (Encrypting File System) - szyfrowany system plików
• Szyfrowanie systemu plików w rodzinie Windows Server 2003