Natychmiastowe rozwiązania, dotyczące znajdują się na stronie
Zastosowanie polecenia Cipher
Szyfrowanie foldera lub pliku
Odszyfrowywania foldera lub pliku
Kopiowanie, przenoszenie i zmiana nazwy zaszyfrowanego foldera lub pliku
Wykonywanie kopii zapasowych zaszyfrowanego foldera lub pliku
Odtwarzania zaszyfrowanego foldera lub pliku
Odtwarzanie plików na innym komputerze
Zabezpieczanie domyślnego klucza odzyskiwania na komputerze autonomicznym
Zabezpieczanie domyślnego klucza odzyskiwania dla domeny
Dodawanie agentów odzyskiwania
Ustanawianie zasad odzyskiwania dla danej jednostki organizacyjnej
Odzyskiwanie pliku lub foldera
Wyłączanie systemu szyfrowania plików dla danego zestawu komputerów
Komputery osobiste mają zwykle możliwość zastosowania kilku systemów plików (file systems). Jest to dogodne, jeśli na przykład np. system Windows 2000 ulegnie uszkodzeniu. Jednakże ryzykowna jest możliwość uruchomienia przez użytkownika komputera, np. na przykład w trybie MS--DOS, i ominięcie w ten sposób zabezpieczeń systemu plików NTFS.
Wskazówka: Czasem jest to uważane za niebezpieczne tylko w przypadku tych systemów plików, które są dostępne z trybu SODA, na przykład np. woluminów sformatowanych w systemie plików FAT, które nie mają zabezpieczeń systemu NTFS. System FAT ze swojej istoty jest mniej bezpieczny niż NTFS, ale istnieją narzędzia, za pomocą których można obejść również także uprawnienia systemu NTFS. Nie wolno uwierzyć bezgranicznie, że system jest bezpieczny, ponieważ ma ustawione zabezpieczenia systemu plików NTFS.
Nieautoryzowany dostęp do kluczowych danych może wystąpić również w innych przypadkachsytuacjach, np.. Na przykład systemy komputerowe w biurach czasami pozostawiane są bez nadzoru, kiedy gdy użytkownik jest zalogowany i w ten sposób umożliwiają kradzież najważniejszych danych każdemu, kto w tym czasie przyjdzie w tym czasie. Komputery, szczególnie laptopy, są czasami kradzione, a dla złodzieja bardziej interesujące mogą być kluczowe dane zapisane na dysku niż sprzedaż tego samego komputera.
Dostęp do najważniejszych danych można ograniczyć za pomocą haseł i uprawnień systemu NTFS. Jednak dla kogoś, kto uzyska fizyczny dostęp do komputera lub dysku twardego, dotarcie do tych danych nie stanowi większego problemu. Jak już wspomniano powyżej, dostępne są narzędzia pozwalające na uzyskanie dostępu do plików NTFS z systemów MS-DOS lub Unix.
Rozwiązaniem opisanego powyżej problemu jest szyfrowanie danych. Istnieją programy narzędziowe umożliwiające szyfrowanie plików na poziomie aplikacji za pomocą kluczy, które pochodzą od haseł. Jednak większość z nich ma ograniczenia. Jeśli użytkownik powinien szyfrować pliki ręcznie, to — gdya zapomni to zrobić ,— pliki takie pozostają bez ochrony. Niektóre aplikacje, na przykład np. Microsoft Word, podczas edytowania dokumentu przez użytkownika tworzą pliki tymczasowe. (temporary files). Teakie pliki tymczasowe pozostają na dysku w postaci niezaszyfrowanej nawet, jeśli oryginalny dokument został zaszyfrowany. Szyfrowanie na poziomie aplikacji pracuje w trybie użytkownika systemu Windows, często z kluczem użytkowania do szyfrowania zapisanym w pliku stronicowania (paging file). Przeszukanie pliku stronicowania mogłoby komuś z zewnątrz umożliwić komuś z zewnątrz dostęp do wszystkich dokumentów. zaszyfrowanych. W systemach, w których klucze szyfrowania uzyskiwane są na podstawie haseł, zabezpieczenia mogą być naruszone przez ataki słownikowe (dictionary attacks). Niektóre sSystemy zapewniają odzyskiwanie danych w oparciu o hasła (password- based data recovery). Do uzyskania dostępu do plików zaszyfrowanych złodziejowi danych potrzebne jest tylko hasło mechanizmu odzyskiwania.
System Szyfrowania Plików (Encrypting File System -— EFS) firmy Microsoft dotyczy problemów opisanych powyżej. W systemie tym stosuje się szyfrowanie za pomocą klucza publicznego (public key encryption), korzystając z interfejsu programisty CryptoAPI. Każdy plik jest szyfrowany za pomocą klucza generowanego losowo, który jest niezależny od pary kluczy publiczny--prywatny użytkownika. Algorytmem szyfrowania jest Data Encryption Standard (DES). W kolejnych wersjach pojawią się również inne algorytmy szyfrowania.
Wskazówka: Więcej informacji na temat algorytmu DES znajduje się w dokumencie Federal Information Processing Standard Publication (FIPS PUB 46-2), dostępnym pod adresem www.cryptosoft.com/html/fips46-2.htm. Algorytm DES jest kontrolowany przez Departament handlu USA (U.S. Department of Commerce), a jego wersja 128-bitowa podlega ograniczeniom eksportowym.
System Szyfrowania Plików obsługuje również szyfrowanie i odszyfrowywanie plików zapisanych na serwerach plików zdalnych (remote file servers). Jednak system EFS szyfruje tylko dane zapisane na dysku — nie szyfruje danych przesyłanych poprzez sieć. System Windows 2000 Server zawiera protokoły sieciowe, takie jak Secure Sockets Layer/Private Communication Technology (SSL/PCT), służące do szyfrowania danych w sieci.
System Szyfrowania Plików (EFS) jest ściśle zintegrowany z systemem plików NTFS. Jeśli szyfrowany jest plik, system EFS szyfruje również jego kopie tymczasowe, o ile plik znajduje się na woluminie NTFS. System Szyfrowania Plików (EFS) jest częścią jądra systemu operacyjnego (operating system kernel) i korzysta z pamięci niestronicowanej (nonpaged memory) do przechowywania kluczy szyfrowania, gwarantując w ten sposób, że nigdy nie znajdą się one w pliku stronicowania.
Domyślnie System Szyfrowania Plików (EFS) umożliwia użytkownikom rozpoczęcie szyfrowania plików bez żadnego współdziałania ze strony administratora. System EFS automatycznie generuje dla użytkownika parę kluczy publicznych do szyfrowania plików, jeśli taka para jeszcze nie istnieje. Szyfrowanie i odszyfrowywanie plików wykonywane jest dla poszczególnych plików (per-file) lub folderów (per-folder). Wszystkie pliki oraz podfoldery (subfolders) utworzone w folderze, który ma być zaszyfrowany, zostaną zaszyfrowane automatycznie. Każdy z plików ma swój unikatowy klucz szyfrowania, więc po przeniesieniu tego pliku z foldera zaszyfrowanego do foldera niezaszyfrowanego na tym samym woluminie, pozostanie on zaszyfrowany. Usługi szyfrowania i odszyfrowywania są dostępne z poziomu Eksploratora Windows (Windows Explorer). Dla administratorów i agentów odzyskiwania (recovery agents) dostępne są narzędzia wywoływane z wiersza poleceń (command- line tools) oraz interfejsy dla administratorów (administrative interfaces).
Szyfrowanie i odszyfrowywanie przebiega w sposób niezauważalny podczas zapisu i odczyty pliku z dysku, tak więc pliki nie muszą być odszyfrowywane zanim użytkownik z nich skorzysta. System Szyfrowania Plików (EFS) automatycznie wykryje, że plik jest zaszyfrowany i znajdzie odpowiedni klucz użytkownika w systemowej składnicy kluczy (key store). Ponieważ mechanizm przechowywania kluczy jest oparty na interfejsie CryptoAPI, użytkownicy mogą zapisywać klucze na urządzeniach zabezpieczonych, takich jak karty elektroniczne (smart cards).
W systemie Windows 2000 można korzystać z szyfrowania plików tylko wtedy, gdy system skonfigurowano w ten sposób, że istnieje przynajmniej jeden klucz odzyskiwania. System Szyfrowania Plików (EFS) umożliwia agentom odzyskiwania (recovery agents) konfigurowanie kluczy publicznych (public keys), z których korzysta się przy odzyskiwaniu plików. W trakcie korzystania z klucza odzyskiwania (recovery key) dostępny jest tylko wygenerowany losowo klucz szyfrowania pliku, a nie klucz prywatny (private key) użytkownika. Gwarantuje to, że żadne informacje poufne nie zostaną przypadkowo ujawnione agentowi odzyskiwania.
Funkcja odzyskiwania danych jest przeznaczona dla systemów w przedsiębiorstwach, w których to systemach musi istnieć możliwość odzyskania plików zaszyfrowanych przez byłych pracowników lub odzyskania plików w razie utraty klucza szyfrowania. Zasady odzyskiwania (recovery policy) są określone na kontrolerze domeny (domain controller) i narzucone wszystkim komputerom w domenie. Zasady te są kontrolowane przez administratorów domeny, którzy mogą przekazać danete uprawnienia do wyznaczonych kont administratorów zabezpieczeń danych (data security administrator) i cofnąć te pełnomocnictwa, gdyby pojawiła się taka potrzeba.
System Szyfrowania Plików (EFS) może być również stosowany w domu, ponieważ. System ten on automatycznie generuje klucze odzyskiwania (recovery keys) i, jeśli komputer nie należy do żadnej domeny systemu Windows, zapisuje je jako klucze komputera (machine keys).
Działanie Systemu szyfrowania plików (EFS) zostanie omówione bardziej szczegółowo w dalszej części niniejszego rozdziału pod tytułem „Rozwiązania natychmiastowe”. Poniżej zamieszczono krótkie omówienie narzędzi dla użytkownika.
Narzędzie interfejsu GUI (GUI tool) można uruchomić, klikając w oknie Eksploratora Windows (Windows Explorer) dany plik lub folder prawym klawiszem przyciskiem myszki,myszy, i wybierając opcję Właściwości (PProperties), a następnie naciskając przycisk Zaawansowane (AAdvanced), znajdujący się w oknie zakładki Ogólne (GGeneral). Umożliwia to szyfrowanie aktualnie wybranego pliku lub wszystkich plików (i podfolderów) w aktualnie wybranym folderze, przez zaznaczenia danego foldera jako zaszyfrowany. Możliwe jest również działanie odwrotne: odszyfrowanie aktualnie wybranego pliku lub wszystkich plików (i podfolderów) w aktualnie wybranym folderze, przez zaznaczenie danego foldera jako niezaszyfrowany.
Moduł dodatkowy (snap- in) konsoli MMC Certyfikaty (CCertificates) jest używany do eksportowania, importowania i zarządzania kluczami publicznymi. Zwykle Na ogół użytkownicy nie muszą tego robićwykonywać tych czynności, ponieważ System Szyfrowania Plików (EFS) automatycznie generuje klucze, służące do szyfrowania plików. Funkcja ta jest przydatna administratorom lub użytkownikom zaawansowanym, którzy chcą skonfigurować klucz publiczny, zamiast korzystać z domyślnego.
W systemie Windows 2000 jest również polecenie cipher, które wywołuje się z wiersza poleceń (command line). Polecenie to omówiono w części zatytułowanej „Rozwiązania natychmiastowe”.
Wszystkie operacje zapisu i odczytu z pliku zaszyfrowanego są szyfrowane i odszyfrowywane w sposób niezauważalny. W normalnych warunkach jedynym spsobem, aby przekonać się, czy plik jest zaszyfrowany, jest sprawdzenie jego właściwości pliku, np.. Na przykład użytkownik może otworzyć i edytować zaszyfrowany dokument Word’a dokładnie w taki sam sposób, jak robi się to w przypadku dokumentu niezaszyfrowanego. Inni użytkownicy, próbując otworzyć ten zaszyfrowany plik, zaszyfrowany otrzymają komunikat o błędzie Dostęp zabroniony (Aaccess Ddenied ), ponieważ nie posiadają klucza do odszyfrowania pliku.
Użytkownicy zazwyczajwykle nie mają potrzeby odszyfrowywania plików lub folderów, ponieważ System Szyfrowania Plików (EFS) szyfruje i odszyfrowuje dane w sposób niedostrzegalny podczas zapisywania i odczytywania. Jednak odszyfrowanie pliku może być konieczneniezbędne, np. na przykład wtedy, kiegdy konieczne jest współdzielenie przez użytkownika pliku zaszyfrowanego z innymi użytkownikami.
Użytkownicy mogą odszyfrowywać pliki i zaznaczać foldery jako niezaszyfrowane za pomocą Eksploratora Windows (Windows Explorer). Menu kontekstowe odszyfrowywania przy odszyfrowywaniu foldera zawiera opcje odszyfrowania wszystkich plików i podfolderów zaszyfrowanych znajdujących się w danym folderze.
Zasady odzyskiwania (recovery policiesy) Systemu Szyfrowania Plików (EFS) stanowią część ogólnych zasad zabezpieczeń (security policy) systemu. Interfejs użytkownika zasad systemu EFS umożliwia agentom odzyskiwania (recovery agents) generowanieć, eksportowaćnie, importowaćnie i wykonywanie ć kopiei zapasowych e kluczy odzyskiwania (recovery keys) za pomocą elementu sterującego do zarządzania kluczami (key- management control). Podsystem zabezpieczeń (security subsystem) systemu Windows realizuje replikację i buforowanie zasad (policy) systemu szyfrowania plików (EFS), umożliwiając użytkownikom korzystanie z szyfrowania plików w systemach, które są chwilowo w trybie offline, za pomocą buforowanych danych uwierzytelniających (cached credentials).
System Szyfrowania Plików (EFS) wymaga, by zasady odzyskiwania danych (data recovery policiesy) były ustanawiane na poziomie domeny lub lokalnie, jeśli komputer nie należy do żadnej domeny. Zwykle zasady odzyskiwania (recovery policy) są ustanawiane przez administratorów domen, którzy mają nadzór nad kluczami odzyskiwania dla wszystkich komputerów.
Gdyby użytkownik utracił klucz prywatny (private key), plik chroniony przez ten klucz można odzyskać, eksportując ten plik go i wysyłając go pocztą elektroniczną do jednego z agentów odzyskiwania. Agent odzyskiwania importuje ten plik do komputera zabezpieczonego (secure computer) za pomocą prywatnych kluczy odzyskiwania (private recovery keys), stosuje polecenie cipher do odszyfrowania pliku, a następnie odsyła plik go w postaci zwykłego tekstu z powrotem do danego użytkownika. W małych firmach lub w domu, gdzie nie tworzy się domen, odzyskiwanie można przeprowadzić na pojedynczym komputerze.
Wyznaczenie agentów odzyskiwania (recovery agents) może być wymagane przez prawo lub narzucone przez zasady przedsiębiorstwa. Na stanowisko agenta odzyskiwania może zostać wyznaczony administrator domeny lub też może on otrzymać polecenie przekazania tego pełnomocnictwa innej zaufanej jednostce zaufanej. Nie ma żadnych przeszkód natury technicznej, aby ktoś z zewnątrz, na przykład p. prywatna firma ochroniarska, nie mógł zostać agentem odzyskiwania. Taka firma powinna cieszyć się dużym zaufaniem. Można zaufać firmie niezależnej, która ma dbać o pieniądze klientów i w takiej sytuacji — będzie łatwo zauważyćalne "„zniknięcie”", jeśli pieniądzye znikną, ale. O obdarzenie zaufaniem firmy niezależnej w zakresie prywatnych informacji poufnych — to całkowicie odmienna sytuacja.
System Szyfrowania Plików (EFS) przeprowadza szyfrowanie i odszyfrowywanie danych za pomocą klucza publicznego. Do szyfrowania plików danych służy szybki algorytm symetryczny (fast symmetric algorithm) z Kluczem Szyfrowania Plików (fFile Eencryption Kkey -— FEK). Klucz Szyfrowania Plików (FEK) jest generowanym losowo kluczem o długości ściśle określonej przez algorytm szyfrowania lub przez obowiązujące przepisy, jeśli algorytm umożliwia stosowanie kluczy o różnej długości. W czasie pisania tej książki obowiązywały ograniczenia eksportowe, wprowadzone przez rząd USA, zgodnie z którymi 128--bitowy klucz DES mógł być stosowany tylko na terenie Ameryki Północnej. Wyjątek stanowiły, np. na przykład wielkie międzynarodowe banki. Pozostali użytkownicy korzystają z klucza 56-bitowego.
Klucz Szyfrowania Plików (FEK) jest zaszyfrowany za pomocą przynajmniej jednego klucza publicznego szyfrowania kluczy (key encryption public key), który służy do sporządzenia listy zaszyfrowanych Kluczy Szyfrowania Plików (FEK). Lista ta jest zapisana razem z plikiem zaszyfrowanym w specjalnym atrybucie Systemu Szyfrowania Plików (EFS) o nazwie Dat...
lukaszwalda