Co je efs v OS Windows. EFS šifrování a správa certifikátů

O objektivech Canon se na internetu koluje spousta fám, upřímně se přiznám, sám jsem se donedávna v rozdílu mezi objektivy EF a EF-S mýlil. V tomto článku jsem se o nich pokusil shromáždit nějaké informace, které pomohou rozhodnout ve prospěch jedné či druhé úpravy, ukončit spory a vyvrátit některé mýty.

Pojďme nejprve dešifrovat zkratku EF - pochází z fráze Electro-Focus (“Elektrofocus”). S uchycením EF přichází systém automatického ostření zabudovaný v optice, tzn. Mezi objektivem a fotoaparátem nejsou žádné pohyblivé části, pouze kontakty a za ostření a clonu je zodpovědný elektromotor v objektivu. Mimochodem, první objektiv řady EF se objevil již v roce 1987.

EF-S je modifikace držáku pro fotoaparáty s maticí formátu APS-C, která byla vyvinuta v roce 2003. „S“ znamená krátké zadní ohnisko. Poslední optický člen u takových čoček je umístěn blíže k matrici než u čoček EF. Pro srovnání uvedu obrázek dvou objektivů s různými úpravami bajonetu.

Levý objektiv EF, pravý EF-S

Jak vidíte, na pravé čočce je poslední čočka umístěna za závitem uchycení, tzn. při instalaci na kameru bude znatelně blíže k matrici. Ve skutečnosti je to jediný, ale velmi důležitý rozdíl. Faktem je, že optiku EF-S nelze použít s full-frame fotoaparáty. Navzdory kompatibilitě držáku může vyčnívající čočka poškodit zrcátko fotoaparátu. Objektivy EF jsou navíc kompatibilní a lze je použít s jakýmkoli fotoaparátem Canon EOS (DSLR).

U fotoaparátů formátu APS-C je třeba upravit ohniskovou vzdálenost objektivu. Chcete-li vypočítat ohniskovou vzdálenost ekvivalentní ohniskové vzdálenosti získané na plnoformátovém snímači, musíte vynásobit hodnoty uvedené na objektivu číslem 1,6. Na internetu je rozšířený názor, že u řady EF-S to není nutné a skutečné hodnoty jsou uvedeny na optice, již s přepočtem. To je špatně. Jako příklad uvedu popis nového objektivu Canon EF-S 18-55mm f/3.5-5.6 IS II z oficiálních stránek společnosti:

EF-S 18-55mm f/3.5-5.6 IS II je vysoce kvalitní objektiv se standardním zoomem, který osloví fotografy, kteří dávají přednost cestování nalehko. S ekvivalentem ohniskové vzdálenosti 29-88 mm ve formátu 35 mm…

Jak vidíte, u těchto objektivů je použit standardní přepočet ohniskových vzdáleností a 18-55 se změní na 29-88mm. Nabízí se zcela logická otázka: proč se trápit celou touto zahradou? Faktem je, že tento design umožnil vyrobit lehčí a menší objektivy. To je podle společnosti Canon, ale ve skutečnosti je docela možné, že se to děje proto, aby se levné objektivy nepoužívaly s drahým full-frame vybavením.

Další zajímavý dotek: EF ani EF-S nebyly licencovány výrobcům optiky třetích stran, jako jsou Sigma nebo Tamron. Navzdory tvrzení těchto výrobců o 100% kompatibilitě společnost Canon takovou záruku neposkytuje. Při nákupu neznačkových čoček je proto nutné je zvlášť pečlivě otestovat.

Udělejme závěry o objektivech Canon:

• ohnisková vzdálenost u fotoaparátů APS-C se přepočítává pro všechny typy objektivů;
• ultraširoký úhel na oříznutých fotoaparátech je k dispozici pouze s objektivem EF-S 10-22 mm;
• Bohužel rybí oko na oříznutých fotoaparátech není k dispozici vůbec;
• Objektivy EF jsou vhodné pro všechny fotoaparáty Canon;
• Při upgradu z fotoaparátu APS-C na full frame nelze použít objektivy EF-S.

Pokud plánujete v budoucnu upgradovat na full frame fotoaparát, zvažte nákup objektivů předem.

K ochraně potenciálně citlivých dat před neoprávněným přístupem při fyzickém přístupu k počítači a diskům.

Autentizace uživatele a přístupová práva ke zdrojům v NT fungují při bootování operačního systému, ale při fyzickém přístupu k systému je možné zavést jiný OS, aby se tato omezení obešla. EFS používá k ochraně souborů symetrické šifrování, stejně jako šifrování páru veřejného/soukromého klíče k ochraně náhodně generovaného šifrovacího klíče pro každý soubor. Ve výchozím nastavení je soukromý klíč uživatele chráněn šifrováním uživatelským heslem a bezpečnost dat závisí na síle hesla uživatele.

Popis práce

EFS funguje tak, že každý soubor zašifruje pomocí symetrického šifrovacího algoritmu v závislosti na verzi a nastavení operačního systému (od Windows XP je teoreticky možné použít k šifrování dat knihovny třetích stran). To používá náhodně generovaný klíč pro každý soubor, tzv Šifrovací klíč souboru(FEK), je volba symetrického šifrování v této fázi vysvětlena jeho rychlostí a větší spolehlivostí ve vztahu k asymetrickému šifrování.

FEK (symetrický šifrovací klíč náhodný pro každý soubor) je chráněn asymetrickým šifrováním pomocí veřejného klíče uživatele šifrujícího soubor a algoritmu RSA (teoreticky je možné použít i jiné asymetrické šifrovací algoritmy). Takto zašifrovaný FEK je uložen v alternativním proudu $EFS systému souborů NTFS. K dešifrování dat ovladač šifrovaného systému souborů transparentně dešifruje FEK pomocí soukromého klíče uživatele a poté požadovaný soubor pomocí dešifrovaného klíče souboru.

Protože k šifrování/dešifrování souborů dochází pomocí ovladače systému souborů (v podstatě doplňku NTFS), probíhá transparentně pro uživatele a aplikace. Za zmínku stojí, že EFS nešifruje soubory přenášené po síti, takže pro ochranu přenášených dat musíte použít jiné protokoly ochrany dat (IPSec nebo WebDAV).

Rozhraní pro interakci s EFS

Pro práci s EFS má uživatel možnost využít GUI průzkumník nebo utilita příkazový řádek.

Pomocí GUI

K zašifrování souboru nebo složky obsahující soubor může uživatel použít odpovídající dialogové okno vlastností souboru nebo složky zaškrtnutím nebo zrušením zaškrtnutí políčka „šifrovat obsah pro ochranu dat“; pro soubory počínaje Windows XP můžete přidat veřejné klíče dalších uživatelů, kteří budou také schopni dešifrovat tento soubor a pracovat s jeho obsahem (s výhradou příslušných oprávnění). Při šifrování složky jsou zašifrovány všechny soubory v ní a také ty, které do ní budou umístěny později.

Nadace Wikimedia. 2010.

Podívejte se, co je "EFS" v jiných slovnících:

EFS- existuje pro: EFS Flug Service, ein deutsches Charterflugunternehmen EFS Hausgeräte, eine Haushaltsgerätefirma Encrypting File System, System für Dateiverschlüssung unter Microsoft Windows EFS Euro Finanz Service Vermittlungs AG (EFS AG), ein… … Deutsch Wikipedia

Efs- existuje pro: EFS Flugservice, ein deutsches Charterflugunternehmen EFS Hausgeräte, eine Haushaltsgerätefirma Šifrovací souborový systém, systém pro dataiverschlüssung pod Microsoft Windows Error Free Second beim Betrieb von Netzelementen Euro Finanz… … Deutsch Wikipedia

EFS- Sdílení a navigace, systém šifrování souborů EFS (Encrypting File System) je archivní systém, funguje pouze na NTFS, je archivován a má nízkou úroveň systému. Je k dispozici pro Microsoft Windows 2000 a pozdější. La tecnología… … Wikipedia Español

EFS- může odkazovat na jednu z následujících: *Elektronický systém evidence, elektronická platforma singapurského soudnictví *Pohotovostní hasičská služba, nyní Country Fire Service (Austrálie) *Emperor of the Fading Suns, tahová strategická videohra… … Wikipedia

EFS- , ein System zur Verschlüsselung von Dateien und Ordnern unter den Betriebssystemen Windows NT a Windows 2000, tak dass sie for dem Zugriff unberechtigter Benutzer geschützt… … Universal-Lexikon

EFS- Cette page d'homonymie répertorie les différents sujets et articles partageant un même nom. Sigles d’une seule letter Sigles de deux Lettres > Sigles de trois lettres Sigles de quatre lettres … Wikipédia en Français

EFS- ● en sg. m Šifrovací souborový systém MS GESTFICH. šifrovaný systém souborů, integrovaný pro Microsoft a Windows 2000 a další možnosti použití. Voir TCFS. Je ne sais pas il existe un lien avec efs... Slovník frankofonních informací

efs- podstatné jméno název písmene F ... Wikislovník

EFS- Systém šifrování souborů (Výpočet » Zabezpečení) * Enhance Financial Services Group, Inc. (Obchodní » Symboly NYSE) * Výběr umělých vláken (Různé » Oblečení) * Prohlášení o efektivním financování (Obchodní » Účetnictví) * Vývojový diagram (EasyFlow) … Slovník zkratek

EFS- nejdříve dokončovací směna; stimulace elektrickým polem; European Fraxiparin Study; event free survival … Lékařský slovník

Předpokládejme, že máte spuštěný počítač Ovládání Windows nejnovější verzi. Hrajete na něm střílečky, píšete diplomovou práci, vedete účetnictví pro jednotlivé podnikatele pomocí zjednodušeného systému a vůbec se bavíte, jak nejlépe umíte. Najednou ale zcela bezdůvodně začnete mít pocit, že něco zvenčí ohrožuje bezpečnost některých dat uložených na vašem osobní počítač. S žhavým pohledem čtete četná kybernetická fóra a s hrůzou si uvědomujete, že všechna vaše data na vašem pevném disku nejsou nijak chráněna. A pokud je váš milovaný počítač ukraden a riziko krádeže přenosného zařízení není tak nízké, pak se útočník bude moci dostat k veškerému obsahu pevný disk! Ach, moje neocenitelná dizertační práce!

Pokusme se zjistit, zda je skutečně možné získat neoprávněný přístup k souborům, pokud je v počítači spuštěn operační systém Windows 10. Inženýři IBM a následně Microsoft vynaložili velké úsilí na implementaci systému oddělení práv pro souborový systém NTFS ( když IBM bylo HPFS). A pokud Win10 běží na počítači, pak je velmi, velmi obtížné získat přístup k souborům jiných lidí bez povolení, a pokud je přístup blokován, je to zcela nemožné. Windows bezpečně chrání uživatelské soubory.

Ale jakmile nabootujete do jiného operačního systému, například Linux Mint, pak všechno uživatelské soubory bude v plném zobrazení. Stáhněte si, co chcete. A do Mintu můžete zavést buď z flash disku nebo z CD-ROM, stačí se dostat do UEFI (BIOS) a aktivovat bootování z vyměnitelných jednotek, pokud nebylo dříve aktivováno, nebo použít bootovací nabídku. Za předpokladu, že nastavíte heslo pro přihlášení do UEFI a zakážete výběr disku, který se má spustit jako třída, budou vaše soubory o něco lépe chráněny. A útočník může váš počítač jednoduše odšroubovat a vytáhnout HDD a připojte jej k počítači a poté stáhněte vše, co je potřeba. Data v podobě souborů totiž bude mít v rukou jako otevřený notebook.

IT specialisté vědí, že data ve svém počítači můžete do jisté míry zabezpečit pomocí technologie BitLocker. BitLocker je dobrá věc, ale umožňuje šifrovat pouze celé oddíly na discích, ať už fyzických nebo virtuálních. Zároveň je zajištěna bezpečnost klíčů včetně uložení do TPM modulů. Což je velmi pohodlné. Ne vždy je však šifrování všeho a všech pohodlné, i když použití plného šifrování disku samozřejmě dává určitý smysl. Ale z nějakého důvodu každý zapomíná na částečné šifrování souborů a adresářů.

Ve Windows 10, stejně jako v jeho předchozích reinkarnacích, existuje Encrypted File System, což znamená Encrypted File System (EFS). Tato funkce je dostupná od edice Pro a vyšší, takže pokud máte verzi Windows Home, musíte upgradovat alespoň na Pro. Wikipedia toho napsala hodně o tom, jak a co se v EFS šifruje. Jen se pokusím vše vysvětlit co nejjednodušeji a dát maximum podrobné pokyny pro aktivaci ochrany vašich souborů.

Kromě toho, že má minimum Pro pohled redakce, je nutné, abyste pracovali pod uživatelem, který má heslo. Heslo musí být přítomno, nechť je odkazem na cloudová služba Microsoft, nebo zcela samostatné heslo. Ať už se do systému přihlásíte pomocí PIN kódu nebo pomocí vzoru – na tom nezáleží, důležité je, že váš účet heslo je připojeno. Kromě hesla v aktivním účtu je nutné, aby chráněné soubory a adresáře byly umístěny na disku nebo oddílu se systémem souborů NTFS. S největší pravděpodobností je to přesně ono souborový systém a vztahuje se na vás.

Šifrování dat probíhá pro uživatele a pro velkou většinu softwarových produktů naprosto transparentně, protože šifrování probíhá na úrovni systému souborů NTFS. Můžete šifrovat jeden soubor nebo celou složku najednou. Můžete ji zašifrovat jako prázdnou složku a poté do ní přidat nové soubory a budou také zašifrovány, nebo můžete zašifrovat složku se soubory a adresáři uvnitř. Vše je vaše volba.

Při práci se šifrovanými složkami a soubory zvažte následující:

1. Soubory jsou šifrovány, dokud nejsou přeneseny do jiného systému souborů než NTFS. Například zkopírujete zašifrovaný soubor na flash disk. Pokud je to FAT32 a s největší pravděpodobností tam je, bude soubor dešifrován. V desátém Verze Windows Microsoft přesto implementoval funkci, kdy soubor zůstane zašifrován, i když jej přenesete na flash disk s FAT, takže byste měli být ostražití, pokud nějaké soubory svému příteli prozradíte. Podaří se mu je později otevřít bez nadávek? Pokud odešlete soubor přes e-mailem- bude dešifrován (jinak nemá smysl posílat poštou). Při přenosu souboru po síti dojde také k dešifrování.
2. Při přesunu mezi oddíly NTFS zůstává soubor zašifrován. Při přesunu souboru z jednoho disku NTFS na jiný disk NTFS bude soubor zašifrován. Když zkopírujete soubor na vyměnitelný pevný disk se systémem souborů NTFS, bude zašifrován do nového umístění.
3. Pokud je heslo účtu násilně změněno třetí stranou, například správcem, nebo je násilně změněno heslo propojeného doménového účtu nebo cloudové služby, přístup k souborům bez záložního certifikátu (vygenerovaného během prvního šifrování) již nebude být možný.

Poslední bod je velmi důležitý, zejména pro lidi s nespolehlivou pamětí, kteří neustále resetují hesla. Zde může takový trik vyústit v trvale zašifrované soubory, pokud ovšem uložený certifikát neimportujete do systému. Pokud je však změna hesla dobrovolná, například v souladu se zásadou změny hesla, nedojde k předčasné ztrátě zašifrovaných souborů.

Skeptici zcela správně poznamenají, že taková ochrana, stejně jako BitLocker, není super spolehlivá, říkají, že hackeři mohou uhodnout heslo, pokud je slabé, a zpravodajské služby vše rozluští. Ve skutečnosti mohou jednoduše uhodnout vaše heslo, pokud je krátké a jednoduché. A k tomu slouží zpravodajské služby, aby měly technickou schopnost dostat se k obsahu souborů příliš podezřelých uživatelů. A co víc, jakmile se přihlásíte, máte okamžitě transparentní přístup ke všem souborům zašifrovaným EFS. A pokud je ve vašem počítači trojský kůň nebo virus, získá přístup ke vzácným souborům úplně stejným způsobem. Je třeba přísně dodržovat hygienu počítače.

Podrobné pokyny pro povolení šifrování pomocí EFS pod Win10 Pro ve složce

Níže nabízím krok za krokem přesný návod, jak zašifrovat složku se soubory v ní. Jednotlivý soubor je zašifrován stejným způsobem.

Krok 1. Vytvoříme složku. Ať se to jmenuje „Moje obrázky“.

Vytvoření adresáře

Krok 2. Klepněte pravým tlačítkem myši na složku a z kontextové nabídky vyberte „Vlastnosti“.

Klikněte pravým tlačítkem na složku a získejte toto

Krok 3. V nabídce „Vlastnosti“ přejděte na rozšířené atributy složky kliknutím na tlačítko „Další...“.

Vlastnosti složky

Krok 4. Zaškrtněte políčko vedle „Šifrovat obsah pro ochranu dat“ a klikněte na OK. Pokud potřebujete zrušit šifrování, zrušte zaškrtnutí stejného políčka a soubor bude dešifrován.

Ve vlastnostech složky rozšířené atributy

Krok 5. Dokončete pomocí „Vlastnosti“ a klikněte na OK nebo „Použít“.

Krok 6. V dialogovém okně odpovíme, co „použít“ na naši složku a veškerý její obsah.

Vyberte požadovanou položku šifrování

To je vše, naše složka a veškerý její obsah jsou šifrovány pomocí EFS. Pokud si přejete, můžete zkontrolovat, že naše složka a všechny soubory v ní jsou bezpečně uzavřeny před cizími osobami.

Krok 7. Projdeme kroky 1-3 a uvidíme, že je aktivní zaškrtávací políčko „šifrovat“. A vedle něj je aktivní tlačítko „Podrobnosti“. Klikněte na „podrobnosti“.

Kontrola toho, co je zašifrováno

Krok 8. V okně, které se objeví, vidíme, že tento soubor má pouze jeden certifikát pro přístup pouze jednoho uživatele a navíc nejsou nainstalovány žádné certifikáty pro obnovení přístupu.

Složka je zašifrována jedním certifikátem

Abych to pochopil konkrétní soubor lze zašifrovat v Průzkumníkovi Windows, na souboru se objeví ikona zámku.

Galerie se zašifrovanými obrázky. Může je zobrazit pouze vlastník účtu.

Ikona se zobrazí ve všech ostatních zobrazeních souborů a zobrazení Průzkumníka. Pravda, na některých piktogramech jsou velmi špatně vidět a musíte se dívat pozorně.

Stejná galerie, jen ve formě stolu. Zámky v pravém horním rohu ikony.

Po zašifrování prvních souborů vás systém Windows vyzve k vytvoření kopie certifikátu. Stejný certifikát, který vám umožní dešifrovat soubory, pokud se náhle něco pokazí s vaším počítačem (přeinstalace systému, resetování hesla, přenesení disku na jiný počítač atd.).

Krok 9. Chcete-li uložit certifikát pro obnovení zálohy, klikněte na ikonu archivace klíče.

Ikona na panelu s výzvou k archivaci záložního certifikátu za účelem obnovení šifrování

Krok 10. V zobrazeném okně vyberte „Archivovat nyní“.

Výběr doby archivace

Krok 11. V dialogovém okně průvodce aktivací klikněte na „Další“.

Okno Průvodce exportem certifikátu

Krok 12. Pokud používáte pouze šifrování EFS, můžete ponechat výchozí hodnoty. A klikněte na „Další“.

Nastavení exportu záložního certifikátu

Krok 13. Exportovaný certifikát má smysl chránit heslem. Zadáme heslo, může to být cokoliv, nemusí to být nutně z vašeho e-mailu nebo pro přihlášení do Windows. A klikněte na „Další“.

Zadejte heslo pro dodatečná ochrana obnovovací certifikát

Krok 15. Výsledek potvrďte kliknutím na OK.

Dokončení průvodce exportem

A to je vše. Stažený certifikát by měl být zkopírován na bezpečné místo. Například na disketě, flash disku nebo v zabezpečeném cloudu. Ponechání certifikátu pro obnovení v počítači není dobrý nápad, takže po jeho uložení na „bezpečné místo“ soubor smažeme z počítače a zároveň vyprázdníme koš.

Mimochodem, můžete také šifrovat adresáře, do kterých se synchronizují cloudové soubory ve vašem počítači, například OneDrive, DropBox, Yandex Disk a mnoho dalších. Pokud chcete takovou složku zašifrovat, měli byste nejprve vypnout cloudovou synchronizační aplikaci nebo pozastavit synchronizaci. Vyplatí se také zavřít všechny otevřené soubory v adresáři, které budou podléhat šifrování, například zavřete Word, Excel nebo jiné programy. Poté můžete povolit šifrování ve vybrané složce. Po dokončení procesu šifrování můžete synchronizaci znovu povolit. V opačném případě nemusí šifrování ovlivnit všechny soubory ve složce, protože Vestavěný systém dokáže šifrovat pouze zapisovatelné soubory. Ano, při synchronizaci do cloudu budou soubory dešifrovány a v cloudu již nebudou šifrovány.

Před zahájením šifrování se musíte odhlásit z OneDrive.

Nyní je čas vyzkoušet, jak dobře funguje šifrování EFS. Vytvořil jsem soubor s textem v zašifrovaném adresáři. A pak jsem nabootoval do Linux Mint z flash disku. Tato verze Linux si snadno poradí s pevnými disky NTFS, takže dostat se k obsahu mého pevného disku bylo snadné.

Vytvořte soubor s textem v zašifrované složce.

Když jsem však zkusil otevřít soubory ze šifrované složky, byl jsem zklamán. Nelze otevřít ani jeden soubor. Diváci Linux Mint statečně hlásili, že nemají přístup k zadaným souborům. Ale všechny ostatní se otevřely bez problémů.

Šifrované soubory ve Win10 jsou viditelné z Mintu, ale nelze je otevřít.

"To jo!" - řekli přísní sibiřští muži. Pokud ale zapíšete šifrovaný soubor na flash disk, pravděpodobně zůstane zašifrovaný. A pak to přenést do jiného počítače, pod jiným operačním systémem, pak se to najednou otevře? Ne, neotevře se. Nebo se spíše otevře, ale jeho obsah bude zcela nečitelný. Je to zašifrované.

Pokus o otevření zašifrovaného textového souboru nahraného na flash disku.

Obecně je možné použít EFS a v některých případech je to dokonce nutné. Pokud tedy používáte Windows 10 od edice Pro a vyšší, posuďte rizika přístupu cizích osob k vašemu PC nebo notebooku a zda se jim podaří získat vaše důvěrné soubory. Možná by se dnes mělo něco zašifrovat?

Šifrování souborového systému

Šifrovací souborový systém je služba těsně integrovaná s NTFS, která se nachází v jádře Windows 2000. Jejím účelem je chránit data uložená na disku před neoprávněným přístupem jejich šifrováním. Vzhled této služby není náhodný a byl očekáván již dlouhou dobu. Faktem je, že souborové systémy, které dnes existují, neposkytují potřebnou ochranu dat před neoprávněným přístupem.

Pozorný čtenář mi může namítnout: co Windows NT s jeho NTFS? Koneckonců, NTFS poskytuje kontrolu přístupu a ochranu dat před neoprávněným přístupem! Ano, je to pravda. Ale co když k oddílu NTFS není přístup pomocí nástrojů operačního systému? Systémy Windows NT, ale přímo, na fyzické úrovni? To je ostatně poměrně snadno realizovatelné například nabootováním z diskety a spuštěním speciální program: například velmi běžné ntfsdos. Sofistikovanějším příkladem je produkt NTFS98. Samozřejmě můžete tuto možnost poskytnout a nastavit heslo pro spuštění systému, ale praxe ukazuje, že taková ochrana je neúčinná, zvláště když na stejném počítači pracuje několik uživatelů. A pokud se útočníkovi podaří odstranit pevný disk z počítače, pak žádná hesla nepomohou. Po připojení disku k jinému počítači lze jeho obsah číst stejně snadno jako tento článek. Útočník se tak může volně zmocnit důvěrných informací uložených na pevném disku.

Jediným způsobem ochrany před fyzickým čtením dat je šifrování souborů. Nejjednodušším případem takového šifrování je archivace souboru pomocí hesla. Existuje však řada vážných nevýhod. Za prvé, uživatel potřebuje data před zahájením a po ukončení práce ručně zašifrovat a dešifrovat (tedy v našem případě archivovat a zrušit archivaci), což samo o sobě snižuje bezpečnost dat. Uživatel může po ukončení práce zapomenout soubor zašifrovat (archivovat), nebo (ještě běžnější) jednoduše ponechat kopii souboru na disku. Za druhé, uživatelsky vytvořená hesla lze obvykle snadno uhodnout. V každém případě existuje dostatečné množství utilit, které umožňují rozbalit archivy chráněné heslem. Tyto nástroje zpravidla provádějí hádání hesla prohledáváním slov napsaných ve slovníku.

Systém EFS byl vyvinut k překonání těchto nedostatků. Níže se podíváme podrobněji na detaily šifrovací technologie, interakce EFS s uživatelem a způsoby obnovy dat, seznámíme se s teorií a implementací EFS ve Windows 2000 a také se podíváme na příklad šifrování adresáře pomocí EFS.

Technologie šifrování

EFS používá architekturu Windows CryptoAPI. Je založen na technologii šifrování s veřejný klíč. K zašifrování každého souboru je náhodně vygenerován šifrovací klíč souboru. V tomto případě lze k zašifrování souboru použít jakýkoli symetrický šifrovací algoritmus. V současné době EFS používá jeden algoritmus, DESX, což je speciální modifikace široce používaného standardu DES.

Šifrovací klíče EFS jsou uloženy v rezidentním paměťovém fondu (samotný EFS je umístěn v jádře Windows 2000), což zabraňuje neoprávněnému přístupu k nim prostřednictvím stránkovacího souboru.

Uživatelská interakce

Ve výchozím nastavení je EFS nakonfigurován tak, aby uživatel mohl okamžitě začít používat šifrování souborů. Pro soubory a adresáře je podporováno šifrování a zpětné operace. Pokud je adresář zašifrován, jsou automaticky zašifrovány všechny soubory a podadresáře tohoto adresáře. Je třeba poznamenat, že pokud je zašifrovaný soubor přesunut nebo přejmenován ze zašifrovaného adresáře do nezašifrovaného, ​​zůstane zašifrován. Operace šifrování/dešifrování lze provádět dvěma způsoby: různé způsoby- pomocí Průzkumníka Windows nebo nástroje konzoly Cipher.

Chcete-li zašifrovat adresář z Průzkumníka Windows, uživatel musí jednoduše vybrat jeden nebo více adresářů a zaškrtnout políčko šifrování v okně pokročilých vlastností adresáře. Všechny soubory a podadresáře vytvořené později v tomto adresáři budou také zašifrovány. Soubor tedy můžete zašifrovat pouhým zkopírováním (nebo přesunem) do „šifrovaného“ adresáře.

Zašifrované soubory jsou uloženy na disku v zašifrované podobě. Při čtení souboru se data automaticky dešifrují a při zápisu se automaticky zašifrují. Uživatel může pracovat se zašifrovanými soubory stejně jako s běžnými soubory, tedy otevírat a upravovat v textový editor Microsoft Word dokumenty, upravovat výkresy v Adobe Photoshop nebo grafický editor Malovat a tak dále.

Je třeba poznamenat, že za žádných okolností byste neměli šifrovat soubory, které se používají při spuštění systému - v tuto chvíli ještě není k dispozici osobní klíč uživatele, pomocí kterého se provádí dešifrování. To může znemožnit spuštění systému! EFS poskytuje jednoduchou ochranu proti takovým situacím: soubory s atributem „system“ nejsou šifrovány. Buďte však opatrní: může to způsobit bezpečnostní díru! Zkontrolujte, zda je atribut souboru nastaven na „systém“, abyste zajistili, že soubor bude skutečně zašifrován.

Je také důležité si uvědomit, že šifrované soubory nelze komprimovat pomocí Windows 2000 a naopak. Jinými slovy, pokud je adresář komprimován, jeho obsah nelze zašifrovat, a pokud je obsah adresáře zašifrován, nelze jej zkomprimovat.

V případě, že je vyžadováno dešifrování dat, stačí jednoduše zrušit zaškrtnutí políček šifrování pro vybrané adresáře v Průzkumníku Windows a soubory a podadresáře budou automaticky dešifrovány. Je třeba poznamenat, že tato operace obvykle není vyžadována, protože EFS poskytuje uživateli „transparentní“ zkušenost se zašifrovanými daty.

Obnova dat

EFS poskytuje vestavěnou podporu pro obnovu dat v případě, že je potřebujete dešifrovat, ale z nějakého důvodu to nelze normálně provést. Ve výchozím nastavení EFS automaticky vygeneruje obnovovací klíč, nainstaluje přístupový certifikát do účtu správce a uloží jej při prvním přihlášení. Administrátor se tak stane takzvaným agentem obnovy a bude schopen dešifrovat jakýkoli soubor v systému. Zásadu obnovy dat lze samozřejmě změnit a jako agenta obnovy lze jmenovat zvláštní osobu odpovědnou za bezpečnost dat nebo dokonce několik takových osob.

Trochu teorie

EFS šifruje data pomocí schématu sdíleného klíče. Data jsou šifrována rychlým symetrickým algoritmem pomocí FEK (šifrovací klíč souboru). FEK je náhodně generovaný klíč určité délky. Délka klíče v severoamerické verzi EFS je 128 bitů, mezinárodní verze EFS používá zkrácenou délku klíče na 40 nebo 56 bitů.

FEK je zašifrován jedním nebo více sdílenými šifrovacími klíči, což vede k seznamu zašifrovaných klíčů FEK. Seznam zašifrovaných klíčů FEK je uložen ve speciálním atributu EFS zvaném DDF (pole pro dešifrování dat). Informace používané k šifrování dat jsou úzce spojeny s tímto souborem. Veřejné klíče jsou extrahovány z párů uživatelských klíčů certifikátu X509 s další příležitost pomocí "Šifrování souborů". Soukromé klíče z těchto párů se používají při dešifrování dat a FEK. Soukromá část klíčů je uložena buď na čipových kartách, nebo na jiném zabezpečeném místě (například v paměti, jejíž bezpečnost je zajištěna pomocí CryptoAPI).

FEK je také zašifrován pomocí jednoho nebo více klíčů pro obnovení (odvozených z certifikátů X509 zaznamenaných v zásadách obnovy šifrovaných dat pro tohoto počítače, s další možností „Obnova souboru“).

Stejně jako v předchozím případě se veřejná část klíče používá k zašifrování seznamu FEK. Seznam zašifrovaných klíčů FEK je také uložen se souborem ve speciální oblasti EFS zvané DRF (data recovery field). DRF používá k šifrování seznamu FEK pouze společnou část každého páru klíčů. Pro běžné operace se soubory jsou potřeba pouze sdílené klíče pro obnovení. Agenti obnovy mohou ukládat své soukromé klíče na bezpečném místě mimo systém (například na čipových kartách). Obrázek ukazuje schémata procesů šifrování, dešifrování a obnovy dat.

Proces šifrování

Nešifrovaný soubor uživatele je zašifrován pomocí náhodně generovaného FEK. Tento klíč je zapsán se souborem a soubor je dešifrován pomocí veřejného klíče uživatele (uloženého v DDF) a veřejného klíče agenta obnovení (uloženého v DRF).

Proces dešifrování

Nejprve se k dešifrování FEK použije soukromý klíč uživatele – to se provádí pomocí zašifrované verze FEK, která je uložena v DDF. Dešifrovaný FEK se používá k dešifrování souboru blok po bloku. Pokud v velký soubor bloky nejsou čteny postupně, pak jsou dešifrovány pouze čitelné bloky. Soubor zůstane zašifrován.

Proces obnovy

Tento proces je podobný dešifrování, s tím rozdílem, že k dešifrování FEK se použije soukromý klíč agenta obnovení a zašifrovaná verze FEK se převezme z DRF.

Implementace ve Windows 2000

Obrázek ukazuje architekturu EFS:

EFS se skládá z následujících komponent:

Ovladač EFS

Tato součást je umístěna logicky nad NTFS. Spolupracuje se službou EFS, přijímá šifrovací klíče souborů, pole DDF, DRF a další data správy klíčů. Ovladač předá tyto informace FSRTL (běhové knihovně souborového systému), aby transparentně provedl různé operace souborového systému (například otevření souboru, čtení, zápis, připojení dat na konec souboru).

EFS Runtime Library (FSRTL)

FSRTL je modul uvnitř ovladače EFS, který provádí externí volání NTFS za účelem provádění různých operací souborového systému, jako je čtení, zápis, otevírání zašifrovaných souborů a adresářů, stejně jako šifrování, dešifrování, operace obnovy dat při zápisu na disk a čtení z disku. . Přestože jsou ovladač EFS a FSRTL implementovány jako jedna komponenta, nikdy nekomunikují přímo. K výměně zpráv mezi sebou používají mechanismus volání NTFS. Tím je zajištěno, že NTFS je zapojen do všech operací se soubory. Operace implementované pomocí mechanismů správy souborů zahrnují zápis dat do atributů souborů EFS (DDF a DRF) a předávání FEK vypočítaných pomocí EFS do knihovny FSRTL, protože tyto klíče musí být nastaveny v kontextu otevřeného souboru. Tento kontext otevření souboru pak umožňuje diskrétní šifrování a dešifrování souborů při zápisu a čtení souborů z disku.

Služba EFS

Služba EFS je součástí subsystému zabezpečení. Ke komunikaci s ovladačem EFS využívá stávající komunikační port LPC mezi LSA (Local security Authority) a bezpečnostním monitorem v režimu jádra. V uživatelském režimu služba EFS spolupracuje s rozhraním CryptoAPI a poskytuje šifrovací klíče souborů a poskytuje generování DDF a DRF. Kromě toho služba EFS podporuje Win32 API.

Win32 API

Poskytuje programovací rozhraní pro šifrování otevřít soubory, dešifrování a obnova uzavřených souborů, příjem a přenos uzavřených souborů bez jejich předchozího dešifrování. Implementováno jako standardní systémová knihovna advapi32.dll.

Trochu praxe

Chcete-li zašifrovat soubor nebo adresář, postupujte takto:

1. Spusťte Průzkumníka Windows, klepněte pravým tlačítkem myši na adresář a vyberte Vlastnosti.
2. Na kartě Obecné klepněte na tlačítko Upřesnit.

1. Zaškrtněte políčko vedle „Šifrovat obsah pro zabezpečení dat“. Klepněte na tlačítko OK a potom na tlačítko Použít v dialogovém okně Vlastnosti. Pokud jste zvolili šifrování jednotlivého souboru, objeví se navíc dialogové okno podobné následujícímu:

Systém nabízí také zašifrování adresáře, ve kterém se vybraný soubor nachází, protože jinak bude šifrování automaticky zrušeno při první úpravě takového souboru. Při šifrování jednotlivých souborů na to vždy pamatujte!

V tomto okamžiku lze proces šifrování dat považovat za dokončený.

Chcete-li dešifrovat adresáře, jednoduše zrušte zaškrtnutí možnosti „Zašifrovat obsah pro zabezpečení dat“. V tomto případě budou adresáře, stejně jako všechny podadresáře a soubory v nich obsažené, dešifrovány.

závěry

• EFS v systému Windows 2000 umožňuje uživatelům šifrovat adresáře NTFS pomocí silného kryptografického schématu se sdíleným klíčem a všechny soubory v soukromých adresářích budou zašifrovány. Šifrování jednotlivých souborů je podporováno, ale nedoporučuje se kvůli nepředvídatelnému chování aplikace.
• EFS také podporuje šifrování smazané soubory, ke kterým se přistupuje jako ke sdíleným zdrojům. Pokud existují uživatelské profily pro připojení, použijí se klíče a certifikáty vzdálených profilů. V ostatních případech se generují místní profily a používají se místní klíče.
• Systém EFS vám umožňuje nastavit zásady obnovy dat tak, aby bylo možné v případě potřeby obnovit šifrovaná data pomocí EFS.
• Zásady obnovy dat jsou zabudovány do obecných zásad Zabezpečení Windows 2000. Sledování dodržování zásad obnovy může být delegováno na oprávněné osoby. Každá organizační jednotka může mít nakonfigurovanou vlastní politiku obnovy dat.
• Obnova dat v EFS je uzavřená operace. Proces obnovy dešifruje data, ale ne uživatelský klíč, kterým byla data zašifrována.
• Práce se zašifrovanými soubory v systému souborů EFS nevyžaduje, aby uživatel podnikl žádné zvláštní kroky k šifrování a dešifrování dat. K dešifrování a šifrování dochází bez povšimnutí uživatele během procesu čtení a zápisu dat na disk.
• EFS podporuje zálohování a obnovu zašifrovaných souborů bez jejich dešifrování. NtBackup podporuje zálohování zašifrovaných souborů.
• EFS je zabudován do operačního systému tak, že únik informací prostřednictvím odkládacích souborů je nemožný a zároveň je zajištěno, že všechny vytvořené kopie jsou šifrované.
• Pro zajištění bezpečnosti obnovy dat a ochrany před únikem a ztrátou dat v případě fatálních selhání systému je zajištěna řada opatření.

Počínaje Windows XP ve všech operačních systémech systémy Microsoft je zde zabudovaná technologie šifrování dat EFS (systém šifrování souborů). Šifrování EFS je založeno na možnostech souborového systému NTFS 5.0 a architektuře CryptoAPI a je navrženo pro rychlé šifrování souborů na pevném disku počítače.

Pojďme si stručně popsat schéma šifrování EFS. EFS používá šifrování veřejným a soukromým klíčem. Šifrování EFS používá soukromé a veřejné klíče uživatele, které se generují při prvním použití funkce šifrování uživatelem. Tyto klíče zůstávají nezměněny, dokud existuje jeho účet. Při šifrování souboru EFS náhodně generuje jedinečné číslo, tzv. File Encryption Key (FEK) dlouhý 128 bitů, kterým jsou soubory šifrovány. Klíče FEK jsou zašifrovány hlavním klíčem, který je zašifrován pomocí klíče systémových uživatelů, kteří mají k souboru přístup. Soukromý klíč uživatele je chráněn hashem hesla uživatele.

Můžeme tedy dojít k závěru: celý šifrovací řetězec EFS je v podstatě přísně svázán s přihlašovacím jménem a heslem uživatele. To znamená, že bezpečnost dat závisí také na síle hesla uživatele.

Důležité. Data zašifrovaná pomocí EFS lze dešifrovat pouze pomocí stejného účtu. Záznamy systému Windows se stejným heslem jako pro šifrování. Ostatní uživatelé, včetně správců, nebudou moci tyto soubory dešifrovat a otevřít. To znamená, že soukromá data zůstanou v bezpečí, a to i jakýmkoliv způsobem. Je ale důležité pochopit i druhou stránku problému. Pokud dojde ke změně účtu nebo jeho hesla (pokud jej nezměnil přímo sám uživatel ze své relace), dojde k pádu systému nebo přeinstalaci OS, šifrovaná data se stanou nedostupnými. Proto je nesmírně důležité exportovat a uchovávat šifrovací certifikáty na bezpečném místě (postup je popsán níže).

Poznámka. Počínaje Windows Vista Systémy MS OS podporují další technologii šifrování – BitLocker. BitLocker na rozdíl od šifrování EFS:

• slouží k šifrování celého svazku disku
• vyžaduje hardwarový modul TPM (pokud to vyžaduje externí úložiště klíčů, jako je USB flash disk nebo pevný disk)

Externě se pro uživatele práce se soukromými soubory zašifrovanými pomocí EFS neliší od práce s běžnými soubory - OS provádí operace šifrování/dešifrování automaticky (tyto funkce provádí ovladač souborového systému).

Jak povolit šifrování adresáře EFS v systému Windows

Podívejme se na postup šifrování dat ve Windows 8 pomocí EFS krok za krokem.

Poznámka. Za žádných okolností nepovolujte šifrování pro systémové adresáře a složky. V opačném případě se může stát, že systém Windows jednoduše nespustí, protože... systém nebude schopen najít soukromý klíč uživatele a dešifrovat soubory.

V Průzkumníku souborů vyberte adresář nebo soubory, které chcete zašifrovat, a kliknutím pravým tlačítkem přejděte na jejich vlastnosti ( Vlastnosti).

Na kartě Všeobecné v sekci atributy vyhledejte tlačítko a klikněte na něj Pokročilý.

V okně, které se zobrazí, zaškrtněte políčko Šifrujte obsah pro zabezpečení dat(Zašifrujte obsah pro ochranu dat).

Klepněte dvakrát na tlačítko OK.

Pokud šifrujete adresář, systém se vás zeptá, zda chcete šifrovat pouze adresář nebo adresář a všechny jeho dílčí prvky. Vyberte požadovanou akci, po které se okno vlastností adresáře zavře.

Šifrované adresáře a soubory v Průzkumníkovi Windows jsou zobrazeny zeleně (pamatujte, že objekty jsou zvýrazněny modře). Pokud se rozhodnete zašifrovat složku s celým jejím obsahem, zašifrují se také všechny nové položky v zašifrované složce.

Šifrování/dešifrování EFS můžete spravovat z příkazového řádku pomocí nástroje pro šifrování. Adresář C:\Secret můžete zašifrovat například takto:

Šifra /e c:\Secret

Seznam všech souborů v souborovém systému zašifrovaných pomocí certifikátu aktuálního uživatele lze zobrazit pomocí příkazu:

Šifra /u/n

Záloha klíče EFS šifrování

Poté, co uživatel poprvé zašifruje svá data pomocí EFS, objeví se na systémové liště vyskakovací okno s výzvou k uložení šifrovacího klíče.

Zálohujte si šifrovací klíč souboru. To vám pomůže vyhnout se trvalé ztrátě přístupu k zašifrovaným souborům.

Kliknutím na zprávu se spustí průvodce Rezervovat kopii certifikáty a související soukromé klíče EFS šifrování.

Poznámka. Pokud okno omylem zavřete nebo se neobjeví, můžete exportovat certifikáty EFS pomocí " Správa certifikátů pro šifrování souborů» na uživatelském ovládacím panelu.

Vybrat Zálohujte certifikát a klíč pro šifrování souborů

Poté zadejte heslo pro ochranu certifikátu (nejlépe poměrně složité).

Zbývá pouze uvést umístění, kam chcete exportovaný certifikát uložit (z bezpečnostních důvodů je nutné jej zkopírovat do vnější tvrdý disk/ usb flash disk a uložte na bezpečném místě).