Cos'è efs nel sistema operativo Windows. Crittografia EFS e gestione dei certificati

Ci sono molte voci sugli obiettivi Canon su Internet, lo ammetto onestamente, fino a poco tempo fa io stesso mi sbagliavo sulla differenza tra obiettivi EF ed EF-S. In questo articolo ho cercato di raccogliere alcune informazioni su di essi, che aiuteranno a fare una scelta a favore di una o dell'altra modifica, a porre fine alle controversie e a sfatare alcuni miti.

Per prima cosa decifriamo l'abbreviazione EF: deriva dalla frase Electro-Focus ("Electrofocus"). Con l'innesto EF viene fornito un sistema di messa a fuoco automatico integrato nell'ottica, ad es. Non ci sono parti in movimento tra l'obiettivo e la fotocamera, solo contatti, e il motore elettrico nell'obiettivo è responsabile della messa a fuoco e dell'apertura. A proposito, il primo obiettivo della serie EF è apparso nel 1987.

EF-S è una modifica dell'attacco per fotocamere con matrice di formato APS-C, sviluppata nel 2003. La "S" sta per Short Back Focus. L'ultimo elemento ottico in tali obiettivi si trova più vicino alla matrice rispetto agli obiettivi EF. Per confronto, fornirò un'immagine di due obiettivi con diverse modifiche di innesto.

Obiettivo sinistro EF, destro EF-S

Come puoi vedere, sull'obiettivo destro l'ultimo obiettivo si trova dopo la filettatura dell'attacco, cioè una volta installato sulla fotocamera, sarà notevolmente più vicino alla matrice. In realtà, questa è l'unica, ma molto importante differenza. Il fatto è che l'ottica EF-S non può essere utilizzata con le fotocamere full frame. Nonostante la compatibilità del supporto, una lente sporgente può danneggiare lo specchio della fotocamera. Inoltre, gli obiettivi EF sono compatibili e possono essere utilizzati con qualsiasi fotocamera Canon EOS (DSLR).

Per le fotocamere in formato APS-C, le lunghezze focali dell'obiettivo devono essere regolate. Per calcolare la lunghezza focale equivalente a quella ottenuta su un sensore pieno formato, è necessario moltiplicare i valori indicati sull'obiettivo per 1,6. Su Internet è diffusa l'opinione che per la serie EF-S questo non sia necessario e i valori reali sono indicati sull'ottica, già tenendo conto del ricalcolo. Questo è sbagliato. Ad esempio, fornirò una descrizione del nuovo obiettivo Canon EF-S 18-55mm f/3.5-5.6 IS II dal sito Web ufficiale dell'azienda:

L'EF-S 18-55mm f/3.5-5.6 IS II è un obiettivo zoom standard di alta qualità che piacerà ai fotografi che preferiscono viaggiare leggeri. Con una lunghezza focale equivalente di 29-88 mm nel formato 35 mm...

Come potete vedere, per questi obiettivi viene utilizzata la conversione standard delle lunghezze focali e 18-55 si trasforma in 29-88mm. Sorge una domanda del tutto logica: perché preoccuparsi di questo intero giardino? Il fatto è che questo design ha permesso di realizzare obiettivi più leggeri e più piccoli. Questo è secondo Canon, ma in realtà è del tutto possibile che ciò avvenga in modo che obiettivi economici non vengano utilizzati con costose apparecchiature full frame.

Un altro tocco interessante: né l'EF né l'EF-S sono stati concessi in licenza a produttori di ottiche di terze parti come Sigma o Tamron. Nonostante le affermazioni di questi produttori sulla compatibilità al 100%, Canon non fornisce tale garanzia. Pertanto, quando si acquistano obiettivi non di marca, è necessario testarli con particolare attenzione.

Traiamo conclusioni sugli obiettivi Canon:

• la lunghezza focale sulle fotocamere APS-C viene ricalcolata per tutti i tipi di obiettivi;
• l'angolo ultragrandangolare sulle fotocamere ritagliate è disponibile solo con l'obiettivo EF-S 10-22 mm;
• Sfortunatamente, il fisheye sulle fotocamere ritagliate non è affatto disponibile;
• Gli obiettivi EF sono adatti a qualsiasi fotocamera Canon;
• Quando si passa da una fotocamera APS-C a una fotocamera full frame, non è possibile utilizzare gli obiettivi EF-S.

Se in futuro prevedi di passare a una fotocamera full frame, considera l'acquisto degli obiettivi in ​​anticipo.

Per proteggere i dati potenzialmente sensibili dall'accesso non autorizzato durante l'accesso fisico al computer e ai dischi.

L'autenticazione dell'utente e i diritti di accesso alle risorse in NT funzionano quando il sistema operativo viene avviato, ma quando si accede fisicamente al sistema è possibile avviare un altro sistema operativo per aggirare queste restrizioni. EFS utilizza la crittografia simmetrica per proteggere i file, nonché la crittografia con coppia di chiavi pubblica/privata per proteggere una chiave di crittografia generata casualmente per ciascun file. Per impostazione predefinita, la chiave privata dell'utente è protetta dalla crittografia della password dell'utente e la sicurezza dei dati dipende dalla forza della password dell'utente.

Descrizione del lavoro

EFS funziona crittografando ogni file utilizzando un algoritmo di crittografia simmetrica, a seconda della versione e delle impostazioni del sistema operativo (a partire da Windows XP, teoricamente è possibile utilizzare librerie di terze parti per crittografare i dati). Questo utilizza una chiave generata casualmente per ogni file, chiamata Chiave di crittografia dei file(FEK), la scelta della crittografia simmetrica in questa fase si spiega con la sua velocità e maggiore affidabilità rispetto alla crittografia asimmetrica.

FEK (una chiave di crittografia simmetrica casuale per ogni file) è protetta da crittografia asimmetrica utilizzando la chiave pubblica dell'utente che crittografa il file e l'algoritmo RSA (teoricamente è possibile utilizzare altri algoritmi di crittografia asimmetrica). La FEK crittografata in questo modo viene archiviata nel flusso alternativo $EFS del file system NTFS. Per decrittografare i dati, il driver del file system crittografato decrittografa in modo trasparente la FEK utilizzando la chiave privata dell'utente, quindi il file desiderato utilizzando la chiave del file decrittografato.

Poiché la crittografia/decrittografia dei file avviene utilizzando il driver del file system (essenzialmente un componente aggiuntivo di NTFS), avviene in modo trasparente per l'utente e le applicazioni. Vale la pena notare che EFS non crittografa i file trasferiti in rete, quindi per proteggere i dati trasferiti è necessario utilizzare altri protocolli di protezione dei dati (IPSec o WebDAV).

Interfacce per interagire con EFS

Per lavorare con EFS, l'utente ha l'opportunità di utilizzare GUI esploratore o utilità riga di comando.

Utilizzando la GUI

Per crittografare un file o una cartella contenente un file, l'utente può utilizzare la finestra di dialogo delle proprietà del file o della cartella corrispondente selezionando o deselezionando la casella di controllo "crittografa contenuto per proteggere i dati"; per i file a partire da Windows XP, è possibile aggiungere chiavi pubbliche di altri utenti, che saranno anche in grado di decifrare questa vita e lavorare con il suo contenuto (soggetto alle autorizzazioni appropriate). Quando si crittografa una cartella, tutti i file in essa contenuti vengono crittografati, così come quelli che verranno inseriti in seguito.

Fondazione Wikimedia. 2010.

Scopri cos'è "EFS" in altri dizionari:

EFS- steht für: EFS Flug Service, ein deutsches Charterflugunternehmen EFS Hausgeräte, eine Haushaltsgerätefirma Encrypting File System, System für Dateiverschlüssung unter Microsoft Windows EFS Euro Finanz Service Vermittlungs AG (EFS AG), ein… … Wikipedia in tedesco

Ef- steht für: EFS Flugservice, ein deutsches Charterflugunternehmen EFS Hausgeräte, eine Haushaltsgerätefirma Encrypting File System, System für Dateiverschlüssung unter Microsoft Windows Error Free Second beim Betrieb von Netzelementen Euro Finanz… … Deutsch Wikipedia

EFS- Salta la navigazione, cerca L'Encrypting File System (EFS) è un sistema di file che, lavorando su NTFS, consente di leggere i file cifrati a livello di sistema. È disponibile per Microsoft Windows 2000 e successivi. La tecnología… … Wikipedia Español

EFS- può fare riferimento a uno dei seguenti: *Electronic Filing System, una piattaforma elettronica della magistratura di Singapore *Emergency Fire Service, ora Country Fire Service (Australia) *Emperor of the Fading Suns, un videogioco di strategia a turni… … Wikipedia

EFS- , ein System zur Verschlüsselung von Dateien und Ordnern unter den Betriebssystemen Windows NT und Windows 2000, so dass sie vor dem Zugriff unberechtigter Benutzer geschützt… … Universal-Lexikon

EFS- Cette page d'homonymie répertorie les différents sujets et items partageant un même nom. Sigles d’une seule lettre Sigles de deux lettres > Sigles de tre lettres Sigles de quatre lettres … Wikipédia en Français

EFS- ● it sg. M. MS GESTFICH Crittografia del file system. sistema di file criptati, integrato da Microsoft in Windows 2000, e il cui utilizzo non è opzionale. Vedi TCFS. Je ne sais non esiste un vincolo con efs... Dizionario informatico francofono

efs- sostantivo il nome della lettera F ... Wikizionario

EFS- Crittografia del file system (Informatica » Sicurezza) * Enhance Financial Services Group, Inc. (Affari » Simboli NYSE) * Selezione delle fibre ingegnerizzate (Varie » Abbigliamento) * Rendiconto finanziario efficace (Affari » Contabilità) * Diagramma di flusso (EasyFlow) … Dizionario delle abbreviazioni

EFS- primo turno di finitura; stimolazione del campo elettrico; Studio europeo sulla fraxiparina; sopravvivenza senza eventi… Dizionario medico

Supponiamo che tu abbia un computer acceso Controllo di Windows la versione più recente. Ci giochi sparatutto, scrivi la tua tesi, fai contabilità per i singoli imprenditori utilizzando un sistema semplificato e, in generale, ti diverti come meglio puoi. Ma all'improvviso, in modo del tutto irragionevole, inizi a sentire che qualcosa dall'esterno sta minacciando la sicurezza di alcuni dati archiviati sul tuo computer. personal computer. Tu, con uno sguardo accanito, leggi numerosi forum informatici e ti rendi conto con orrore che tutti i tuoi dati sul tuo disco rigido non sono protetti in alcun modo. E se il tuo amato computer viene rubato e il rischio di furto per le apparecchiature portatili non è così basso, l'aggressore sarà in grado di accedere a tutti i contenuti disco rigido! Oh, la mia inestimabile dissertazione!

Proviamo a capire se è davvero possibile ottenere l'accesso non autorizzato ai file se sul computer è in esecuzione il sistema operativo Windows 10. Gli ingegneri IBM, e successivamente Microsoft, hanno dedicato molti sforzi all'implementazione di un sistema di separazione dei diritti per il file system NTFS ( quando IBM era HPFS). E se Win10 è in esecuzione su un computer, è molto, molto difficile accedere ai file di altre persone senza autorizzazione e, se l'accesso è bloccato, è completamente impossibile. Windows protegge in modo sicuro i file degli utenti.

Ma non appena esegui l'avvio in un altro sistema operativo, ad esempio Linux Mint, allora tutto file utente sarà in piena vista. Scarica quello che vuoi. E puoi avviare Mint sia da un'unità flash che da un CD-ROM, devi solo accedere all'UEFI (BIOS) e attivare l'avvio da unità rimovibili, se non è stato attivato in precedenza, o utilizzare il menu di avvio. Supponendo che tu imposti una password per accedere a UEFI e disabiliti la selezione di un'unità da avviare come classe, i tuoi file saranno un po' più protetti. E un utente malintenzionato può semplicemente svitare il tuo computer ed estrarlo HDD e collegalo al tuo computer, quindi scarica tutto ciò che è richiesto. Dopotutto, i dati sotto forma di file saranno nelle sue mani come un taccuino aperto.

Gli specialisti IT sanno che puoi proteggere in qualche modo i dati sul tuo computer utilizzando la tecnologia BitLocker. BitLocker è una buona cosa, ma ti consente solo di crittografare intere partizioni su dischi, fisici o virtuali. Allo stesso tempo è garantita la sicurezza delle chiavi, compresa la conservazione nei moduli TPM. Il che è molto conveniente. Tuttavia, crittografare tutto e tutti non è sempre conveniente, anche se, ovviamente, ha senso utilizzare la crittografia completa del disco. Ma per qualche motivo tutti dimenticano la crittografia parziale di file e directory.

In Windows 10, come nelle sue precedenti reincarnazioni, è presente un file system crittografato, che significa file system crittografato (EFS). Questa funzionalità è disponibile dall'edizione Pro e successive, quindi se hai la versione Windows Home, devi eseguire l'aggiornamento almeno a Pro. Wikipedia ha scritto molto su come e cosa viene crittografato in EFS. Cercherò solo di spiegare tutto nel modo più semplice possibile e di dare il massimo istruzioni dettagliate per abilitare la protezione dei tuoi file.

Oltre ad avere un minimo Vista professionale redattori, è necessario che lavori con un utente che abbia una password. La password deve essere presente, lascia che sia un collegamento a servizio cloud Microsoft o una password completamente autonoma. Che tu acceda al sistema utilizzando un codice PIN o una sequenza, non importa, ciò che conta è che il tuo account la password è allegata. Oltre ad avere una password nell'account attivo, è necessario che i file e le directory protetti si trovino su un disco o una partizione con il file system NTFS. Molto probabilmente, questo è esattamente ciò che file system e si applica a te.

La crittografia dei dati avviene in modo assolutamente trasparente per gli utenti e per la stragrande maggioranza dei prodotti software, perché la crittografia avviene a livello di file system NTFS. Puoi crittografare un file o un'intera cartella contemporaneamente. Puoi crittografarla come una cartella vuota, quindi aggiungervi nuovi file che verranno anch'essi crittografati, oppure puoi crittografare una cartella con file e directory al suo interno. Tutto è la tua scelta.

Quando lavori con cartelle e file crittografati, considera quanto segue:

1. I file vengono crittografati finché non vengono trasferiti su qualsiasi altro file system diverso da NTFS. Ad esempio, copi un file crittografato su un'unità flash. Se è FAT32 e molto probabilmente è lì, il file verrà decrittografato. Nel decimo Versioni di Windows Microsoft ha tuttavia implementato una funzionalità per cui il file rimane crittografato anche se lo hai trasferito su un'unità flash con FAT, quindi dovresti stare attento se tradisci qualche file al tuo amico. Riuscirà ad aprirli più tardi senza imprecare? Se invii un file tramite e-mail- verrà decrittografato (altrimenti non ha senso inviarlo per posta). Quando si trasferisce un file in rete, verrà eseguita anche la decrittografia.
2. Quando ci si sposta tra le partizioni NTFS, il file rimane crittografato. Quando si sposta un file da un disco NTFS a un altro disco NTFS, il file verrà crittografato. Quando copi un file su un disco rigido rimovibile con il file system NTFS, verrà crittografato in una nuova posizione.
3. Se la password dell'account viene modificata forzatamente da una terza parte, ad esempio un amministratore, o la password di un account di dominio collegato o di un servizio cloud viene modificata forzatamente, l'accesso ai file senza un certificato di backup (generato durante la prima crittografia) non sarà più Essere possibile.

L'ultimo punto è molto importante, soprattutto per le persone con memoria inaffidabile che reimpostano costantemente le password. In questo caso un trucco del genere può portare a file crittografati in modo permanente, a meno che, ovviamente, non si importi nel sistema il certificato salvato. Tuttavia, quando la modifica della password è volontaria, ad esempio in conformità con una politica di modifica della password, non si verificherà la perdita prematura dei file crittografati.

Gli scettici noteranno giustamente che tale protezione, tuttavia, come BitLocker, non è estremamente affidabile, dicono, gli hacker possono indovinare la password se è debole e i servizi segreti decifreranno tutto. In effetti, possono semplicemente indovinare la tua password se è breve e semplice. Ed è a questo che servono i servizi di intelligence, ad avere la capacità tecnica di accedere al contenuto dei file di utenti eccessivamente sospettosi. Inoltre, una volta effettuato l'accesso, avrai immediatamente accesso trasparente a tutti i tuoi file crittografati con EFS. E se sul tuo computer è presente un Trojan o un virus, avrà accesso a file preziosi esattamente allo stesso modo. L'igiene del computer deve essere rigorosamente osservata.

Istruzioni dettagliate per abilitare la crittografia utilizzando EFS in Win10 Pro su una cartella

Di seguito offro istruzioni precise e dettagliate su come crittografare una cartella con file al suo interno. Un singolo file viene crittografato allo stesso modo.

Passo 1. Creiamo una cartella. Lascia che si chiami "Le mie immagini".

Creazione di una directory

Passo 2. Fare clic con il tasto destro sulla cartella e selezionare "Proprietà" dal menu contestuale.

Fai clic con il tasto destro sulla cartella e ottieni questo

Passaggio 3. Nel menu "Proprietà", vai agli attributi estesi della cartella facendo clic sul pulsante "Altro...".

Proprietà della cartella

Passaggio 4. Seleziona la casella accanto a "Crittografa contenuto per proteggere i dati" e fai clic su OK. Se è necessario annullare la crittografia, deseleziona la stessa casella di controllo e il file verrà decrittografato.

Nelle proprietà della cartella attributi estesi

Passaggio 5. Terminare con "Proprietà" e fare clic su OK o "Applica".

Passaggio 6. Rispondiamo nella finestra di dialogo cosa “applicare” alla nostra cartella e a tutto il suo contenuto.

Seleziona l'elemento di crittografia desiderato

Questo è tutto, la nostra cartella e tutto il suo contenuto sono crittografati utilizzando EFS. Se lo desideri, puoi verificare che la nostra cartella e tutti i file in essa contenuti siano chiusi in modo sicuro agli estranei.

Passaggio 7. Seguiamo i passaggi 1-3 e vediamo che la casella di controllo "crittografa" è attiva. E accanto ad esso è attivo il pulsante “Dettagli”. Clicca su “dettagli”.

Controllare cosa è crittografato

Passaggio 8. Nella finestra che appare, vediamo che questo file ha un solo certificato per l'accesso da parte di un solo utente, inoltre non sono installati certificati per il ripristino dell'accesso.

La cartella è crittografata con un certificato

Per capirlo fascicolo specifico può essere crittografato in Esplora risorse; sul file viene visualizzata l'icona di un lucchetto.

Galleria con immagini crittografate. Solo il proprietario dell'account può visualizzarli.

L'icona viene visualizzata in tutte le altre visualizzazioni di file e visualizzazioni di Explorer. È vero, su alcuni pittogrammi sono molto difficili da vedere e devi guardare da vicino.

La stessa galleria, solo sotto forma di tavolo. Si blocca nell'angolo in alto a destra dell'icona.

Dopo che i primi file sono stati crittografati, Windows ti chiede di creare una copia del certificato. Lo stesso certificato che ti permetterà di decrittografare i file se improvvisamente qualcosa va storto con il tuo computer (reinstallato il sistema, reimpostato la password, trasferito il disco su un altro computer, ecc.).

Passaggio 9. Per salvare il certificato di ripristino del backup, fare clic sull'icona di archiviazione delle chiavi.

Icona nella barra delle applicazioni che richiede l'archiviazione del certificato di backup per ripristinare la crittografia

Passaggio 10. Nella finestra che appare, seleziona “Archivia ora”.

Scegliere quando archiviare

Passaggio 11. Nella finestra di dialogo della procedura guidata di attivazione, fare clic su "Avanti".

Finestra Procedura guidata di esportazione del certificato

Passaggio 12. Se utilizzi solo la crittografia EFS, puoi lasciare i valori predefiniti. E fare clic su "Avanti".

Impostazioni di esportazione del certificato di backup

Passaggio 13. È opportuno proteggere il certificato esportato con una password. Inseriamo una password, può essere qualsiasi cosa, non necessariamente dalla tua email o per accedere a Windows. E fare clic su "Avanti".

Inserisci la password per protezione aggiuntiva certificato di recupero

Passaggio 15. Confermare il risultato facendo clic su OK.

Completamento della procedura guidata di esportazione

E questo è tutto. Il certificato scaricato deve essere copiato in un luogo sicuro. Ad esempio, su un floppy disk, un'unità flash o in un cloud sicuro. Lasciare un certificato di ripristino sul computer è una cattiva idea, quindi dopo averlo salvato in un “luogo sicuro” eliminiamo il file dal computer e contemporaneamente svuotiamo il cestino.

A proposito, puoi anche crittografare le directory in cui sono sincronizzati i file cloud sul tuo computer, ad esempio OneDrive, DropBox, Yandex Disk e molti altri. Se desideri crittografare una cartella di questo tipo, devi prima disattivare l'applicazione di sincronizzazione cloud o sospendere la sincronizzazione. Vale anche la pena chiudere tutti i file aperti nella directory che saranno soggetti a crittografia, ad esempio chiudendo Word, Excel o altri programmi. Successivamente, puoi abilitare la crittografia sulla cartella selezionata. Una volta completata la procedura di crittografia, è possibile abilitare nuovamente la sincronizzazione. In caso contrario, la crittografia potrebbe non influire su tutti i file nella cartella, perché Il sistema integrato può crittografare solo file scrivibili. Sì, durante la sincronizzazione con il cloud, i file verranno decrittografati e nel cloud non verranno più crittografati.

È necessario disconnettersi da OneDrive prima che la crittografia possa iniziare.

Ora è il momento di testare il funzionamento della crittografia EFS. Ho creato un file con testo in una directory crittografata. E poi ho avviato Linux Mint da un'unità flash. Questa versione Linux può gestire facilmente i dischi rigidi NTFS, quindi accedere ai contenuti del mio disco rigido è stato facile.

Crea un file con testo in una cartella crittografata.

Tuttavia, quando ho provato ad aprire file da una cartella crittografata, sono rimasto deluso. Non è stato possibile aprire un singolo file. Gli spettatori di Linux Mint hanno coraggiosamente riferito di non avere accesso ai file specificati. Ma tutti gli altri si aprirono senza intoppi.

I file crittografati in Win10 sono visibili da Mint, ma non possono essere aperti.

"Sì!" - dissero i severi uomini siberiani. Ma se scrivi un file crittografato su un'unità flash, probabilmente rimarrà crittografato. E poi trasferirlo su un altro computer, con un sistema operativo diverso, e all'improvviso si aprirà? No, non si aprirà. O meglio, si aprirà, ma il suo contenuto sarà completamente illeggibile. E' crittografato.

Un tentativo di aprire un file di testo crittografato registrato su un'unità flash.

In generale, è possibile utilizzare EFS e in alcuni casi è addirittura necessario. Pertanto, se utilizzi Windows 10 dall'edizione Pro e versioni successive, valuta i rischi che estranei possano accedere al tuo PC o laptop e se saranno in grado di ottenere i tuoi file riservati. Forse qualcosa dovrebbe essere crittografato oggi?

Crittografia del file system

Il file system di crittografia è un servizio strettamente integrato con NTFS, situato nel kernel di Windows 2000. Il suo scopo è proteggere i dati archiviati sul disco da accessi non autorizzati crittografandoli. La comparsa di questo servizio non è casuale ed era attesa da molto tempo. Il fatto è che i file system esistenti oggi non forniscono la necessaria protezione dei dati dall'accesso non autorizzato.

Un lettore attento potrebbe obiettarmi: che dire di Windows NT con il suo NTFS? Dopotutto, NTFS fornisce il controllo degli accessi e la protezione dei dati da accessi non autorizzati! Si è vero. Ma cosa succede se non si accede alla partizione NTFS utilizzando gli strumenti del sistema operativo? Sistemi Windows NT, ma direttamente, a livello fisico? Dopotutto, questo è relativamente facile da implementare, ad esempio, avviando da un floppy disk ed eseguendo programma speciale: ad esempio, il comunissimo ntfsdos. Un esempio più sofisticato è il prodotto NTFS98. Naturalmente è possibile prevedere questa possibilità e impostare una password per avviare il sistema, ma la pratica dimostra che tale protezione è inefficace, soprattutto quando più utenti lavorano sullo stesso computer. E se un utente malintenzionato riesce a rimuovere il disco rigido dal computer, nessuna password sarà di aiuto. Collegando l'unità a un altro computer, il suo contenuto può essere letto con la stessa facilità di questo articolo. In questo modo un utente malintenzionato può impossessarsi liberamente delle informazioni riservate archiviate sul disco rigido.

L'unico modo per proteggersi dalla lettura fisica dei dati è crittografare i file. Il caso più semplice di tale crittografia è l'archiviazione di un file con una password. Tuttavia, ci sono una serie di gravi inconvenienti. In primo luogo, l'utente deve crittografare e decrittografare manualmente (ovvero, nel nostro caso, archiviare e rimuovere dall'archivio) i dati ogni volta prima di iniziare e dopo aver terminato il lavoro, il che di per sé riduce la sicurezza dei dati. L'utente potrebbe dimenticare di crittografare (archiviare) il file dopo aver terminato il lavoro o (ancora più comune) semplicemente lasciare una copia del file sul disco. In secondo luogo, le password create dagli utenti sono generalmente facili da indovinare. In ogni caso, esiste un numero sufficiente di utilità che consentono di decomprimere archivi protetti da password. Di norma, tali utilità eseguono la ricerca della password cercando tra le parole scritte nel dizionario.

Il sistema EFS è stato sviluppato per superare queste carenze. Di seguito esamineremo più in dettaglio i dettagli della tecnologia di crittografia, l'interazione di EFS con l'utente e i metodi di recupero dei dati, conosceremo la teoria e l'implementazione di EFS in Windows 2000 e vedremo anche un esempio di crittografia di una directory utilizzando EFS.

Tecnologia di crittografia

EFS utilizza l'architettura Windows CryptoAPI. Si basa sulla tecnologia di crittografia con chiave pubblica. Per crittografare ciascun file, viene generata casualmente una chiave di crittografia del file. In questo caso, è possibile utilizzare qualsiasi algoritmo di crittografia simmetrica per crittografare il file. Attualmente, EFS utilizza un algoritmo, DESX, che è una modifica speciale dello standard DES ampiamente utilizzato.

Le chiavi di crittografia EFS sono archiviate in un pool di memoria residente (EFS stesso si trova nel kernel di Windows 2000), che impedisce l'accesso non autorizzato ad esse tramite il file di paging.

Interazione dell'utente

Per impostazione predefinita, EFS è configurato in modo che l'utente possa iniziare subito a utilizzare la crittografia dei file. La crittografia e le operazioni inverse sono supportate per file e directory. Se una directory è crittografata, tutti i file e le sottodirectory di questa directory vengono automaticamente crittografati. Va notato che se un file crittografato viene spostato o rinominato da una directory crittografata a una non crittografata, rimarrà comunque crittografato. Le operazioni di crittografia/decrittografia possono essere eseguite in due modi: diversi modi- utilizzando Esplora risorse o l'utilità della console Cipher.

Per crittografare una directory da Esplora risorse, l'utente deve semplicemente selezionare una o più directory e selezionare la casella di crittografia nella finestra delle proprietà avanzate della directory. Verranno crittografati anche tutti i file e le sottodirectory creati successivamente in questa directory. Pertanto, puoi crittografare un file semplicemente copiandolo (o spostandolo) in una directory "crittografata".

I file crittografati vengono archiviati sul disco in forma crittografata. Durante la lettura di un file, i dati vengono automaticamente decrittografati e durante la scrittura vengono automaticamente crittografati. L'utente può lavorare con i file crittografati allo stesso modo dei file normali, ovvero aprirli e modificarli editor di testo Microsoft Word documenti, modificare disegni in Adobe Photoshop O redattore grafico Dipingi e così via.

Va notato che in nessun caso è necessario crittografare i file utilizzati all'avvio del sistema: in questo momento la chiave personale dell'utente con la quale viene eseguita la decrittografia non è ancora disponibile. Ciò potrebbe rendere impossibile l'avvio del sistema! EFS fornisce una protezione semplice contro tali situazioni: i file con l'attributo "system" non vengono crittografati. Attenzione però: questo potrebbe creare una falla di sicurezza! Controlla se l'attributo del file è impostato su "sistema" per garantire che il file venga effettivamente crittografato.

È anche importante ricordare che i file crittografati non possono essere compressi utilizzando Windows 2000 e viceversa. In altre parole, se una directory è compressa, il suo contenuto non può essere crittografato e se il contenuto della directory è crittografato, non può essere compresso.

Nel caso in cui sia richiesta la decrittografia dei dati, è sufficiente deselezionare le caselle di crittografia per le directory selezionate in Esplora risorse e i file e le sottodirectory verranno automaticamente decrittografati. È opportuno notare che questa operazione solitamente non è richiesta, poiché EFS fornisce all'utente un'esperienza "trasparente" con dati crittografati.

Recupero dati

EFS fornisce supporto integrato per il ripristino dei dati nel caso sia necessario decrittografarli, ma per qualche motivo ciò non può essere fatto normalmente. Per impostazione predefinita, EFS genererà automaticamente una chiave di ripristino, installerà un certificato di accesso nell'account amministratore e lo salverà la prima volta che accedi. Pertanto, l'amministratore diventa un cosiddetto agente di recupero e sarà in grado di decrittografare qualsiasi file sul sistema. Naturalmente è possibile modificare la politica di recupero dei dati e nominare come agente di recupero una persona specifica responsabile della sicurezza dei dati o anche più persone di questo tipo.

Una piccola teoria

EFS crittografa i dati utilizzando uno schema di chiave condivisa. I dati vengono crittografati con un algoritmo simmetrico veloce utilizzando la FEK (chiave di crittografia dei file). FEK è una chiave generata casualmente di una certa lunghezza. La lunghezza della chiave nella versione nordamericana di EFS è di 128 bit; la versione internazionale di EFS utilizza una lunghezza di chiave ridotta di 40 o 56 bit.

La FEK viene crittografata con una o più chiavi di crittografia condivise, risultando in un elenco di chiavi FEK crittografate. L'elenco delle chiavi FEK crittografate è archiviato in uno speciale attributo EFS chiamato DDF (campo di decrittografia dei dati). Le informazioni utilizzate per crittografare i dati sono strettamente collegate a questo file. Le chiavi pubbliche vengono estratte dalle coppie di chiavi utente del certificato X509 con ulteriore opportunità utilizzando "Crittografia file". Le chiavi private di queste coppie vengono utilizzate nella decrittografia dei dati e nella FEK. La parte privata delle chiavi viene archiviata su smart card o in un altro luogo sicuro (ad esempio, in memoria, la cui sicurezza è garantita tramite CryptoAPI).

La FEK viene inoltre crittografata utilizzando una o più chiavi di ripristino (derivate dai certificati X509 registrati nella policy di recupero dati crittografati per di questo computer, con l'opzione aggiuntiva “Recupero file”).

Come nel caso precedente, la parte pubblica della chiave viene utilizzata per crittografare l'elenco FEK. Insieme al file viene inoltre archiviato un elenco di chiavi FEK crittografate in un'area speciale di EFS denominata DRF (campo di recupero dati). DRF utilizza solo la parte comune di ciascuna coppia di chiavi per crittografare l'elenco FEK. Per le normali operazioni sui file sono necessarie solo le chiavi di ripristino condivise. Gli agenti di recupero possono archiviare le proprie chiavi private in un luogo sicuro all'esterno del sistema (ad esempio, su smart card). La figura mostra i diagrammi dei processi di crittografia, decrittografia e recupero dei dati.

Processo di crittografia

Il file non crittografato dell'utente viene crittografato utilizzando una FEK generata casualmente. Questa chiave viene scritta con il file e il file viene decrittografato utilizzando la chiave pubblica dell'utente (memorizzata in DDF) e la chiave pubblica dell'agente di recupero (memorizzata in DRF).

Processo di decrittazione

Innanzitutto, la chiave privata dell'utente viene utilizzata per decrittografare il FEK: questa operazione viene eseguita utilizzando la versione crittografata del FEK archiviata nel DDF. Il FEK decrittografato viene utilizzato per decrittografare il file blocco per blocco. Se dentro file di grandi dimensioni i blocchi non vengono letti in sequenza, quindi vengono decrittografati solo i blocchi leggibili. Il file rimane crittografato.

Processo di recupero

Questo processo è simile alla decrittografia, con la differenza che la chiave privata dell'agente di recupero viene utilizzata per decrittografare la FEK e la versione crittografata della FEK viene prelevata dal DRF.

Implementazione in Windows 2000

La figura mostra l'architettura EFS:

L'EFS è costituito dai seguenti componenti:

Driver EFS

Questo componente si trova logicamente sopra NTFS. Interagisce con il servizio EFS, riceve chiavi di crittografia dei file, campi DDF, DRF e altri dati di gestione delle chiavi. Il driver trasmette queste informazioni alla FSRTL (libreria runtime del file system) per eseguire in modo trasparente varie operazioni del file system (ad esempio, apertura di un file, lettura, scrittura, aggiunta di dati alla fine del file).

Libreria runtime EFS (FSRTL)

FSRTL è un modulo all'interno del driver EFS che effettua chiamate esterne a NTFS per eseguire varie operazioni sul file system come lettura, scrittura, apertura di file e directory crittografati, nonché crittografia, decrittografia, operazioni di ripristino dei dati durante la scrittura su disco e la lettura da disco . Sebbene il driver EFS e FSRTL siano implementati come un singolo componente, non comunicano mai direttamente. Usano il meccanismo di chiamata NTFS per scambiarsi messaggi. Ciò garantisce che NTFS sia coinvolto in tutte le operazioni sui file. Le operazioni implementate utilizzando i meccanismi di gestione dei file includono la scrittura dei dati sugli attributi del file EFS (DDF e DRF) e il passaggio dei FEK calcolati da EFS alla libreria FSRTL, poiché queste chiavi devono essere impostate nel contesto dell'apertura del file. Questo contesto di apertura dei file consente quindi la crittografia e la decrittografia discreta dei file mentre i file vengono scritti e letti dal disco.

Servizio EFS

Il servizio EFS fa parte del sottosistema di sicurezza. Utilizza la porta di comunicazione LPC esistente tra LSA (autorità di sicurezza locale) e il monitor di sicurezza in modalità kernel per comunicare con il driver EFS. In modalità utente, il servizio EFS interagisce con CryptoAPI per fornire chiavi di crittografia dei file e fornire la generazione DDF e DRF. Inoltre, il servizio EFS supporta l'API Win32.

API Win32

Fornisce un'interfaccia di programmazione per la crittografia aprire file, decrittografia e recupero di file chiusi, ricezione e trasmissione di file chiusi senza prima decrittografarli. Implementato come libreria di sistema standard advapi32.dll.

Un po' di pratica

Per crittografare un file o una directory, attenersi alla seguente procedura:

1. Avviare Esplora risorse, fare clic con il tasto destro sulla directory, selezionare Proprietà.
2. Nella scheda Generale, fare clic sul pulsante Avanzate.

1. Seleziona la casella accanto a "Crittografa contenuti per proteggere i dati". Fare clic su OK, quindi su Applica nella finestra di dialogo Proprietà. Se hai scelto di crittografare un singolo file, verrà inoltre visualizzata una finestra di dialogo simile alla seguente:

Il sistema propone di crittografare anche la directory in cui si trova il file selezionato, altrimenti la crittografia verrà automaticamente annullata la prima volta che tale file viene modificato. Tienilo sempre presente quando crittografi singoli file!

A questo punto il processo di crittografia dei dati può considerarsi concluso.

Per decrittografare le directory, deseleziona semplicemente l'opzione "Crittografa contenuti per proteggere i dati". In questo caso, le directory, così come tutte le sottodirectory e i file in esse contenuti, verranno decrittografati.

conclusioni

• EFS in Windows 2000 offre agli utenti la possibilità di crittografare le directory NTFS utilizzando uno schema crittografico avanzato a chiave condivisa e tutti i file nelle directory private verranno crittografati. La crittografia di singoli file è supportata, ma non è consigliata a causa del comportamento imprevedibile dell'applicazione.
• EFS supporta anche la crittografia file cancellati, a cui si accede come risorse condivise. Se sono presenti profili utente per la connessione, vengono utilizzati le chiavi e i certificati dei profili remoti. In altri casi, vengono generati profili locali e vengono utilizzate chiavi locali.
• Il sistema EFS consente di impostare una politica di ripristino dei dati in modo tale che i dati crittografati possano essere recuperati utilizzando EFS, se necessario.
• La politica di recupero dei dati è integrata nella politica generale Sicurezza di Windows 2000. Il controllo del rispetto della politica di recupero può essere delegato a soggetti autorizzati. Ciascuna unità organizzativa può avere la propria policy di recupero dati configurata.
• Il recupero dei dati in EFS è un'operazione chiusa. Il processo di ripristino decrittografa i dati, ma non la chiave utente con cui i dati sono stati crittografati.
• Lavorare con file crittografati in EFS non richiede che l'utente esegua alcuna procedura speciale per crittografare e decrittografare i dati. La decrittografia e la crittografia avvengono inosservate dall'utente durante il processo di lettura e scrittura dei dati sul disco.
• EFS supporta il backup e il ripristino di file crittografati senza decrittografarli. NtBackup supporta il backup di file crittografati.
• EFS è integrato nel sistema operativo in modo tale da impedire la fuga di informazioni attraverso i file di scambio, garantendo al tempo stesso che tutte le copie create siano crittografate
• Vengono fornite numerose precauzioni per garantire la sicurezza del recupero dei dati, nonché la protezione contro la fuga e la perdita di dati in caso di guasti irreversibili del sistema.

A partire da Windows XP in tutti i sistemi operativi Sistemi Microsoftè presente una tecnologia di crittografia dei dati integrata EFS (crittografia file system). La crittografia EFS si basa sulle funzionalità del file system NTFS 5.0 e sull'architettura CryptoAPI ed è progettata per crittografare rapidamente i file sul disco rigido di un computer.

Descriviamo brevemente lo schema di crittografia EFS. EFS utilizza la crittografia a chiave pubblica e privata. La crittografia EFS utilizza le chiavi pubblica e privata dell'utente, che vengono generate la prima volta che l'utente utilizza la funzione di crittografia. Queste chiavi rimangono invariate finché esiste il suo account. Durante la crittografia di un file, EFS genera in modo casuale un numero univoco, la cosiddetta File Encryption Key (FEK) lunga 128 bit, con cui i file vengono crittografati. Le chiavi FEK sono crittografate con una chiave master, che è crittografata con la chiave degli utenti del sistema che hanno accesso al file. La chiave privata dell'utente è protetta da un hash della password dell'utente.

Possiamo quindi concludere che l’intera catena di crittografia EFS è essenzialmente strettamente legata al login e alla password dell’utente. Ciò significa che la sicurezza dei dati dipende anche dalla forza della password dell’utente.

Importante. I dati crittografati utilizzando EFS possono essere decrittografati solo utilizzando lo stesso account. Voci di Windows con la stessa password utilizzata per la crittografia. Altri utenti, inclusi gli amministratori, non saranno in grado di decrittografare e aprire questi file. Ciò significa che i dati privati ​​rimarranno al sicuro, anche con qualsiasi mezzo. Ma è importante comprendere l’altro lato della questione. Se l'account o la sua password vengono modificati (a meno che non siano stati modificati direttamente dall'utente stesso durante la sua sessione), il sistema si blocca o il sistema operativo viene reinstallato, i dati crittografati diventeranno inaccessibili. Per questo motivo è estremamente importante esportare e conservare i certificati di crittografia in un luogo sicuro (la procedura è descritta di seguito).

Nota. Iniziando con Windows Vista I sistemi MS OS supportano un'altra tecnologia di crittografia: BitLocker. BitLocker rispetto alla crittografia EFS:

• utilizzato per crittografare un intero volume del disco
• richiede un modulo TPM hardware (se richiede un dispositivo di archiviazione della chiave esterno, come un'unità flash USB o un disco rigido)

Esternamente, per l'utente, lavorare con file privati ​​crittografati utilizzando EFS non è diverso dal lavorare con file normali: il sistema operativo esegue automaticamente le operazioni di crittografia/decrittografia (queste funzioni vengono eseguite dal driver del file system).

Come abilitare la crittografia della directory EFS su Windows

Diamo un'occhiata passo dopo passo alla procedura per crittografare i dati in Windows 8 utilizzando EFS.

Nota. In nessun caso dovresti abilitare la crittografia per le directory e le cartelle di sistema. Altrimenti, Windows potrebbe semplicemente non avviarsi, perché... il sistema non sarà in grado di trovare la chiave privata dell'utente e decrittografare i file.

In Esplora file, seleziona la directory o i file che desideri crittografare e, facendo clic con il pulsante destro del mouse, vai alle loro proprietà ( Proprietà).

Sulla scheda Generale nella sezione degli attributi, trova e fai clic sul pulsante Avanzate.

Nella finestra che appare, seleziona la casella Crittografa i contenuti per proteggere i dati(Crittografare il contenuto per proteggere i dati).

Fare clic su OK due volte.

Se stai crittografando una directory, il sistema ti chiederà se desideri crittografare solo la directory o la directory e tutti i suoi sottoelementi. Seleziona l'azione desiderata, dopodiché la finestra delle proprietà della directory si chiuderà.

Le directory e i file crittografati in Esplora risorse vengono visualizzati in verde (ricorda che gli oggetti sono evidenziati in blu). Se scegli di crittografare una cartella con tutto il suo contenuto, verranno crittografati anche tutti i nuovi elementi all'interno della cartella crittografata.

È possibile gestire la crittografia/decrittografia EFS dalla riga di comando utilizzando l'utilità di crittografia. Ad esempio, puoi crittografare la directory C:\Secret in questo modo:

Cifra /e c:\Segreto

Un elenco di tutti i file nel file system crittografati utilizzando il certificato dell'utente corrente può essere visualizzato utilizzando il comando:

Cifra /u/n

Crittografia EFS di backup della chiave

Dopo che l'utente ha crittografato i propri dati utilizzando EFS per la prima volta, nella barra delle applicazioni verrà visualizzata una finestra pop-up che gli chiede di salvare la chiave di crittografia.

Esegui il backup della chiave di crittografia dei file. Questo ti aiuta a evitare di perdere permanentemente l'accesso ai tuoi file crittografati.

Facendo clic sul messaggio verrà avviata la procedura guidata Prenota copia certificati e relativi chiavi private Crittografia EFS.

Nota. Se chiudi accidentalmente la finestra o non viene visualizzata, puoi esportare i certificati EFS utilizzando il pulsante " Gestire i certificati di crittografia dei file» nel pannello di controllo utente.

Selezionare Eseguire il backup del certificato e della chiave di crittografia dei file

Quindi inserisci una password per proteggere il certificato (preferibilmente piuttosto complessa).

Non resta che indicare il percorso in cui si desidera salvare il certificato esportato (per motivi di sicurezza dovrà essere copiato duro esterno disco/ chiavetta USB e conservare in un luogo sicuro).