Шифрувальні файлові системи. Шифрувальні файлові системи в ОС Windows XP

EFS неспроможна розшифрувати FEK самостійно й більше потрібно  було у тому на Lsasrv, котрі можуть використовувати CryptoAPI. З допомогою драйвера KsecDD.sys EFS посилає LPC-сообщение Lsasrv, щоб він витяг із атрибута $LOGGED_UTILITY_STREAM FEK користувача, відкриває файл, і розшифрував его.

 Отримавши LPC-сообщение, Lsasrv викликає функцію LoadUserProfile з  Userenv.dll для завантаження до реєстру  профілю користувача, коли вона не завантажений. Lsasrv перебирає все поля ключів у цих EFS, пробуючи розшифрувати кожен FEK з урахуванням закритого ключа користувача; з цим метою Lsasrv намагається розшифрувати FEK в DDF чи DRF елементі ключа. Якщо хэш сертифіката на полі ключа не наближається до ключу користувача, Lsasrv переходить ось до чого полю ключа. Якщо Lsasrv вдасться розшифрувати ні одного FEK в DDF чи DRF, користувач не отримає FEK файла, і EFS заборонить доступом до файлу додатку, яке намагалося відкрити цей файл. Якщо ж Lsasrv знайде який-небудь хэш, що відповідає ключу користувача, він розшифрує FEK по закритому ключу користувача через CryproAPI.

Lsasrv, обробляючи при розшифровці  FEK зв'язки ключів DDF і DRF, автоматично  виконує операції відновлення  файла. Якщо до файлу намагається  отримання доступу агент відновлення,  не зареєстрований на доступом  до шифрованному файлу, тобто.  він не бачить відповідного  поля була в зв'язці ключів DDF, EFS дозволить йому звернутися до файлу, оскільки агент має доступом до пере ключів для поля ключа у поєднанні ключів DRF.

 Шлях від драйвера EFS до Lsasrv і навпаки вимагає досить  багато часу – у процесі  розшифровки FEK в типовою системі CryptoAPI використовує результати понад 2.000 викликів API-функций реєстру і 400 інтерпретацій файлової системі. Щоб скоротити витрати від цих викликів, драйвер EFS використовує кеш разом з NTFS.

 Відкривши шифрований  файл, додаток може читати і  записувати його дані. Для розшифровки  файлових даних NTFS викликає драйвер  EFS принаймні читання цих даних  із диска – доти, як поміщає  в кеш файловій системи. Так,  коли додаток записує дані  в файл, вони залишаються незашифрованными в кэше файлової системи, поки додаток чи диспетчер кешу не скине дані назад на диск з допомогою NTFS. При записи даних шифрованого файла з кешу на диск NTFS викликає драйвер EFS, щоб зашифрувати их.

 Драйвер EFS виконує  шифрування і розшифровку даних  порціями по 512 байт. Такий розмір оптимальний для драйвера, оскільки обсяг даних при операціях читання і запис кратний розміру сектора.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Резервне копіювання шифрованих файлів.

 Важливий аспект розробки  будь-якого механізму шифрування  файлів залежить від тому, що  докладання що неспроможні одержати  доступ розшифрованим даним інакше, як за механізми шифрування. Це  обмеження особливо важливо задля  утиліт резервного копіювання, з  допомогою яких файли зберігаються  на архівних носіях. EFS вирішує цієї проблеми, надаючи утилітам резервного копіювання механізм, з допомогою яку вони можуть створювати резервні копії файлів і відновлювати в шифрованому вигляді. Отже, утилітам резервного копіювання необов'язково шифрувати чи розшифровувати дані файла у процесі резервного копирования.

 Для доступу до шифрованному вмісту файлів утиліти резервного копіювання в Windows 2000 використовують новий EFS АПІ: функції OpenEncryptedFileRaw, ReadEncryptedFileRaw, WriteEncryptedFileRaw і CloseEncryptedFileRaw. Ці функції, надані Advapi32.dll, викликають відповідні функції Lsasrv за механізмом LPC. Наприклад, коли утиліта резервного копіювання відкриває файл, вона викликає ReadEncryptedFileRaw, щоб отримати дані. Lsasrv-функция EfsReadFileRaw видає управляючі команди, шифруемые за алгоритмом DESX з допомогою сеансового ключа EFS, драйверу NTFS для читання спочатку атрибута EFS файла, та був його шифрованого содержимого.

EfsReadFileRaw може знадобитися  кілька операцій читання, щоб  вважати великий файл. Принаймні  того як EfsReadFileRaw зчитує чергову  порцію файла, Lsasrv посилає Advapi32.dll RPC-сообщение, внаслідок якого  виконується функція зворотного  виклику, зазначена програмою  резервного копіювання при виклик ReadEncryptedFileRaw. Функція EfsReadFileRaw передає  лічені шифровані дані функції  зворотного виклику, яка записує  їх у архівний носитель.

 Відновляються шифровані  файли аналогічно. Програма резервного  копіювання викликає API-функцию WriteEncryptedFileRaw, яка активізує функцію зворотного  виклику програми резервного  копіювання для отримання нешифрованных  даних із архівного носія, тоді як Lsasrv- функція EfsWriteFileRaw відновлює вміст файла.

 

 

 

 

 

 

Шифрувальна файлова  система в Windows ХР.

Засоби підтримки шифрування файлів у ОС лінії Windows ХР описані  під загальною назвою шифрувальної файлової системи (Encrypting File System, EFS).

Для цього використовують драйвер файлової системи, розташований над драйвером NTFS.

Принципи роботи EFS

Реалізація EFS — це гібридна криптосистема із кількома рівнями  шифрування.

• Безпосередньо для шифрування даних файла використовують симетричний алгоритм (посилений аналог DES, можливе використання інших алгоритмів).

Ключ для нього (ключ шифрування файла — File Encryption Key, FEK) генерують

випадково під час кожної спроби зашифрувати файл.

• Для шифрування FEK використовують алгоритм із відкритим ключем (RSA).

Для кожного користувача  генерують пару RSA-ключів, при цьому FEK шифрують

відкритим ключем цієї пари. Результат шифрування FEK зберігають

у заголовку файла. Крім того, передбачена можливість дешифрування файла

довіреною особою (агентом відновлення, recovery agent) у разі втрати ключа

користувачем. Для цього  результат шифрування FEK відкритими ключами

довірених агентів також  зберігають у заголовку файла.

• Відкритий ключ користувача  зберігають у вигляді сертифіката  у сховищі сертифікатів

(certificate store), розташованому  в домашньому каталозі користувача

на локальному комп'ютері. Крім того, у цьому сховищі містяться  сертифікати

всіх агентів відновлення.

• Для шифрування закритого  ключа користувача використовують симетричний

алгоритм RC4 із ключем, який система генерує випадково і  періодично обновлює.

Цей ключ називають майстер-ключем (master key). Результат шифрування

закритого ключа майстер-ключем зберігають на файловій системі в  домашньому

каталозі користувача.

• Для шифрування майстер-ключа  теж використовують симетричний  алгоритм

RC4, але із більшою довжиною  ключа. Його генерують на основі  застосування

односторонньої хеш-функції SHA-1 до даних облікового запису користувача

(його SID і паролю). Результат  шифрування майстер-ключа цим  ключем також

зберігають на файловій системі.

 

 

 

 

 

 

 

 

Процес шифрування в Windows XP

Microsoft Windows XP і шифрована файлова система (EFS) дає можливість зберігати дані на диску в зашифрованому форматі, однак при перевстановленні системи або видаленні облікового запису користувача його зашифровані дані будуть безповоротно загублені, якщо не подбати про збереження сертифіката і ключів, створенні облікового запису агента відновлення .

Шифрована файлова система EFS використовується для зберігання шифрованих файлів на томах файлової системи NTFS 5.0. Після того як файл або папка зашифровані, з ними можна працювати так само, як і з іншими файлами або папками, тобто шифрування прозоро для користувача, зашифрувала файл. Це означає, що перед використанням файл не потрібно розшифровувати. Можна, як звичайно, відкрити файл і змінити його.

Робота з EFS аналогічна використанню дозволів для файлів і папок. Завдання обох методів - обмеження доступу до даних. Однак дозволу для файлів і папок не захистять вас, якщо зловмисник отримає фізичний доступ до ваших даних, наприклад, підключить ваш жорсткий диск до іншого комп'ютера або завантажиться з допомогою іншої операційної системи, що має доступ до томів NTFS. При спробі ж відкрити або скопіювати зашифрований файл або папку він отримає вичерпну відповідь: «Немає доступу».

Шифрування і розшифрування  файлів виконується шляхом установки  атрибута файлу або папки Властивості  папки або файла> Загальні> Інші> Шифрувати вміст для захисту даних

Як тільки ми зашіфруем  якусь папку або файл, Windows створить для нас сертифікат і пов'язану  з ним пару ключів (відкритий і  секретний ключ), на підставі яких буде відбуватися шифрування і дешифрування файлів. Сертифікат - цифровий документ, який використовується для перевірки автентичності та безпечної передачі даних в загальнодоступних мережах (Інтернет, Інтранет, Екстранет), він пов'язує відкритий ключ з об'єктом, що містить відповідний закритий ключ.

 

 Наша задача - провести  резервне копіювання ключів. Це  можна зробити за допомогою  оснастки консолі управління  Сертифікати. За замовчуванням  при установці системи вона  відсутня, тому ми її додамо, виконавши  ряд кроків.

 Натисніть кнопку Пуск, виберіть команду Виконати, введіть  mmc та натисніть кнопку OK. У меню  Консоль виберіть команду Додати  або видалити оснастку і натисніть  кнопку Додати. В поле Оснащення  двічі клацніть Сертифікати. Далі  встановіть прапорець Моїй облікового запису користувача і натисніть кнопку Готово. У меню Консоль> Параметри встановіть режим консолі користувача - огр. доступ, одне вікно, натисніть Застосувати. Тепер консоль готова до роботи (рис. 2).

 Якщо ви вже зашифрували  небудь файл або папку, то  в Корінь консолі> Сертифікати-поточний  користувач> Приватні> Сертифікати  ви повинні побачити сертифікат, який пов'язаний із секретним  ключем і який нам потрібно  експортувати у файл. Перейдемо до нього і викличемо контекстне меню, виберемо Усі завдання, а потім Експорт. На пропозицію Експортувати закритий ключ разом із сертифікатом відповімо «Так», формат файлу залишимо без змін, введемо пароль, знання якої нам буде потрібно для зворотного процедури - імпорту сертифіката. Отриманий файл з розширенням. Pfx необхідно сховати, так як будь-який користувач, який імпортує даний сертифікат для свого облікового запису, отримає доступ до ваших файлів, звичайно, якщо дізнається або вгадає пароль, необхідний для імпорту сертифікату.

 Рекомендується використовувати  шифрування на рівні папки. Якщо шифрується папка, всі файли і папки, створені в зашифрованою директорії, автоматично шифруються. Ця процедура дозволяє створювати зашифровані файли, дані яких ніколи не з'являться на диску у вигляді звичайного тексту - навіть тимчасові файли, створювані програмами в процесі редагування, також будуть зашифровані.

 При роботі з зашифрованими  файлами і папками слід враховувати  ряд моментів.

 Можуть бути зашифровані тільки файли і папки, що знаходяться на томах NTFS.

 Стислі файли і папки  не можуть бути зашифровані. Якщо шифрування виконується для стисненого файлу або папки, файл або папка перетворюються до стану без стиснення.

 Зашифровані файли  можуть стати розшифрованими, якщо  файл копіюється або переміщується  на те, що не є томом NTFS. При  переміщенні незашифрованих файлів  в зашифровану папку вони автоматично шифруються в новій папці, проте зворотна операція не призведе до автоматичної розшифровці файлів, файли необхідно явно розшифрувати. Не можуть бути зашифровані файли з атрибутом Системний і файли в системному каталозі. Шифрування папки або файлу не захищає їх від видалення - будь-який користувач, що має права на видалення, може видалити зашифровані папки або файли. З цієї причини рекомендується використання EFS в комбінації з дозволами системи NTFS. Можуть бути зашифровані або розшифровані файли і папки на віддаленому комп'ютері, для якого дозволено віддалене шифрування. Однак якщо зашифрований файл відкривається по мережі, що передаються при цьому по мережі дані не будуть зашифровані. Для шифрування даних, переданих по мережі, повинні використовуватися інші протоколи, наприклад SSL / TLS або IPSec.

 Тепер давайте розглянемо  процес шифрування в Microsoft Windows XP на більш низькому рівні, щоб убезпечити себе від витрат шифрування, а саме - втрати даних.

 Для початку згадаємо дві основні криптографічні системи. Найбільш проста - шифрування з використанням секретного (симетричного) ключа, тобто для шифровки і розшифровки даних використовується один і той же ключ. Переваги: ​​висока швидкість шифрування; недоліки: проблема передачі секретного ключа, а саме можливість його перехоплення. Представники: DES, 3DES, DESX, AES. Відмінність шифрування з відкритим ключем (асиметричне шифрування) полягає в тому, що дані шифруються одним ключем, а розшифровуються іншим, за допомогою одного і того ж ключа не можна здійснити зворотне перетворення. Ця технологія шифрування передбачає, що кожен користувач має в своєму розпорядженні пару ключів - відкритий ключ (public key) і особистий або закритий ключ (private key). Таким чином, вільно поширюючи відкритий ключ, ви надаєте іншим користувачам можливість шифрувати свої повідомлення, спрямовані вам, які зможете розшифрувати тільки ви. Якщо відкритий ключ і потрапить в «погані руки», то він не дасть можливості визначити секретний ключ і розшифрувати дані. Звідси і основна перевага систем з відкритим ключем: не потрібно передавати секретний ключ, проте є й недолік - низька швидкість шифрування. Представники: RSA, алгоритм Ель-Гамаля, алгоритм Діффі-Гелмана.

 У EFS для шифрування  використовуються всі переваги перерахованих вище систем. Дані шифруються за допомогою симетричного алгоритму із застосуванням ключа шифрування файлу (File Encryption Key, FEK). FEK - згенерований EFS випадковим чином ключ. На наступному етапі FEK шифрується за допомогою відкритого ключа користувача і зберігається в межах атрибута, званого полем розшифровки даних (Data Decryption Field, DDF) безпосередньо всередині самого файлу. Крім того, EFS шифрує FEK, використовуючи відкритий ключ агента відновлення, і поміщає його в атрибут Data Recovery Field - DRF. DRF може містити дані для безлічі агентів відновлення.

 Хто ж такий цей  загадковий агент відновлення?  Агент відновлення даних (Data Recovery Agent, DRA) - користувач, який має доступ  до всіх зашифрованих даних інших користувачів. Це актуально в разі втрати користувачами ключів або інших непередбачених ситуаціях. Агентом відновлення даних призначається зазвичай адміністратор. Для створення агента відновлення потрібно спочатку створити сертифікат відновлення даних і визначити політику відновлення, а потім призначити одного з користувачів таким агентом. Політика відновлення грає важливу роль в системі шифрування Windows XP, вона визначає агентів відновлення, а їх відсутність або видалення політики взагалі забороняє використання користувачами шифрування.