Шифрование файлов в NTFS с помощью системы EFS

Московский  Государственный Технический Университет

Имени Н.Э. Баумана  
 

Кафедра ИУ-5 

‘Шифрование файлов в NTFS

с помощью  системы EFS’

                                    Выполнил:

      студент группы ИУ5-73

                                                      Кононов П.В. 

Дата:__/__/____      Подпись:__________

Москва, 2010

 

Содержание

 

  Введение

 

   Защита  конфиденциальных данных от несанкционированного  доступа очень

важна в любой  среде, где множество пользователей обращается к одним и тем

же физическим и сетевым ресурсам. У операционной системы, как и у отдельных

пользователей, должна быть возможность защиты файлов, памяти и

конфигурационных  параметров от нежелательного просмотра  и внесения

изменений. Защищать файлы от несанкционированного доступа можно различными

средствами, но в случае кражи файлов единственной защитой остается

шифрование. Простейший случай такого шифрования - архивирование файла с паролем. Однако здесь есть ряд серьезных недостатков. Во-первых, пользователю требуется каждый раз вручную шифровать и дешифровать (то есть, в нашем случае архивировать и разархивировать) данные перед началом и после окончания работы, что уже само по себе уменьшает защищенность данных. Пользователь может забыть зашифровать (заархивировать) файл после окончания работы, или (еще более банально) просто оставить на диске копию файла. Во-вторых, пароли, придуманные пользователем, как правило, легко угадываются. В любом случае, существует достаточное количество утилит, позволяющих распаковывать архивы, защищенные паролем. Как правило, такие утилиты осуществляют подбор пароля путем перебора слов, записанных в словаре.

Система EFS была разработана с целью преодоления  этих недостатков, поэтому рассмотрим ее поподробнее. 

                          

 

     Механизм EFS

Технология  шифрования

EFS использует  архитектуру Windows CryptoAPI. В ее основе  лежит технология шифрования  с открытым ключом. Для шифрования  каждого файла случайным образом  генерируется ключ шифрования  файла. При этом для шифрования файла может применяться любой симметричный алгоритм шифрования. В настоящее же время в EFS используется один алгоритм, это DESX, являющийся специальной модификацией широко распространенного стандарта DES.

Ключи шифрования EFS хранятся в резидентном пуле памяти (сама EFS расположена в ядре Windows 2000), что исключает несанкционированный доступ к ним через файл подкачки.

Взаимодействие  с пользователем

По умолчанию EFS сконфигурирована таким образом, что пользователь может сразу  начать использовать шифрование файлов. Операция шифрования и обратная поддерживаются для файлов и каталогов. В том случае, если шифруется каталог, автоматически шифруются все файлы и подкаталоги этого каталога. Необходимо отметить, что если зашифрованный файл перемещается или переименовывается из зашифрованного каталога в незашифрованный, то он все равно остается зашифрованным. Операции шифрования/дешифрования можно выполнить двумя различными способами - используя Windows Explorer или консольную утилиту Cipher.

Для того чтобы  зашифровать каталог из Windows Explorer, пользователю нужно просто выбрать  один или несколько каталогов  и установить флажок шифрования в  окне расширенных свойств каталога. Все создаваемые позже файлы  и подкаталоги в этом каталоге будут также зашифрованы. Таким образом, зашифровать файл можно, просто скопировав (или перенеся) его в "зашифрованный" каталог.

Зашифрованные файлы хранятся на диске в зашифрованном  виде. При чтении файла данные автоматически  расшифровываются, а при записи - автоматически шифруются. Пользователь может работать с зашифрованными файлами так же, как и с обычными файлами, то есть открывать и редактировать в текстовом редакторе Microsoft Word документы, редактировать рисунки в Adobe Photoshop или графическом редакторе Paint, и так далее.

Необходимо отметить, что ни в коем случае нельзя шифровать  файлы, которые используются при  запуске системы - в это время  личный ключ пользователя, при помощи которого производится дешифровка, еще  недоступен. Это может привести к  невозможности запуска системы! В EFS предусмотрена простая защита от таких ситуаций: файлы с атрибутом "системный" не шифруются. Однако будьте внимательны: это может создать "дыру" в системе безопасности! Проверяйте, не установлен ли атрибут файла "системный" для того, чтобы убедиться, что файл действительно будет зашифрован.

Важно также  помнить о том, что зашифрованные  файлы не могут быть сжаты средствами Windows 2000 и наоборот. Иными словами, если каталог сжат, его содержимое не может быть зашифровано, а если содержимое каталога зашифровано, то он не может быть сжат.

В том случае, если потребуется дешифровка данных, необходимо просто снять флажки шифрования у выбранных каталогов в Windows Explorer, и файлы и подкаталоги автоматически  будут дешифрованы. Следует отметить, что эта операция обычно не требуется, так как EFS обеспечивает "прозрачную" работу с зашифрованными данными для пользователя.

Восстановление  данных

EFS обеспечивает  встроенную поддержку восстановления  данных на тот случай, если  потребуется их расшифровать, но, по каким-либо причинам, это не может быть выполнено обычным способом. По умолчанию, EFS автоматически сгенерирует ключ восстановления, установит сертификат доступа в учетной записи администратора и сохранит его при первом входе в систему. Таким образом, администратор становится так называемым агентом восстановления, и сможет расшифровать любой файл в системе. Разумеется, политику восстановления данных можно изменить, и назначить в качестве агента восстановления специального человека, ответственного за безопасность данных, или даже несколько таких лиц.

Немного теории

EFS осуществляет  шифрование данных, используя схему  с общим ключом. Данные шифруются  быстрым симметричным алгоритмом  при помощи ключа шифрования  файла FEK (file encryption key). FEK - это случайным образом сгенерированный ключ определенной длины. Длина ключа в североамериканской версии EFS 128 бит, в международной версии EFS используется уменьшенная длина ключа 40 или 56 бит.

FEK шифруется одним или несколькими  общими ключами шифрования, в результате чего получается список зашифрованных ключей FEK. Список зашифрованных ключей FEK хранится в специальном атрибуте EFS, который называется DDF (data decryption field - поле дешифрования данных). Информация, при помощи которой производится шифрование данных, жестко связана с этим файлом. Общие ключи выделяются из пар пользовательских ключей сертификата X509 с дополнительной возможностью использования "File encryption". Личные ключи из этих пар используются при дешифровке данных и FEK. Личная часть ключей хранится либо на смарт-картах, либо в другом надежном месте (например, в памяти, безопасность которой обеспечивается при помощи CryptoAPI).

FEK также шифруется  при помощи одного или нескольких  ключей восстановления (полученных  из сертификатов X509, записанных в  политике восстановления зашифрованных  данных для данного компьютера, с дополнительной возможностью "File recovery").

Как и в предыдущем случае, общая часть ключа используется для шифрования списка FEK. Список зашифрованных  ключей FEK также хранится вместе с  файлом в специальной области EFS, которая называется DRF (data recovery field - поле восстановления данных). Для шифрования списка FEK в DRF используется только общая часть каждой пары ключей. Для нормального осуществления файловых операций необходимы только общие ключи восстановления. Агенты восстановления могут хранить свои личные ключи в безопасном месте вне системы (например, на смарт-картах). На рисунке приведены схемы процессов шифрования, дешифрования и восстановления данных.

Процесс шифрования

Незашифрованный файл пользователя шифруется при  помощи случайно сгенерированного ключа FEK. Этот ключ записывается вместе с  файлом, файл дешифруется при помощи общего ключа пользователя (записанного  в DDF), а также при помощи общего ключа агента восстановления (записанного в DRF).

Процесс дешифрования

Сначала используется личный ключ пользователя для дешифрации FEK - для этого используется зашифрованная версия FEK, которая хранится в DDF. Расшифрованный FEK используется для поблочного дешифрования файла. Если в большом файле блоки считываются не последовательно, то дешифруются только считываемые блоки. Файл при этом остается зашифрованным.

Процесс восстановления

Этот процесс  аналогичен дешифрованию с той разницей, что для дешифрования FEK используется личный ключ агента восстановления, а  зашифрованная версия FEK берется из DRF.

Реализация  в Windows 2000

На рисунке  показана архитектура EFS:

EFS состоит из  следующих компонентов:

Драйвер EFS

Этот компонент  расположен логически на вершине NTFS. Он взаимодействует с сервисом EFS, получает ключи шифрования файлов, поля DDF, DRF и другие данные управления ключами. Драйвер передает эту информацию в FSRTL (file system runtime library, библиотека времени выполнения файловой системы) для прозрачного выполнения различных файловых системных операций (например, открытие файла, чтение, запись, добавление данных в конец файла).

Библиотека  времени выполнения EFS (FSRTL)

FSRTL - это модуль  внутри драйвера EFS, который осуществляет  внешние вызовы NTFS для выполнения различных операций файловой системы, таких как чтение, запись, открытие зашифрованных файлов и каталогов, а также операций шифрования, дешифрования, восстановления данных при записи на диск и чтении с диска. Несмотря на то, что драйвер EFS и FSRTL реализованы в виде одного компонента, они никогда не взаимодействуют напрямую. Для обмена сообщениями между собой они используют механизм вызовов NTFS. Это гарантирует участие NTFS во всех файловых операциях. Операции, реализованные с использованием механизмов управления файлами, включают запись данных в файловые атрибуты EFS (DDF и DRF) и передачу вычисленных в EFS ключей FEK в библиотеку FSRTL, так как эти ключи должны устанавливаться в контексте открытия файла. Такой контекст открытия файла позволяет затем осуществлять незаметное шифрование и дешифрование файлов при записи и считывании файлов с диска.

Служба EFS

Служба EFS является частью подсистемы безопасности. Она  использует существующий порт связи LPC между LSA (Local security authority, локальные средства защиты) и работающим в kernel-mode монитором безопасности для связи с драйвером EFS. В режиме пользователя служба EFS взаимодействует с программным интерфейсом CryptoAPI, предоставляя ключи шифрования файлов и обеспечивая генерацию DDF и DRF. Кроме этого, служба EFS осуществляет поддержку интерфейса Win32 API.

Win32 API

Обеспечивает  интерфейс программирования для  шифрования открытых файлов, дешифрования и восстановления закрытых файлов, приема и передачи закрытых файлов без их предварительной расшифровки. Реализован в виде стандартной системной библиотеки advapi32.dll.

 

      Заключение

   Шифрованная  файловая система защищает конфиденциальные  данные в файлах на

томах NTFS. EFS - основная технология шифрования и расшифровки  файлов на

томах NTFS. Открывать файл и работать с ним может только пользователь, его

зашифровавший. Это  чрезвычайно важно для пользователей  переносных

компьютеров: даже если взломщик получит доступ к потерянному  или

украденному компьютеру, он не сможет открыть зашифрованные файлы. В Windows

XP шифрованная  файловая система также поддерживает  автономные файлы и папки

(Offline Files and Folders).

   Зашифрованный  файл останется недоступным для  просмотра в исходном виде,

даже если атакующий  обойдет системную защиту, например, загрузив другую ОС.

EFS обеспечивает  устойчивое шифрование по стандартным  алгоритмам и тесно

интегрирована с NTFS. EFS в Windows XP Professional предоставляет новые

возможности совместного  использования зашифрованных файлов или отключения

агентов восстановления данных, а также облегчает управление посредством

групповой политики и служебных программ командной  строки.

 

Список используемой литературы

1. Д. Соломон,  М. Руссинович. Внутреннее устройство Microsoft Windows 2000.

Мастер-класс. / Пер. с англ. — СПб.: Питер; М.: Издательско-торговый дом

«Русская Редакция», 2001.