- •Введение
- •Архитектура efs
- •Технологии шифрования efs
- •Принципы шифрования
- •Операция шифрования
- •Операция дешифрования
- •Процесс восстановления файла после утраты секретной части ключа
- •Место efs в Windows 2000
- •Работа с efs Управление сертификатами пользователей
- •Утилита cipher
- •Шифрование файлов и каталогов
- •Дешифрование файлов и каталогов
- •Копирование, перемещение, переименование и уничтожение зашифрованных файлов и папок
- •Архивация зашифрованных файлов
- •Восстановление зашифрованных файлов на другом компьютере
- •Восстановление данных, зашифрованных с помощью неизвестного личного ключа
Принципы шифрования
В EFS для шифрования и дешифрования информации используются открытые ключи. Данные зашифровываются с помощью симметричного алгоритма с применением ключа шифрования файла (File Encryption Key, FEK). FEK — это сгенерированный случайным образом ключ, имеющий определенную длину. В свою очередь, FEK шифруется с помощью одного или нескольких открытых ключей, предназначенных для криптозащиты ключа. В этом случае создается список зашифрованных ключей FEK, что позволяет организовать доступ к файлу со стороны нескольких пользователей. Для шифрования набора FEK используется открытая часть пары ключей каждого пользователя. Список зашифрованных ключей FEK хранится вместе с зашифрованным файлом в специальном атрибуте EFS, называемом полем дешифрования данных (Data Decryption Field, DDF). Информация, требуемая для дешифрования, привязывается к самому файлу. Секретная часть ключа пользователя используется при дешифровании FEK. Она хранится в безопасном месте, например на смарт-карте или другом устройстве, обладающем высокой степенью защищенности. Однако, шифрование на основе ключа пользователя может быть выполнено с помощью симметричного алгоритма, применяющего ключ, образованный из пароля. EFS не поддерживает этот подход, поскольку схема, основанная на пароле пользователя, не обладает необходимой устойчивостью к атакам с применением словарей.
FEK применяется для создания ключей восстановления. Для этого FEK шифруется с помощью одного или нескольких открытых ключей восстановления. Список РЕК, зашифрованных для целей восстановления, хранится вместе с зашифрованным файлом в специальном атрибуте EFS, называемом полем восстановления данных (Data Recovery Field, DRF). Благодаря существованию набора зашифрованных FEK файл может восстановить несколько агентов восстановления данных (см. ниже). Для шифрования РЕК в DRF необходима только общая часть пары ключей восстановления, ее присутствие в системе необходимо в любой момент времени для нормального функционирования файловой системы. Сама процедура восстановления выполняется довольно редко, когда пользователь увольняется из организации или забывает секретную часть ключа. Поэтому агенты восстановления могут хранить секретную часть ключей восстановления в безопасном месте, например на смарт-картах или других хорошо защищенных устройствах.
Операция шифрования
Шифрование данных производится в следующем порядке:
незашифрованный файл пользователя шифруется с помощью сгенерированного случайным образом ключа шифрования файла, РЕК.
РЕК шифруется с помощью открытой части пары ключей пользователя и помещается в поле дешифрования данных, DDF.
РЕК шифруется с помощью открытой части ключа восстановления и помещается в поле восстановления данных, DRF
Операция дешифрования
Дешифрование данных производится следующим образом:
из DDF извлекается зашифрованный РЕК и дешифруется с помощью секретной части ключа пользователя
зашифрованный файл пользователя дешифруется с помощью РЕК, полученного на предыдущем этапе
при работе с большими файлами дешифруются только отдельные блоки, что значительно ускоряет выполнение операций чтения.