Office 365 - podręcznik użytkownika

Ta książka pokaże Ci, jak wykorzystać chmurowe przetwarzanie danych - a konkretnie Office 365 - aby robić więcej, współpracować łatwiej i działać...
pobierz »

Jak zwiększyć wydajność infrastruktury serwerowej oszczędzając czas i pieniądze? Nowoczesne rozwiązania serwerowe

Niniejszy dokument ma na celu zaprezentowanie sposobów na poprawę funkcjonowania i efektywności działania infrastruktury serwerowej w firmie lub...
pobierz »

Dlaczego warto korzystać z Office 365?

Jakie funkcje i możliwości Microsoft Office 365 decydują o tym, że warto wybrać to rozwiązanie zamiast tradycyjnego pakietu Office i rozwiązań...
pobierz »

Szyfrowanie dysków - praktyczny przewodnik

10 stycznia 2007

Computerworld — Jak szyfrować?

Programowe szyfrowanie dysków twardych jest możliwe na kilka sposobów, stanowiących najczęściej różne formy kompromisu pomiędzy bezpieczeństwem, wydajnością i wygodą użytkowania. I tak, rozróżniamy następujące podstawowe modele aplikacji do szyfrowania nośników danych:

- Szyfrowanie na poziomie sektorowym całego dysku, zwykle połączone z PBE (Password-Based Authentication) - na przykład Utimaco SafeGuard Easy, CompuSec
- "Zaszyfrowany kontener" - na przykład PGPdisk, TrueCrypt
- Transparentne szyfrowanie plików i katalogów na poziomie systemu plików - na przykład EFS, Reiser4

Czego oczekujemy od systemu szyfrowania dysków:

- Wysokiej wydajności i małego narzutu na szybkość transferu danych - rekordziści osiągają ok. 5% narzutu i praktycznie niezauważalne spowolnienie systemu

- Bezpieczeństwa - wykorzystania powszechnie zaakceptowanych algorytmów kryptograficznych (AES, 3DES), poprawnie zaimplementowanych i z dobrym zarządzaniem kluczami

- Funkcji odzyskiwania danych - tak, by jeden uszkodzony sektor na dysku nie spowodował natychmiastowego i nieodwracalnego przepadku wszystkich pracowicie zaszyfrowanych informacji.

Omówimy dwa najpopularniejsze systemy szyfrowania - EFS, TrueCrypt.

Encrypted Filesystem (EFS) miał swoją premierę w Windows 2000 Professional i jest dostępny we wszystkich instalacjach Windows 2000 oraz XP serii Professional. EFS jest dostępny tylko wtedy, gdy korzystamy z NTFS.
W takim systemie szyfrowanie jest możliwe bardzo łatwo - klikamy na wybranym pliku prawym przyciskiem, wybieramy Properties, przycisk Advanced i zaznaczamy pole Encrypt contents to secure data. Po wciśnięciu OK. plik zostanie zaszyfrowany, co w przypadku dużych plików może zająć chwilę czasu (Windows najpierw tworzy zaszyfrowany plik tymczasowy, a następnie nim zastępuje oryginalny plik).



Windows Explorer wyświetla zaszyfrowane pliki na zielono. Szyfrować możemy pojedyncze pliki lub całe katalogi. Podczas edycji zaszyfrowanego pliku system rozszyfruje go za nas automatycznie i transparentnie zapisze w zaszyfrowanej formie po jego zamknięciu. Wygodne jest również zarządzanie kluczami - każdy plik jest szyfrowany algorytmem symetrycznym (3DES, DESX AES) przy pomocy losowego klucza (FEK - File Encryption Key). Ten klucz z kolei jest szyfrowany za pomocą certyfikatu X.509 generowanego automatycznie przez system podczas pierwszego użycia EFS. Klucz prywatny używany do rozszyfrowania FEK przez właściciela pliku jest z kolei zaszyfrowany skrótem z nazwy i hasła użytkownika (od Windows XP). Oznacza to, że nie jest możliwe rozszyfrowanie plików nawet po uzyskaniu fizycznego dostępu do dysku lub zresetowaniu hasła użytkownika.

Wady EFS to przede wszystkim:

- Brak szyfrowania nazw plików, które same w sobie mogą stanowić informację wrazliwą,
- Stosunkowo niska wydajność szyfrowania

Najpoważniejszym problemem EFS jest fakt, że szyfrowaniu podlega tylko wybrany katalog lub plik - tymczasem wcale nie musi on być jedyną kopią wrażliwej informacji, jaka istnieje w systemie. W rzeczywistości każde otwarcie pliku powoduje utworzenie wielu jego kopii np. do celów odtwarzania w razie awarii (MS Office) w katalogu bieżącym lub w katalogach tymczasowych. EFS nie szyfruje także pliku wymiany, dokąd może trafić zawartość wrażliwego pliku gdy zacznie brakować pamięci oraz pliku, gdzie jest zapisywana pamięć podczas hibernacji.

Zatem zawierzanie EFS naprawdę ważnych tajemnic jest raczej ryzykowne - istnieje duże prawdopodobieństwo, że specjalista w zakresie odzyskiwania danych będzie w stanie znaleźć na dysku niezaszyfrowane kopie lub tymczasowe wersje dokumentu i odczytać tekst bez podejmowania prób łamania klucza. Największą zaletą EFS pozostaje jednak nadal jego dostępność w Windows i łatwość korzystania.

Jak zmienić algorytm szyfrowania w EFS: support.microsoft.com/kb/329741 Jak podejrzeć informacje o zaszyfrowanym pliku: www.microsoft.com/technet/sysinternals/FileAndDisk/efsdump.mspx