такий підхід має ряд обмежень. p> В· Ручне шифрування і дешифрування. Служби шифрування більшості продуктів непрозорі для користувачів. Користувачеві доводиться розшифровувати файл перед кожним його використанням, а потім знову зашифровувати. Якщо користувач забуває зашифрувати файл після закінчення роботи з ним, інформація залишається незахищеною. Оскільки щоразу необхідно вказувати, який файл повинен бути зашифрований (і розшифрований), застосування такого методу захисту інформації сильно утруднено. p> В· Витік інформації з тимчасових файлів і файлів підкачки. Практично всі додатки в процесі редагування документів створюють тимчасові файли. Вони залишаються на диску незашифрованими, незважаючи на те, що оригінальний файл зашифрований. Крім того, шифрування інформації на рівні додатків виконується в режимі користувача. Це означає, що ключ, який застосовується для такого типу шифрування, може зберігатися у файлі підкачки. У результаті, за допомогою вивчення даних файлу підкачки можна отримати ключ і розшифрувати всі документи користувача. p> В· Слабка кріптостойкост' ключів. Ключі утворюються від паролів або випадкових фраз. Тому у разі, якщо пароль був легко запам'ятовується, атаки за допомогою словників можуть привести до швидкого злому системи захисту. p> В· Неможливість відновлення даних. Більшість продуктів, що дозволяють шифрувати інформацію, не надають засобів відновлення даних, що для користувачів є додатковим приводом не застосовувати засоби шифрування. Це особливо стосується тих працівників, які не хочуть запам'ятовувати додатковий пароль. З іншого боку, засіб відновлення даних за допомогою пароля - ще один пролом в системі захисту інформації. Все, що необхідно зловмисникові, - це пароль, призначений для запуску механізму відновлення даних, який дозволить отримати доступ до зашифрованих файлів. p> Всі перераховані вище проблеми дозволяє вирішити шифрующая фашювая система (Encrypting File System, EFS), вперше реалізована в Windows 2000 і працююча тільки на NTFS 5.0. У наступних розділах докладно описані технологія шифрування, місце шифрування в операційній системі, взаємодія з користувачами і спосіб відновлення даних. br/>
Архітектура EFS
В
EFS містить наступні компоненти операційної системи (рис. 7). p> В· Драйвер EFS. Драйвер EFS є надбудовою над файловою системою NTFS. Він обмінюється даними зі службою EFS - запитує ключі шифрування, набори DDF (Data Decryption Field) і DRF (Data Recovery Field), - а також з іншими службами управління ключами. Отриману інформацію драйвер EFS передає Бібліотеці реального часу файлової системи EFS (File System Run-Time Library, FSRTL), яка прозоро для операційної системи виконує різні операції, характерні для файлової системи (читання, запис, відкриття файлу, приєднання інформації). p> В· Бібліотека реального часу файлової системи EFS. FSRTL - це модуль, що знаходиться всередині драйвера EFS, який реалізує виклики NTFS, що виконують такі операції, як читання, запис і відкриття зашифрованих файлів і каталогів, а також операції, пов'язані з шифруванням, дешифрованием і відновлення файлів, при їх читанні або запису на диск. Хоча драйвери EFS і FSRTL реалізовані у вигляді одного компонента, вони ніколи не обмінюються даними безпосередньо. Для передачі повідомлень один одному вони використовують механізм викликів (callouts) NTFS, призначений для управління файлами. Це гарантує, що вся робота з файлами відбувається при безпосередньої участі NTFS. За допомогою механізму управління файлами операції запису значень атрибутів EFS (DDF і DRF) реалізовані як звичайна модифікація атрибутів файлу. Крім того, передача ключа шифрування файлу РЕК (див. нижче), отриманого службою EFS, в FSRTL виконується так, щоб він міг бути встановлений в контексті відкритого файлу. Потім контекст файлу використовується для автоматичного виконання операцій шифрування і дешифрування при записі і читанні інформації файлу.
В
Малюнок 7. Архітектура EFS
В· Служба EFS. Служба EFS (EFS Service) є частиною системи безпеки операційної системи. Для обміну даними з драйвером EFS вона використовує порт зв'язку LPC, існуючий між Локальним адміністратором безпеки (Local Security Authority, LSA) і монітором безпеки, працюючим в привілейованому режимі. У режимі користувача для створення ключів шифрування файлів і генерування даних для DDF і DRF служба EFS використовує CryptoAPI. Вона також підтримує набір API для Win32. p> В· Набір API для Win32. Цей набір інтерфейсів прикладного програмування дозволяє виконувати шифрування файлів, дешифрування і відновлення зашифрованих файлів, а також їх імпорт і експорт (без попереднього дешифрування). Ці API підтримуються стандартним системним модулем DLL - advapi32.dll. <В
Технології шифрування EFS
Даний розділ допоможе вам зрозуміти, як шифрується інформація і чому перед використанням EFS обов'язково експортувати сертифікати (разом з особистими кл...
