ючами) користувачів і агентів відновлення даних. Дуже часто нерозуміння цих моментів призводить до того, що зашифровані дані безповоротно губляться з вини користувачів. EFS заснована на шифруванні з відкритим ключем і використовує всі можливості архітектури CryptoAPI. Кожен файл шифрується за допомогою випадково згенерованого ключа, залежного від пари відкритого (public) і особистого, закритого (private), ключів користувача. Подібний підхід значною ступеня ускладнює здійснення великого набору атак, заснованих на криптоанализе. При криптозахисті файлів може бути застосований будь ачгорітм симетричного шифрування. EFS дозволяє здійснювати шифрування і дешифрування файлів, що знаходяться на віддалених файлових серверах.
Примітка
У даному випадку EFS може працювати тільки з файлами, що знаходяться на диску. Шифрующая файлову систему не здійснює криптозахист даних, переданих по мережі. Для шифрування переданої інформації слід застосовувати спеціальні мережеві протоколи, наприклад SSL/PCT. p> У EFS для шифрування і дешифрування інформації використовуються відкриті ключі. Дані зашифровуються за допомогою симетричного алгоритму із застосуванням Ключа шифрування Фаша (File Encryption Key, FEK). FEK - це згенерований випадковим чином ключ, що має певну довжину.
У свою чергу, FEK шифрується за допомогою одного або декількох відкритих ключів, призначених для кріптозашіти ключа. У цьому випадку створюється список зашифрованих ключів FEK, що дозволяє організувати доступ до файлу з боку декількох користувачів. Для шифрування набору FEK використовується відкрита частина пари ключів кожного користувача. Список зашифрованих ключів FEK зберігається разом з зашифрованим файлом у спеціальному атрибуті EFS, званому Полем дешифрування даних (Data Decryption Field, DDF). Інформація, необхідна для дешифрування, прив'язується до самого файлу. Секретна частина ключа користувача використовується при дешифрування FEK. Вона зберігається в безпечному місці, наприклад на смарт-карті або іншому пристрої, що володіє високим ступенем захищеності. FEK застосовується для створення ключів відновлення. Для цього FEK шифрується за допомогою одного або декількох відкритих мючей відновлення. Список FEK, зашифрованих для цілей відновлення, зберігається разом з зашифрованим файлом у спеціальному атрибуті EFS, званому Полем відновлення даних (Data Recovery Field, DRF). Завдяки існуванню набору зашифрованих ключів FEK агенти відновлення даних можуть дешифрувати файл. Для шифрування ключа FEK в полі DRF необхідна тільки загальна частина пари ключів відновлення, її присутність у системі необхідно в будь-який момент часу для нормального функціонування файлової системи. Сама процедура відновлення виконується досить рідко, коли користувач звільняється з організації або забуває секретну частину ключа. Тому агенти відновлення можуть зберігати секретну частину ключів відновлення в безпечному місці, наприклад на смарт-картах або інших добре захищених пристроях. h2> Система EFS і Windows Server 2003
EPS тісно взаємодіє з NTFS 5.0. Тимчасові файли, створювані додатками, успадковують атрибути оригінальних файлів (якщо файли знаходяться у розділі NTFS). Разом з файлом шифруються також і його тимчасові копії. EFS знаходиться в ядрі Windows Server 2003 і використовує для зберігання ключів спеціальний пул, що не вивантажуваний на жорсткий диск. Тому ключі ніколи не потрапляють в файл підкачки. p> У Windows Server 2003 файлова система EFS має деякі нові можливості:
В· із зашифрованими файлами можуть працювати кілька користувачів. Користувач, зашифрував файл, може дозволити іншим локальним і доменним користувачам (на комп'ютерах під управлінням Windows 2000 і Windows XP) працювати з цим файлом;
В· можна шифрувати автономні папки та файли (offline folders);
В· агент відновлення (recovery agent) за замовчуванням не використовується;
В· стандартний алгоритм шифрування - Advanced Encryption Standard, AES (Rijndael) (256 біт). Алгоритм DESX, використовуваний за замовчуванням системою EFS в Windows 2000 і Windows XP Professional, не може застосовуватися для шифрування файлів в Windows Server 2003;
В· замість AES може використовуватися алгоритм шифрування 3DES (128 або 168 біт), для цього потрібно змінити політику безпеки;
В· зашифровані файли можуть розташовуватися у веб-папках;
В· сертифікати EFS можуть автоматично доставлятися користувачеві службами сертифікатів (Certificate Services) і механізмом автопідпису сертифікатів;
В· особисті ключі можуть зберігатися і відновлюватися за допомогою засобів архівації, наявних в службах сертифікатів;
В· вся службова інформація, що зберігається на диску, не просто видаляється, а очищається (заповнюється порожніми байтами); це збільшує захищеність шифрованих даних. p> Увага
Потрібно пам'ятати про те, що операції стиснення даних (засобами файлової системи NTFS)...
