Word алгоритм шифрования не установлен. Шифрующая файловая система (EFS). Параметры криптографии и шифрования

СЭД «Корпоративный документооборот» поддерживает использование электронно-цифровых подписей (ЭЦП) при работе с файлами системы. Поддержка ЭЦП производится на уровне встроенных в платформу «1С:Предприятие 8.3 / 8.2» механизмов криптографии и шифрования, а так же с помощью дополнительных объектов метаданных конфигурации.

Для включения возможности использования ЭЦП в системе документооборота откройте форму настройки параметров системы «Настройка параметров: Система» (расположена в подсистеме «Администрирование системы»).

На закладке «Общие параметры» включите флажок «Использовать электронные цифровые подписи», далее нажмите на кнопку «Настройка криптографии».

В открывшемся окне выберите тип провайдера (для провайдера КриптоПро значение должно быть равно 75) и другие параметры. При использовании провайдера КриптоПро (Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider) следующие значения будут подставлены автоматически:

• Алгоритм подписи: GOST R 34.10-2001
• Алгоритм хеширования: GOST R 34.11-94
• Алгоритм шифрования: GOST 28147-89

Если проверка ЭЦП выполняется на сервере и при этом в качестве сервера используется операционная система Linux, то необходимо указать путь к её модулю криптографии.

Пример настройки модуля криптографии для КриптоПро показан на рисунке ниже.

Для работы с электронными цифровыми подписями в системе документооборота необходимо их предварительно получить у провайдера ЭЦП. Для тестирования работы и обучения пользователей можно получить тестовые ЭЦП в тестовом удостоверяющем центре КриптоПро. В следующем разделе показан пошаговый пример получения и установки ЭЦП.

Получение и установка ЭЦП

Для получения и установки ЭЦП необходимо установить программный продукт «КриптоПро CSP 3.6». Продукт можно скачать на сайте cryptopro.ru в разделе «Продукты СКЗИ КриптоПро CSP/TLS/JSP» пункт «Загрузка файлов».

Перед скачиванием дистрибутива и началом формирования ЭЦП необходимо зарегистрироваться на сайте и войти в свою учетную запись.

В соответствии с вашей операционной системой вы можете скачать нужный вам дистрибутив, пример показан на рисунке ниже.

После скачивания запустите установку из дистрибутива, дождитесь окончания установки и перезагрузите компьютер. Теперь можно переходить к формированию ЭЦП для сотрудников.

После входа под своей учетной записью на сайт провайдера Крипто-Про, перейдите в раздел «Поддержка» и выберите «Тестовый центр сертификации» либо воспользуйтесь коммерческим доступом к формированию ЭЦП у данного провайдера.

Формирование ЭЦП на сайте Крипто-Про нужно выполнять в браузере InternetExplorer (желательно версии не ниже 9), при этом необходимо разрешить работу с элементами ActiveX.

Для начала процесса формирования электронно-цифровой подписи выберите пункт «Сформировать ключи и отправить запрос на сертификат».

На новой странице выберите пункт «Создать и выдать запрос к этому ЦС».

Откроется страница ввода данных о сотруднике. Необходимо указать его Ф.И.О., электронную почту и другие данные.

В разделе Type of Certificate Needed укажите «Сертификат проверки подлинности клиента». Также укажите, что вам требуется создать новый набор ключей CSP Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider.

Необходимо пометить ключ как экспортируемый, выбрать в дополнительных параметрах формат запроса PKCS10 и алгоритм хеширования ГОСТ Р 34.11-94. Для начала процесса формирования сертификата ЭЦП нажмите на кнопку «Выдать».

После нажатия на кнопку «Выдать» будет открыт диалог выбора места расположения экспортируемого ключа. Рекомендуется выбрать съемный носитель. В нашем примере мы выберем флеш –накопитель с именем MyDrive.

В процессе формирования ЭЦП необходимо будет работать с биологическим датчиком случайных чисел. Случайные числа получаются посредством движений мыши, нажатия клавиш.

Если вы будете нажимать кнопки мыши, то это тоже приведет к формированию случайных значений, но не стоит увлекаться, так как по окончанию создания пакета случайных чисел вместо показанного окна будет выведено окно, в котором нужно будет создать пароль к электронно-цифровой подписи и можно будет случайно нажать на ненужную кнопку в окне формирования пароля.

После успешного завершения формирования сертификата система предложит его установить в вашу операционную систему. Нажатие на ссылку «Установить этот сертификат» приведет к установке сертификата вашей ЭЦП.

Сертификаты устанавливаются в раздел сертификатов текущего пользователя в каталог «Личное Реестр Сертификаты».

Открыть данный список сертификатов можно через меню «Пуск Программы» пункт «Крипто-Про». На рисунке ниже показан пример для «Windows 7».

После формирования сертификатов можно переходить к их использованию в СЭД «Корпоративный документооборот».

На текущий день в системе реализованы следующие механизмы, связанные с ЭЦП:

• Подписание документов цифровой подписью
• Проверка подписи документов
• Выгрузка документов и подписей в файлы
• Загрузка документов и подписей из файлов
• Шифрование файлов с возможностью открытия указанному списку лиц

Основные действия можно выполнить из карточки файла. На рисунке ниже представлена карточка файла, в нижней части формы на закладке «ЭЦП» можно выполнить подписание документа. Для подписания документа нажмите кнопку «Подписать» и на экран будет выведен список существующих на данном компьютере подписей сотрудников, выберите нужную подпись, введите пароль и нажмите кнопку «Подписать». Файл будет подписан.

В табличной части появляется запись, содержащая ФИО подписавшего сотрудника, дату и время подписания и комментарий.

У подписанного файла может быть одна или несколько подписей, при наличии хотя бы одной подписи кнопки редактирования файла становятся недоступными.

Пользователи в любой момент могут проверить статус подписи нажав на кнопку «Проверить» или «Проверить все». Если подпись сотрудника верна и документ не был изменен, то в таком случае в колонке «Статус» появится запись «Верна».

Файл может быть сохранен из карточки на диск компьютера, для этого выберите в меню «ЭЦП и шифрование» пункт «Сохранить вместе с ЭЦП».

Предположим, что сохраненный файл подвергся изменению, для проверки вы можете добавить один символ в содержание сохраненного файла. Теперь давайте загрузим файл в систему документооборота, также загрузим цифровые подписи, которые были сохранены с ним.

Создадим новый корпоративный документ в СЭД «Корпоративный документооборот» и добавим в него сохраненный файл, добавить файл можно перетягиванием мышкой файла в поле списка файлов документа. Файлы p7s подписей мы загрузим позже.

Теперь откроем карточку загруженного файла и выберем в меню «ЭЦП и шифрование» пункт «Добавить ЭЦП из файла». Выберем с диска сохраненные подписи сотрудников и нажмем кнопку «ОК». Пример загрузки показан на рисунке ниже.

Так как наш файл был нами изменен, то проверка подписей выдает ошибку. В колонке «Статус» появляется запись «Неверна, Хеш-значение неправильное».

Данное сообщение говорит о том, что цифровая подпись сотрудников была скомпрометирована и больше не является достоверной. Если бы мы не изменили наш файл на диске, то проверка ЭЦП выдала бы корректный результат.

СЭД «Корпоративный документооборот» позволяет проводить шифрование файлов с использованием ЭЦП.
Шифрование файлов позволяет ограничить доступ к файлу только теми сотрудниками, которые указаны в списке пользователей, остальные сотрудники не смогут прочесть файл, даже если у них будет к нему физический доступ. Файл хранится в зашифрованном виде согласно ГОСТ 28147-89 .

После шифрования список пользователей, которые могут просмотреть файл, находится на закладке «Зашифрован для» формы карточки файла.

Попытка открытия файла для его просмотра приводит к необходимости ввести пароль от электронно-цифровой подписи.

Для работы с механизмами электронно-цифровых подписей требуется платформа «1С:Предприятие» версии не ниже 8.2.14.

Microsoft Office 2010 содержит параметры, которые позволяют вам управлять данными шифрующимися при использовании Microsoft Access 2010, Microsoft Excel 2010, Microsoft OneNote 2010, Microsoft PowerPoint 2010, Microsoft Project 2010 и Microsoft Word 2010. В этой статье обсуждаются криптографии и шифрования в Office 2010, описывающие параметры возможностей для шифрования данных и предоставляющие информацию о совместимости с предыдущими версиями Microsoft Office.

Как вы планируете ваши параметры шифрования, следует учитывать следующие рекомендации:

• Мы рекомендуем вам не делать изменения в параметрах шифрования по умолчанию, если модель безопасности вашей организации не требует параметров шифрования, которые отличаются от параметров по умолчанию.
• Мы рекомендуем применять длину пароля и сложность позволяющую гарантировать, что надежные пароли используются при шифровании данных.
• Мы рекомендуем вам не использовать RC4 шифрование.
• Там не административный параметр, который позволяет заставить пользователей делать шифрование документов. Однако есть административный параметр, который позволяет удалить возможность добавлять пароли для документов и, таким образом, запретить шифрование документов.
• Сохранение документов в надежных расположениях не влияет на параметры шифрования. Если документ зашифрован и хранится в надежном расположении, пользователь должен предоставить пароль для открытия документа.

В этой статье:

О криптографии и шифровании в Office 2010

Алгоритмы шифрования имеющихся для использования с Office зависит от алгоритмов, которые могут будут доступны через API (интерфейс прикладного программирования) в операционной системе Windows. Office 2010, в дополнение к оказанию поддержки для API криптографии (CryptoAPI), также включает поддержку для СПГ (CryptoAPI: следующего поколения), который был впервые представлен в системе Microsoft Office 2007 с пакетом обновления 2 (SP2).

CNG позволяет более гибкое шифрования, где можно указать алгоритмов, поддерживающий на ведомом компьютере различные шифрования и хеширования для использования в ходе процесса шифрования документа. CNG позволяет также лучше расширяемости шифрования, где может использоваться шифрование сторонних модулей.

Когда Управление использует CryptoAPI, алгоритмы шифрования зависит от тех, кто поставляет CSP (поставщик услуг криптографии), который является частью операционной системы Windows. Следующий ключ реестра содержит список CSP, установленных на компьютере:

HKEY_LOCAL_MACHINE/программное обеспечение/Microsoft/шифрование/по умолчанию/поставщик

Следующие алгоритмы шифрования CNG, или любые другие СПГ шифры расширения установлены в системе, могут использоваться с Office 2010 или системе Office 2007 с пакетом обновления 2:

AES, DES, DESX, 3DES, 3DES_112 и RC2

Следующие алгоритмы хэширования СПГ, или любые другие расширение шифров СПГ, установленных на системе, может использоваться с Office 2010 или система Office 2007 с пакетом обновления 2:

MD2, MD4, MD5, RIPEMD-128, RIPEMD-160, SHA-1, SHA256, SHA384 и SHA512

Хотя есть Office 2010 параметры для изменения выполнения шифрования, при шифровании файлов формата Open XML (.docx, .xslx, .pptx и т.д.) значения по умолчанию - AES (Advanced Encryption Standard), 128-битный ключ длиной, SHA1 и CBC (cipher block сцепления) - обеспечивают надежное шифрование и должно быть хорошо для большинства организаций. Шифрование AES - это сильнейших стандартный алгоритм, который доступен и был выбран Агентством национальной безопасности (АНБ) для использования в качестве стандарта для правительства Соединенных Штатов. AES шифрование поддерживается на Windows XP SP2, Windows Vista, Windows 7, Windows Server 2003 и Windows Server 2008.

Параметры криптографии и шифрования

В следующей таблице перечислены параметры, которые доступны для изменения алгоритмов шифрования при использовании версии Microsoft Office, которая доступна для CryptoAPI. Это включает версию Office вплоть до Office 2010 включительно.

В Office 2010 если необходимо изменить параметр тип шифрования для файлов Office Open XML, защищенных паролем , вам сначала необходимо включить параметр совместимости шифрования укажите и выберите параметр использовать устаревший формат . Параметр укажите шифрования совместимости доступен для доступа К 2010, Excel 2010, PowerPoint 2010 и 2010 слово.

В следующей таблице перечислены параметры, которые доступны для изменения алгоритмов шифрования при использовании Office 2010. Эти параметры применяются для доступа К 2010 году, Excel 2010, OneNote 2010, PowerPoint 2010, проекта 2010 и 2010 слово.

В дополнение к параметрам СПГ, которые были перечислены в предыдущей таблице параметр СПГ, которого указана в следующей таблице можно настроить на Excel 2010, PowerPoint 2010 и 2010 слово.

Можно использовать параметры, перечисленные в следующей таблице, чтобы удалить возможность добавлять пароли для документов и, таким образом, запретить шифрование документов.

Совместимость с предыдущими версиями Office

Если у вас есть для шифрования документов Office, мы рекомендуем сохранять документы как файлы формата Open XML (.docx, .xlsx, .pptx и т.д.) вместо того, чтобы Управление 97–2003 формате (.doc, .xls, .ppt и так далее). Шифрования, который используется для двоичных документов (.doc, .xls, .ppt) использует RC4. Это не рекомендуется, как говорится в разделах 4.3.2 и 4.3.3 из соображений безопасности Office документ криптографии структуры спецификации . Документы, сохраненные в старых бинарных форматах Office могут быть зашифрованы только с использованием RC4 для сохранения совместимости с более ранними версиями Microsoft Office. AES, рекомендуемый алгоритм и по умолчанию используется для шифрования файлов формата Open XML.

Office 2010 и система Office 2007 позволяют сохранять документы в формате Open XML файлы. Кроме того если у вас есть Microsoft Office XP или Office 2003, можно использовать пакет обеспечения совместимости для сохранения документов в виде файлов формата Open XML.

Документы, которые сохраняются в виде файлов формата Open XML и шифруется с помощью Office 2010 могут быть прочитаны только Office 2010, Office 2007 с пакетом обновления 2 и Office 2003 с пакет обеспечения совместимости Office 2007 с пакетом обновления 2. Для обеспечения совместимости с всех предыдущих версий Office, можно создать раздел реестра (если он не существует) под HKCU\Software\Microsoft\Office\14.0\ \Security\Crypto\ под названием CompatMode и отключить его, установив его равным 0 . Значения, которые можно ввести для представляют настройке этот ключ реестра для конкретного приложения Microsoft Office. Например можно ввести Access, Excel, PowerPoint или Word. Важно понимать, что, когда CompatMode равным 0 , Office 2010 использует формат совместимый шифрования Office 2007, вместо усиленной безопасности, который используется по умолчанию при использовании Office 2010 для шифрования файлов формата Open XML. Если вам необходимо настроить этот параметр для обеспечения совместимости, мы рекомендуем что вы также использовать модуль сторонних шифрования, который позволяет для усиления безопасности, такие как шифрование AES.

Если ваша организация использует пакет обеспечения совместимости Microsoft Office для Word, Excel и PowerPoint форматы файлов для шифрования файлов формата Open XML, следует рассмотреть следующую информацию:

• По умолчанию пакет обеспечения совместимости для шифрования файлов формата Open XML использует следующие параметры:
• Расширение Microsoft RSA и AES криптопровайдера (прототип), AES 128,128 (на операционной системе Windows XP Professional).
• Расширение Microsoft RSA и AES поставщик служб шифрования AES 128,128 (в операционных системах Windows Server 2003 и Windows Vista).
• Пользователи не оповещаются о пакете обеспечения совместимости используются эти параметры шифрования.
• Графический интерфейс пользователя в более ранних версиях Office могут отображать параметры неверно шифрования для файлов форматов Open XML, если установлен пакет обеспечения совместимости.
• Пользователи не могут использовать графический интерфейс пользователя в более ранних версиях Office для изменения параметров шифрования для файлов форматов Open XML.

Encrypting file system

Шифрующая файловая система это тесно интегрированная с NTFS служба, располагающаяся в ядре Windows 2000. Ее назначение: защита данных, хранящихся на диске, от несанкционированного доступа путем их шифрования. Появление этой службы не случайно, и ожидалось давно. Дело в том, что существующие на сегодняшний день файловые системы не обеспечивают необходимую защиту данных от несанкционированного доступа.

Внимательный читатель может возразить мне: а как же Windows NT с ее NTFS? Ведь NTFS обеспечивает разграничение доступа и защиту данных от несанкционированного доступа! Да, это правда. Но как быть в том случае, когда доступ к разделу NTFS осуществляется не с помощью средств операционной системы Windows NT, а напрямую, на физическом уровне? Ведь это сравнительно легко реализовать, например, загрузившись с дискеты и запустив специальную программу: например, весьма распространенную ntfsdos. В качестве более изощренного примера можно указать продукт NTFS98. Конечно, можно предусмотреть такую возможность, и задать пароль на запуск системы, однако практика показывает, что такая защита малоэффективна, особенно в том случае, когда за одним компьютером работают сразу несколько пользователей. А если злоумышленник может извлечь жесткий диск из компьютера, то здесь уже не помогут никакие пароли. Подключив диск к другому компьютеру, его содержимое можно будет прочитать с такой же легкостью, что и эту статью. Таким образом, злоумышленник свободно может овладеть конфиденциальной информацией, которая хранится на жестком диске.

Единственный способ защиты от физического чтения данных это шифрование файлов. Простейший случай такого шифрования - архивирование файла с паролем. Однако здесь есть ряд серьезных недостатков. Во-первых, пользователю требуется каждый раз вручную шифровать и дешифровать (то есть, в нашем случае архивировать и разархивировать) данные перед началом и после окончания работы, что уже само по себе уменьшает защищенность данных. Пользователь может забыть зашифровать (заархивировать) файл после окончания работы, или (еще более банально) просто оставить на диске копию файла. Во-вторых, пароли, придуманные пользователем, как правило, легко угадываются. В любом случае, существует достаточное количество утилит, позволяющих распаковывать архивы, защищенные паролем. Как правило, такие утилиты осуществляют подбор пароля путем перебора слов, записанных в словаре.

Система EFS была разработана с целью преодоления этих недостатков. Ниже мы рассмотрим более подробно детали технологии шифрования, взаимодействие EFS с пользователем и способы восстановления данных, познакомимся с теорией и реализацией EFS в Windows 2000, а также рассмотрим пример шифрования каталога при помощи EFS.

Технология шифрования

EFS использует архитектуру Windows CryptoAPI. В ее основе лежит технология шифрования с открытым ключом. Для шифрования каждого файла случайным образом генерируется ключ шифрования файла. При этом для шифрования файла может применяться любой симметричный алгоритм шифрования. В настоящее же время в EFS используется один алгоритм, это DESX, являющийся специальной модификацией широко распространенного стандарта DES.

Ключи шифрования EFS хранятся в резидентном пуле памяти (сама EFS расположена в ядре Windows 2000), что исключает несанкционированный доступ к ним через файл подкачки.

Взаимодействие с пользователем

По умолчанию EFS сконфигурирована таким образом, что пользователь может сразу начать использовать шифрование файлов. Операция шифрования и обратная поддерживаются для файлов и каталогов. В том случае, если шифруется каталог, автоматически шифруются все файлы и подкаталоги этого каталога. Необходимо отметить, что если зашифрованный файл перемещается или переименовывается из зашифрованного каталога в незашифрованный, то он все равно остается зашифрованным. Операции шифрования/дешифрования можно выполнить двумя различными способами - используя Windows Explorer или консольную утилиту Cipher.

Для того чтобы зашифровать каталог из Windows Explorer, пользователю нужно просто выбрать один или несколько каталогов и установить флажок шифрования в окне расширенных свойств каталога. Все создаваемые позже файлы и подкаталоги в этом каталоге будут также зашифрованы. Таким образом, зашифровать файл можно, просто скопировав (или перенеся) его в «зашифрованный» каталог.

Зашифрованные файлы хранятся на диске в зашифрованном виде. При чтении файла данные автоматически расшифровываются, а при записи - автоматически шифруются. Пользователь может работать с зашифрованными файлами так же, как и с обычными файлами, то есть открывать и редактировать в текстовом редакторе Microsoft Word документы, редактировать рисунки в Adobe Photoshop или графическом редакторе Paint, и так далее.

Необходимо отметить, что ни в коем случае нельзя шифровать файлы, которые используются при запуске системы - в это время личный ключ пользователя, при помощи которого производится дешифровка, еще недоступен. Это может привести к невозможности запуска системы! В EFS предусмотрена простая защита от таких ситуаций: файлы с атрибутом «системный» не шифруются. Однако будьте внимательны: это может создать «дыру» в системе безопасности! Проверяйте, не установлен ли атрибут файла «системный» для того, чтобы убедиться, что файл действительно будет зашифрован.

Важно также помнить о том, что зашифрованные файлы не могут быть сжаты средствами Windows 2000 и наоборот. Иными словами, если каталог сжат, его содержимое не может быть зашифровано, а если содержимое каталога зашифровано, то он не может быть сжат.

В том случае, если потребуется дешифровка данных, необходимо просто снять флажки шифрования у выбранных каталогов в Windows Explorer, и файлы и подкаталоги автоматически будут дешифрованы. Следует отметить, что эта операция обычно не требуется, так как EFS обеспечивает «прозрачную» работу с зашифрованными данными для пользователя.

Восстановление данных

EFS обеспечивает встроенную поддержку восстановления данных на тот случай, если потребуется их расшифровать, но, по каким-либо причинам, это не может быть выполнено обычным. По умолчанию, EFS автоматически сгенерирует ключ восстановления, установит сертификат доступа в учетной записи администратора и сохранит его при первом входе в систему. Таким образом, администратор становится так называемым агентом восстановления, и сможет расшифровать любой файл в системе. Разумеется, политику восстановления данных можно изменить, и назначить в качестве агента восстановления специального человека, ответственного за безопасность данных, или даже несколько таких лиц.

Немного теории

EFS осуществляет шифрование данных, используя схему с общим ключом. Данные шифруются быстрым симметричным алгоритмом при помощи ключа шифрования файла FEK (file encryption key). FEK - это случайным образом сгенерированный ключ определенной длины. Длина ключа в североамериканской версии EFS 128 бит, в международной версии EFS используется уменьшенная длина ключа 40 или 56 бит.

FEK шифруется одним или несколькими общими ключами шифрования, в результате чего получается список зашифрованных ключей FEK. Список зашифрованных ключей FEK хранится в специальном атрибуте EFS, который называется DDF (data decryption field - поле дешифрования данных). Информация, при помощи которой производится шифрование данных, жестко связана с этим файлом. Общие ключи выделяются из пар пользовательских ключей сертификата X509 с дополнительной возможностью использования «File encryption». Личные ключи из этих пар используются при дешифровке данных и FEK. Личная часть ключей хранится либо на смарт-картах, либо в другом надежном месте (например, в памяти, безопасность которой обеспечивается при помощи CryptoAPI).

FEK также шифруется при помощи одного или нескольких ключей восстановления (полученных из сертификатов X509, записанных в политике восстановления зашифрованных данных для данного компьютера, с дополнительной возможностью «File recovery»).

Как и в предыдущем случае, общая часть ключа используется для шифрования списка FEK. Список зашифрованных ключей FEK также хранится вместе с файлом в специальной области EFS, которая называется DRF (data recovery field - поле восстановления данных). Для шифрования списка FEK в DRF используется только общая часть каждой пары ключей. Для нормального осуществления файловых операций необходимы только общие ключи восстановления. Агенты восстановления могут хранить свои личные ключи в безопасном месте вне системы (например, на смарт-картах). На рисунке приведены схемы процессов шифрования, дешифрования и восстановления данных.

Процесс шифрования

Незашифрованный файл пользователя шифруется при помощи случайно сгенерированного ключа FEK. Этот ключ записывается вместе с файлом, файл дешифруется при помощи общего ключа пользователя (записанного в DDF), а также при помощи общего ключа агента восстановления (записанного в DRF).

Процесс дешифрования

Сначала используется личный ключ пользователя для дешифрации FEK - для этого используется зашифрованная версия FEK, которая хранится в DDF. Расшифрованный FEK используется для поблочного дешифрования файла. Если в большом файле блоки считываются не последовательно, то дешифруются только считываемые блоки. Файл при этом остается зашифрованным.

Процесс восстановления

Этот процесс аналогичен дешифрованию с той разницей, что для дешифрования FEK используется личный ключ агента восстановления, а зашифрованная версия FEK берется из DRF.

Реализация в Windows 2000

На рисунке показана архитектура EFS:

EFS состоит из следующих компонентов:

Драйвер EFS

Этот компонент расположен логически на вершине NTFS. Он взаимодействует с сервисом EFS, получает ключи шифрования файлов, поля DDF, DRF и другие данные управления ключами. Драйвер передает эту информацию в FSRTL (file system runtime library, библиотека времени выполнения файловой системы) для прозрачного выполнения различных файловых системных операций (например, открытие файла, чтение, запись, добавление данных в конец файла).

Библиотека времени выполнения EFS (FSRTL)

FSRTL - это модуль внутри драйвера EFS, который осуществляет внешние вызовы NTFS для выполнения различных операций файловой системы, таких как чтение, запись, открытие зашифрованных файлов и каталогов, а также операций шифрования, дешифрования, восстановления данных при записи на диск и чтении с диска. Несмотря на то, что драйвер EFS и FSRTL реализованы в виде одного компонента, они никогда не взаимодействуют напрямую. Для обмена сообщениями между собой они используют механизм вызовов NTFS. Это гарантирует участие NTFS во всех файловых операциях. Операции, реализованные с использованием механизмов управления файлами, включают запись данных в файловые атрибуты EFS (DDF и DRF) и передачу вычисленных в EFS ключей FEK в библиотеку FSRTL, так как эти ключи должны устанавливаться в контексте открытия файла. Такой контекст открытия файла позволяет затем осуществлять незаметное шифрование и дешифрование файлов при записи и считывании файлов с диска.

Служба EFS

Служба EFS является частью подсистемы безопасности. Она использует существующий порт связи LPC между LSA (Local security authority, локальные средства защиты) и работающим в kernel-mode монитором безопасности для связи с драйвером EFS. В режиме пользователя служба EFS взаимодействует с программным интерфейсом CryptoAPI, предоставляя ключи шифрования файлов и обеспечивая генерацию DDF и DRF. Кроме этого, служба EFS осуществляет поддержку интерфейса Win32 API.

Win32 API

Обеспечивает интерфейс программирования для шифрования открытых файлов, дешифрования и восстановления закрытых файлов, приема и передачи закрытых файлов без их предварительной расшифровки. Реализован в виде стандартной системной библиотеки advapi32.dll.

Немного практики

Для того чтобы зашифровать файл или каталог, выполните следующие операции:

1. Запустите Windows Explorer, нажмите правую кнопку мыши на каталоге, выберите пункт Properties (Свойства).
2. На закладке General (Общие) нажмите кнопку Advanced.

1. Отметьте галочкой пункт «Encrypt contents to secure data». Нажмите OK, затем нажмите Apply (применить) в диалоге Properties. Если Вы выбрали шифрование отдельного файла, то дополнительно появится диалоговое окно следующего вида:

Система предлагает зашифровать также и каталог, в котором находится выбранный файл, так как в противном случае шифрование будет автоматически отменено при первой модификации такого файла. Всегда имейте это в виду, когда шифруете отдельные файлы!

На этом процесс шифрования данных можно считать законченным.

Чтобы расшифровать каталоги, просто снимите выделение в пункте «Encrypt contents to secure data». При этом каталоги, а также все содержащиеся в них подкаталоги и файлы будут расшифрованы.

Выводы

• Система EFS в Windows 2000 предоставляет пользователям возможность зашифровывать каталоги NTFS, используя устойчивую, основанную на общих ключах криптографическую схему, при этом все файлы в закрытых каталогах будут зашифрованы. Шифрование отдельных файлов поддерживается, но не рекомендуется из-за непредсказуемого поведения приложений.
• Система EFS также поддерживает шифрование удаленных файлов, доступ к которым осуществляется как к совместно используемым ресурсам. Если имеют место пользовательские профили для подключения, используются ключи и сертификаты удаленных профилей. В других случаях генерируются локальные профили и используются локальные ключи.
• Система EFS предоставляет установить политику восстановления данных таким образом, что зашифрованные данные могут быть восстановлены при помощи EFS, если это потребуется.
• Политика восстановления данных встроена в общую политику безопасности Windows 2000. Контроль за соблюдением политики восстановления может быть делегирован уполномоченным на это лицам. Для каждого подразделения организации может быть сконфигурирована своя политика восстановления данных.
• Восстановление данных в EFS - закрытая операция. В процессе восстановления расшифровываются данные, но не ключ пользователя, при помощи которого эти данные были зашифрованы.
• Работа с зашифрованными файлами в EFS не требует от пользователя каких-либо специальных действий по шифрованию и дешифрованию данных. Дешифрование и шифрование происходят незаметно для пользователя в процессе считывания и записи данных на диск.
• Система EFS поддерживает резервное копирование и восстановление зашифрованных файлов без их расшифровки. Программа NtBackup поддерживает резервное копирование зашифрованных файлов.
• Система EFS встроена в операционную систему таким образом, что утечка информации через файлы подкачки невозможна, при этом гарантируется, что все создаваемые копии будут зашифрованы
• Предусмотрены многочисленные меры предосторожности для обеспечения безопасности восстановления данных, а также защита от утечки и потери данных в случае фатальных сбоев системы.

3 ответов

может ли кто-нибудь получить реальные данные или сделать что-то, если известен алгоритм шифрования

Если злоумышленник знает алгоритм шифрования, он запускается, потому что теперь все, что им нужно сделать, это выяснить, какой ключ использовался для его шифрования. Но установленные алгоритмы шифрования, такие как AES, не имеют известных недостатков. Таким образом, злоумышленник будет принудительно использовать его для получения доступа к данным.

Если вы используете ключи соответствующего размера (например, AES 256 бит или более), это будет очень сложной задачей. DES также не имеет известных недостатков, но его малый размер ключа (56 бит) позволяет совершить грубую атаку в разумные сроки (например: дни). Вот почему DES больше не используется.

даже если хакер не знает о закрытых ключах, открытом ключе или PV?

Обратите внимание, что открытые ключи применимы только в контексте асимметричного шифрования. В этом случае открытый ключ обычно является общедоступным (следовательно, имя "открытый ключ"). Но асимметричное шифрование сконструировано так, что даже если вы знаете открытый ключ, вы не можете его расшифровать, если у вас нет закрытого ключа.

Таким образом, алгоритмы шифрования, такие как AES, выдержали испытание временем и оказались достаточно безопасными. Как указывает Дэвид Шварц в своем ответе, если у вас есть проблема, (обычно) ваша реализация виновата, а не алгоритм шифрования.

Почти по определению, если шифрование реализовано правильно и часть разумно разработанной системы, нет . Это весь смысл шифрования.

Обратите внимание, что шифрование не является магии. Он должен использоваться точно, чтобы обеспечить полезную защиту. Есть много способов сделать это неправильно.

Если вы не используете продукт с большим уважением (например, TrueCrypt, Firefox или GPG) и используете его точно в том, как он предназначен для использования, есть очень хороший шанс, что вы не получите реальной безопасности. Например, Dropbox использовал AES, но недостаток безопасности в другой части их системы позволил одному пользователю расшифровать другие пользовательские данные. Так что это не помогло, чтобы оно было зашифровано.

Да, сохранение секретности алгоритма помогает безопасности незначительно. Если злоумышленник знает, что вы использовали DES (который не так ужасно сложно сломать), они могут с большей вероятностью попытаться его сломать.

Я думаю, что суть вашего вопроса - статистические атаки, которые пытаются увидеть через шифрование, чтобы расшифровать характер данных. Любой разумно современный алгоритм математически разработан, чтобы помешать любым попыткам угадать, что такое данные.

Однако Дэвид делает очень хороший момент. Даже идеальное шифрование (если оно существовало) было бы уязвимым для человеческого фактора. Эти алгоритмы бесполезны, если вы не расстаетесь со своим я и не пересекаете свои т, и не имеете абсолютную (и оправданную) веру в тех, кто может расшифровать данные.