Шифрование файловых систем ОС и генерация ключей (сертификатов)

Адрес

http://shabronov_s2.dyn-dns.ru/temp/nkpsis/tema_mdk03_tc33/lek14/lek14.doc    инд: 2-124-3-14    

 

 

   Encrypting File System (EFS) — система шифрования данных, реализующая шифрование на уровне файлов в операционных

системах Microsoft Windows NT (начиная с Windows 2000 и выше),  за исключением «домашних» версий (Windows XP Home Edition, Windows Vista Basic и Windows Vista Home Premium).

Данная система предоставляет возможность «прозрачного шифрования» данных, хранящихся на разделах с файловой системой NTFS, для защиты потенциально конфиденциальных данных от несанкционированного доступа при физическом доступе к компьютеру и дискам. Аутентификация пользователя и права доступа к ресурсам, имеющие место в NT, работают, когда операционная система загружена,  но при физическом доступе к системе возможно загрузить другую ОС,   чтобы обойти эти ограничения. 

EFS использует симметричное шифрование для защиты файлов, а также шифрование,   основанное на паре открытый/закрытый ключ для защиты случайно сгенерированного ключа   шифрования для каждого файла. По умолчанию закрытый ключ пользователя защищён с помощью шифрования пользовательским паролем, и защищённость данных зависит от стойкости пароля пользователя.

 

  EFS работает, шифруя каждый файл с помощью алгоритма симметричного шифрования, зависящего от версии операционной системы и настроек (начиная с Windows XP, доступна теоретическая возможность использования сторонних библиотек для шифрования данных).

  При этом используется случайно сгенерированный ключ для каждого файла, называемый File Encryption Key (FEK), выбор симметричного шифрования на данном этапе объясняется его скоростью по отношению к асимметричному шифрованию.

 

  FEK (случайный для каждого файла ключ симметричного шифрования) защищается путём асимметричного шифрования, использующего открытый ключ пользователя, шифрующего файл, и алгоритм RSA (теоретически возможно использование других алгоритмов асимметричного шифрования). Зашифрованный таким образом ключ FEK сохраняется в альтернативном потоке $EFS файловой системы NTFS. Для расшифрования данных драйвер шифрованной файловой системы прозрачно для пользователя расшифровывает FEK, используя закрытый ключ пользователя, а затем и необходимый файл с помощью расшифрованного файлового ключа.

 

  Интерфейсы взаимодействия с EFS

 

Для работы с EFS у пользователя есть возможность использовать графический интерфейс проводника или утилиту командной строки.

 

Для того, чтобы зашифровать файл или папку, содержащую файл, пользователь может воспользоваться соответствующим окном диалога свойства файла или папки, установив или сняв флажок «шифровать содержимое для защиты данных», при этом для файлов начиная с Windows XP можно добавить открытые ключи других пользователей, которые тоже будут иметь возможность расшифровать данный файл и работать с его содержимым (при наличии соответствующих разрешений). При шифровании папки шифруются все файлы, находящиеся в ней, а также те, которые будут помещены в неё позднее.

 

 

При работе с проводником Windows возможно (по умолчанию) отображение зашифрованных папок и файлов другим (по умолчанию зелёным) цветом, позволяющим визуально отличить защищённое таким образом содержимое. При копировании зашифрованных файлов на раздел, где шифрование не поддерживается (например с файловой системой FAT32 и т. д.) будет выдано предупреждение о том, что файл будет расшифрован. Ниже на рисунке скан создания шифрованного файла

 

Интерфейс командной строки

Для работы с EFS пользователем имеется также возможность использовать интерфейс командной строки — команда cipher. При выполнении данной команды без параметров будет выведено содержимое текущей папки с меткой U перед файлом если он не зашифрован, и E если зашифрован.

 

Команда зашифрования файла/папки имеет вид:

 

cipher /E <путь к папке>,

Команда расшифрования файла/папки имеет вид:

 

cipher /D <путь к папке>.

 

На рисунке показано выполнение команды cipher /E <путь к папке>

 

 

Программы для генерации ключей(паролей)

При создании платной программы, игры, приложения или в некоторых других ситуациях необходимо использование уникальных серийных ключей. Придумать их самому будет достаточно сложно, а сам процесс займет много времени, поэтому лучше всего прибегнуть к использованию специального софта, созданного для этих целей.

  Примеры и адреса программ для генерации ключей, паролей, сертификатов.

 

Serial Key Generator

KeyGen 1.0

 

Рассмотрим создание зашифрованного файла,  с автоматической распаковкой. Используем оболочку Totalcom

 

Основные этапы создания файла

·        Помещаем файл для упаковки в каталог c:\temp\1\  файл AkelPad.exe

·        Формируем католог(папку) с названием 123

·        Выполняем утилиту упаковки по клавише alt+F5  пароль 12341234 

·        Формируется  зашифрованный с самораспковкой файл  AkelPad.exe 

·        Обратите внимание, что файлы с одинаковым именем и расширением.

·        Распаковка файла возможна только в другой каталог или с другим именем, т.к. имена файлов совпадают.

 

 

Практическое задание (пз-9)  Создание_зашифрованных_файлов_c_самораспаковкой  

 

  1. Включить программу  Totalcmd  Если ее нет то скачать и установить.
  2. Подготовить текстовый файл и записать в него формат титульного листа для задания Пз-9 (пример)
  3. Записать в текстовый файл  свои реквизиты, почту и сайт (если есть). Имя файла указать по своей фамилии_имени, как дано в примере. Расширение файла txt
  4. Создать зашифрованный файл упаковщиком RAR с самораспаковой, расширение файла exe.  Пароль 12341234
  5. Файл отправить на проверку.  

 

Оценка

 

 

Электронные источники:

 

 

Подготовил Шабронов А.А.  тс +7-913-905-8839 shabronov@ngs.ru

Ред.2018-11-16  ред.2021-12-23