EFS

From ICO wiki
Jump to navigationJump to search

Sissejuhatus

EFS on failikrüptimissüsteem, mis on NTFS failisüsteemi lisavõimalus, mis võimaldab kasutajatel krüpteerida oma faile. Tegemist on avaliku võtme krüptograafiaga ehk failide krüpteerimiseks kasutatakse avalikult teada olevat võtit. See tähendab, et sinu võtmega saavad faile krüpteerida ka teised kasutajad, kuid lugeda saad vaid sina ise kastutades oma salajast võtit.

Operation of Encrypting File System

EFS (ehk Encrypted File System)

Seda on väga mugav ja lihtne kasutada – tuleb vaid Windows Exploreris valida faili (või kausta) omadused ning märkida, et rakenda krüpteerimist. Failikrüptimissüsteem on osa NTFS failisüsteemi Windows 2000, Windows XP Professional ja Windows Server 2003. See lubab teil krüptida faile mis on salvestatud teie kohalikku arvutisse või Windows 2000 või 2003 serverile.

Tähtsad põhitõed EFS-ist

  • EFS krüpteerimine ei esine rakenduste tasemel vaid pigem faili süsteemi tasandil, mistõttu krüptimine ja dekodeerimiseks protsess on läbipaistev kasutajale ja rakendusele. Kui kaust on märgistatud krüpteerimiseks, iga fail loodud sinna sisse või teisaldatud sinna kausta krüpteeritakse. Rakendus ei pea aru saama EFS või haldama EFS krüpteeritud faile üldse mitte teistmoodi, kui mitte krüptitud faile. Kui kasutaja proovib avada faili ja tal on olemas õige võti et seda teha nõnda, see fail avaneb ilma mingisuguse pingutuseta kasutaja poolt. Kui kasutaja ei ole seda võtit, nad saavad "Access denied" veateate.
  • Faili krüptimine kasutab sümmeetrilist võtit, mis on siis ise krüptitud avaliku võtme avaliku võtme krüptimise paariga. Seotud isikliku võtmega peab olema kättesaadav selleks, et faili lahti krüptida. See võtmepaar on seotud kasutaja identiteetiga ja tehtud kättesaadavaks kasutajale, kelle valduses on kasutajatunnus ja parool. Kui privaatne võti on katki või kadunud, isegi kasutaja, kes krüpteeris selle faili ei saa seda lahti krüptida. Kui taastamise agent on olemas, siis võib veel seda faili päästa. Kui võti arhiivindus on realiseeritud, siis võtit võib veel taastada ja fail lahti krüpteerida. Kui ei, siis fail võib ära kaduda. EFS on suurepärane failide krüpteerimise süsteem – tagasiteed enam pole “tagauks“.
  • Faili krüpteerimise võtme saab arhiveerida (näiteks eksportida disketile) ja hoida faile turvalises kohas, et kindlustada võtmete taastamine, kui nad peaksid saama kahjustada.
  • EFS võtmed on kaitstud kasutaja parooliga. Iga kasutaja, kes omab kasutajatunnust ja parool saavad sisse logida kui see kasutaja ja krüptida selle kasutaja faile. Seepärast tugeva parooli poliitika samuti ka kasutajate tugev haridus peab olema osa iga organisatsiooni julgeolekuteenistusest, et tagada EFS krüpteeritud failide kaitse.
  • EFS krüpteeritud failid ei jää krüpteeritud vedamise ajal, kui salvestatakse või avatakse kaust kaugserveriga. See fail krüptitakse lahti, läbib võrgustiku tava tekstina ja kui salvestatakse kaust kohalikule kettale, mis on märgistatud krüpteerimiseks, krüpteeritakse kohapeal. EFS krüpteeritud failid võivad jääda krüpteeritud ajal mil nad liiklevad võrgus, kui nad on salvestatud Web kausta kasutades WebDAV-i. See meetod Kõrvaliste hoiustamine ei ole saadaval Windows 2000-el.
  • EFS kasutab FIPS 140-hinnatud Microsoft Cryptographic Service Providers (CSP-osad, mis sisaldavad krüpteerimisalgoritme Microsofti toodetele).

Turvalisus

EFS aitab kaitsta selle eest, et ketta varastamise korral ei ole võimalik ilma õige võtmeta sealt faile kasutada. Seega antud vahendit on soovitatav kasutada neil kelle arvutites on ülitähtis informatsioon, näiteks äriettevõtetel ja sülearvutite omanikel. Nii Windows XP kui ka Windows Vista sisaldavad nn EFS-i, et tema abil krüptida failisid ja kaustasid. EFS abil saab kaitsta oma sensitiivseid faile nii et neile võib ligi saada ainult avaliku võtme infrastruktuuri ((public key infrastructure (PKI)) sertifikaadi abil. Krüptitud sertifikaate hoitakse sinu kasutaja profiilis ja kui saad juurdepääsu oma profiilile ja temas asuvale krüptimisvõtmele, siis saad sa ligi ka oma krüptitud failidele. Kuigi EFS pakub suurepärast võimalust meie andmete kaitsmiseks, ei ole ta siiski nii turvaline. Kui sa kaotad või kui keegi varastab sinu arvuti või kui häkker logib end Interneti kaudu sisse sinu arvutisse, siis saadakse ligi ka sinu andmetele, sest autoriseerimata kasutaja võib saada juurdepääsu Sinu kompuutrisse enne kui arvuti stardib. Ta võib sinu kompuutrisse sisse saada CD plaadil oleva teise operatsioonisüsteemi abil ja muuta arvuti konfiguratsiooni.


Krüpteerimine ja Lahti krüpteerimine

Krüpteerimise ja lahtikrüpteerimise protsess on väga lihtne, aga on oluline et sa otsustaksid mida krüpteerida ja teada erinevusi EFSil mis kaasnevad erinevate operatsioonisüsteemide kasutamisel.

Failide krüpteerimine Windows 2000-el:

Pea meeles, kui kaust on märgistatud krüpteerimiseks, ei ole vaja käsitsi märkida krüpteerimiseks faile mis asuvad juba seal kaustas.

Et luua EFS krüpteerin:

  1. Parem klõps kaustal mida soovid krüpteerida ja siis vajuta Properties.
  2. General-i all vajuta Advanced.
  3. Vajuta et selekteerida Encrypt contents to secure data linnukese kastike siis vajuta OK ja siis veel kord OK.
  4. Klõpsake kas Apply changes to this folder only või Apply changes to this folder, subfolders and files nii kuidas vajalik.

Kehtib: Microsoft Windows 2000 Server ja Microsoft Windows 2000 Professional Edition.

Failide krüpteerimine Windows XP-l:

Sellel operatsiooni süsteemil krüpteerides tuleb ette veateateid ja hoiatusi, mida kasutaja võib saada kui üritab avada faile mis on krüpteeritud kellegi teise poolt. Kaustad ei ole krüpteeritud, kuid kaustas kus märkisid ära, et krüpteeri, ei tähenda seda et kõik failid seal kaustas automaatselt ära krüpteeritakse.

Kuidas krüpteerida faili. Saate krüptida faile ainult mahus, mis on vormindatud NTFS-failisüsteemi.

  1. Klikka nuppule Start, vajuta All Programs, siis vajuta Accessories, ja lõppuks klikka Windows Explorer.
  2. Määra faili asukoht mida sa tahad, siis parem klõps failil ja siis Properties.
  3. General-i all vajuta Advanced.
  4. Compress or Encrypt attributes-i all selekteeri Encrypt contents to secure data linnukese kastike ja siis vajuta OK.
  5. Klikka OK. Kui faili asukoht on määratud kaustas mis pole krüpteeritud, sa saad Encryption Warning dialoogi kasti. Kasuta ühte järgnevatest sammudest:

o Kui sa tahad krüpteerida ainult faili, siis vajuta Encrypt the file only, ja siis vajuta OK. o Kui sa tahad krüpteerida nii faili kui ka kausta kus see asukoht määratud on siis vajuta Encrypt the file and the parent folder, ja siis vajuta OK. Kui teine kasutaja üritab avada krüpteeritud faili, ei ole ta võimeline seda tegema. Näiteks, kui teine kasutaja üritab avada krüpteeritud Microsoft Wordi dokumenti, siis kasutaja saab sarnase kirja mis asub all oleval pildil.


Kui teine kasutaja üritab kopeerida või liigutada krüpteeritud dokumenti teise asukohta kõvakettal, siis järgnev kiri mis ette ilmub oleks selline:

Kaustade krüpteerimine Windows XP-l:

 Saate krüpteerida faile ja kaustu ainult mahud, mis kasutavad NTFS failisüsteemi.
  1. Valjuta Start, klikka All Programs, siis vajuta Accessories, ja lõppuiks Windows Explorer-it
  2. Määra faili asukoht mida sa tahad, siis parem klõps failil ja siis Properties.
  3. General-i all vajuta Advanced.
  4. Compress or Encrypt attributes-i all selekteeri Encrypt contents to secure data linnukese kastike ja siis vajuta OK.
  5. Vajuta OK.
  6. Confirm Attribute Changes dialoogi kastikeses mis ilmub, kasuta ühte alljärgnevatest sammudest::
  • Kui sa tahad krüpteerida ainult kausta, vajuta Apply changes to this folder only, ja siis vajuta OK.
  • Kui sa tahad krüpteerida olemasoleva kausta sisu koos kaustaga siis vajuta Apply changes to this folder, subfolders and files, ja siis vajuta OK.

Kaust muutub krüpteeritud kaustaks. Uus fail mis sa lood sinna kausta automaatselt krüpteeritakse. Peam meeles, et see ei takista teisi vaatamast kausta sisu. See väldib seda, et teised ei saaks avada faile mis on selles krüpteeritud kaustas. Näiteks, kui keegi teine kasutaja üritab avada Microsoft Word dokumenti mis on loodud krüpteeritud kausta, ilmub järgnev tekst:


Kui keegi teine kasutaja üritab kopeerida või muuta dokumendi asukohta sellest krüpteeritud kaustast, siis ilmub järgnev tekst:


Meetod kuidas lahti krüpteerida faile:

  • Faili lahti krüpteerimine:

Ainult alljärgnevad inimesed saavad lahti krüpteerida krüpteeritud faile:

  • Kasutaja kes krüpteeris faili.
  • Iga kasutaja kes oli määratud taaskasutamise agendiks enne faili krüpteerimist.
  • Iga kasutaja kes omab avaliku võtme või isikliku võtme taastamiseks agenti või kasutaja, kes algselt krüpteeris faili.
  • Iga kasutaja kellele on antud juurdepääsu luba.

Administraatori gruppi liige ei saa lahti krüpteerida faile, kui see inimene kes krüpteeris faili määras selle kruppi kui taaskasutamise agendiks enne kui krüpteeris failid. Peate olema originaal kasutaja, kes krüpteeris faili või olema määratud kasutajaks või sulle on antud luba seda kasutada, et sa saaksid järgida edaspidiseid samme. Kui teil ei ole lubatud lahti krüpteerida sa saad sellise kirja:

  • Et lahti krüpteerida faili, tee nii:
  1. Kasuta Windows Explorer et määrata vajaliku faili asukoht mida on soovitud lahti krüpteerida.
  2. Parem klõps krüpteeritud faili ja siis vajuta Properties.
  3. General-i all vajuta Advanced.
  4. Vajuta et tühjendada Encrypt contents to secure data linnukese kastike ja siis vajuta OK ja siis veel ühe korra OK.

Kokkuvõtte

EFS on väga kasulik krüpteerimis süsteem, millega saab väga lihtsalt oma andmeid kaitsta ja salastada. Seda on lihtne kasutada ja seda toetavad enamus operatsiooni süsteeme. Alati tuleb meelde jätta, et sellel esineb ka mitmeid turvariske.


Kasutatud kirjandus

Autor

Kadri Kalme A22