Szyfrowanie na śniadanie

Szyfrowanie plików w Windows XP zostało uproszczone niemal "do bólu". Jeśli chcesz zaszyfrować dane, wystarczy zaznaczyć właściwy atrybut systemu plików i gotowe. Na mniej doświadczonych użytkowników ułatwienia te działają jak lep na muchy, bo wystarczy prosty reset hasła, a twoje pliki pozostaną na zawsze niedostępne. Musisz wiedzieć, jak postępować, żeby do tego nie dopuścić.

Z szyfrowaniem spotykasz się codziennie. Każda umowa licencyjna oprogramowania przypomina szyfr, do którego klucz znany jest tylko niektórym prawnikom. Patrząc na ekran telewizora, widzisz polityków skutecznie szyfrujących sens swoich wypowiedzi. Windows XP również umie szyfrować. Wbudowane mechanizmy systemu mają jednak tę istotną przewagę, że możesz je łatwo zrozumieć!

Gwałtowny wzrost sprzedaży laptopów oraz częste wykorzystywanie jednego komputera przez wiele osób świadczą o potrzebie umieszczenia funkcji szyfrowania plików w systemie operacyjnym. Szczelna ochrona prywatnych danych jest niemal konieczna. Windows oferuje sporo zabezpieczeń, takich jak firewall, hasła lub uprawnienia systemu plików NTFS. Jeśli jednak osoba nieuprawniona uzyska fizyczny dostęp do komputera, np. w wyniku kradzieży, te podstawowe zabezpieczenia łatwo obejdzie. Wystarczy, że posłuży się jednym z wielu ogólnodostępnych programów narzędziowych lub zainstaluje na dysku kolejną kopię Windows, a wszystkie pliki ma podane jak na dłoni. Dopiero połączenie NTFS z systemem szyfrowania plików (EFS - Encrypted File System) gwarantuje prawidłową ochronę danych.

Jak szyfrować pliki?

Ostrzeżenie o szyfrowaniu.Pliki mogą zostać zaszyfrowane w Eksploratorze Windows lub za pomocą narzędzia wiersza poleceń CIPHER. Łatwiej korzystać z Eksploratora i zaznaczyć jeden z zaawansowanych atrybutów folderu lub pliku. Po utworzeniu katalogu, np. TopSecret, należy przejść do jego właściwości. W tym celu możesz posłużyć się menu podręcznym lub poleceniem Właściwości z menu Plik. Następnie musisz kliknąć przycisk Zaawansowane na karcie Ogólne. W nowym oknie dialogowym zaznacz Szyfruj zawartość, aby zabezpieczyć dane i dwukrotnie naciśnij OK.

Zalecane jest założenie oddzielnego folderu na zaszyfrowane dane. Może to być podkatalog w folderze Moje dokumenty lub na dowolnie wybranym woluminie NTFS. Szyfrowanie całego katalogu ułatwia zabezpieczenie plików. Każdy nowy dokument w folderze będzie automatycznie szyfrowany. Dzięki temu unikniesz problemów z tworzeniem nowych niezaszyfrowanych plików za pomocą umieszczanego w aplikacjach polecenia Zapisz jako. Podczas szyfrowania folderu z plikami lub podkatalogami Windows wyświetla okno dialogowe z pytaniem o zakres szyfrowanych danych. Możesz wybrać opcję Zastosuj zmiany tylko do tego folderu lub Zastosuj zmiany do tego folderu, podfolderów i plików. Jeśli zdecydujesz się objąć ochroną wyłącznie folder, wszystkie pliki znajdujące się w folderze i podfolderach pozostaną nienaruszone. Zaszyfrowany zostanie każdy nowy dokument.

Zaawansowane atrybuty systemu plików NTFS.Możesz szyfrować pliki pojedynczo. Ustawienie atrybutu przebiega dokładnie tak samo, jak w przypadku folderów. Po wyświetleniu właściwości pliku wybierasz przycisk Zaawansowane i zaznaczasz odpowiedni atrybut. W czasie zamykania okna właściwości dokumentu, Windows ostrzega o możliwości nieświadomego rozszyfrowania pliku. Zgodnie z zaleceniami możesz wybrać szyfrowanie pliku i folderu nadrzędnego albo tylko pliku. Jeśli chcesz zapobiec wyświetlaniu podobnych ostrzeżeń podczas kolejnego szyfrowania dokumentów, zaznacz opcję Zawsze szyfruj tylko plik.

Rozszyfrowanie plików

Jedną z większych zalet szyfrowania EFS jest jego ścisła integracja z systemem operacyjnym. Dzięki temu nie musisz ręcznie rozszyfrowywać dokumentów podczas otwierania. Jeśli zaszyfrujesz dokument utworzony w Wordzie lub Excelu, po wybraniu polecenia Otwórz plik zostanie automatycznie rozszyfrowany i wyświetlony. Naturalnie osoby nieuprawnione nie będą mogły poznać zawartości dokumentu. Podczas zamykania dokumentu jest on powtórnie szyfrowany.

Ręczne rozszyfrowanie pliku lub folderu polega na odznaczeniu atrybutu Szyfruj zawartość, aby zabezpieczyć dane. Podobnie jak podczas nadawania atrybutu, w czasie rozszyfrowywania zawartości katalogu, możesz zastosować zmiany wyłącznie do folderu lub jego wszystkich obiektów. Pamiętaj, że domyślnie do rozszyfrowania plików są uprawnieni jedynie ci, którzy je zaszyfrowali. Nawet status administratora systemu nie daje dostępu do danych. Jeśli masz wystarczające uprawnienia NTFS (np. modyfikacja), możesz jedynie usunąć zaszyfrowane pliki.

NTFS systemu Windows XP nie pozwala na jednoczesne kompresowanie i szyfrowanie plików. Na szczęście atrybut szyfrowania jest ważniejszy. Jeśli będziesz chciał skompresować folder, w którym znajdują się zaszyfrowane pliki, nie zostaną one automatycznie rozszyfrowane.

Jak działa EFS?

Moduł Certyfikaty.System szyfrowania plików opiera się na zawartych w Windows XP komponentach technologii PKI (Public Key Infrastructure). Technologia ta między innymi zapewnia bezpieczną komunikację sieciową, ochronę informacji przesyłanych przez Internet lub zabezpiecza wiadomości elektroniczne. Zrozumienie mechanizmów działania EFS nie jest trudne, wystarczy poznać podstawowe pojęcia związane z infrastrukturą klucza publicznego.

Na początku artykułu powiedzieliśmy, jak szyfrować i rozszyfrowywać pliki. Zaszyfrowanie polega na przekształceniu danych w taki sposób, że nawet po uzyskaniu bezpośredniego dostępu do pliku jego treść pozostaje nieczytelna. Utajnienie zawartości plików następuje wskutek połączonego działania algorytmów szyfrowania symetrycznego oraz niesymetrycznego. Dane są kodowane za pomocą algorytmów szyfrowania symetrycznego, np. DESX, AES 256 lub 3DES. Do zaszyfrowania i rozszyfrowania danych niezbędny jest wygenerowany przez Windows klucz szyfrowania. Każdy zaszyfrowany plik ma własny klucz, przechowywany w odpowiednim polu nagłówka. Utrata lub brak dostępu do klucza sprawia, że nie można poznać zawartości pliku. Jeśli klucz trafi w ręce osób niepowołanych, poufność danych staje pod znakiem zapytania. Dlatego ochrona klucza jest podstawowym wymogiem skutecznego działania systemu EFS. Do zaszyfrowania poufnych pól nagłówków plików Windows wykorzystuje algorytmy szyfrowania niesymetrycznego, np. RSA. Posługują się one powiązaną ze sobą parą kluczy - publicznym i prywatnym. W przeciwieństwie do algorytmów symetrycznych dane nie są szyfrowane i deszyfrowane tym samym kluczem. Do zaszyfrowania jest stosowany klucz publiczny, a do rozszyfrowania prywatny.

W nagłówkach plików systemu NTFS znajdują się pola związane z EFS. Każdy z plików ma dwa rodzaje pól: DDF (Data Decryption Fields) i DRF (Data Recovery Fields). DDF gromadzi klucze szyfrowania, tzw. FEK (File Encypion Key), zaszyfrowane kluczem publicznym użytkownika. Pole to może zawierać wiele wpisów. Dzięki temu system operacyjny umożliwia współdzielenie zaszyfrowanych plików kilku użytkownikom. Konfiguracja współdzielenia plików jest omówiona w dalszej części artykułu. Jeśli chcesz otworzyć plik, system odczytuje zawartość pola DDF i sięga do chronionego magazynu certyfikatów w celu pobrania twojego klucza prywatnego, którym rozszywrowuje klucz FEK. Po uzyskaniu klucza FEK można rozszyfrować cały plik lub tę jego część, której żądanie zostało przesłane przez system operacyjny. Pola DRF służą do przechowywania klucza FEK, zaszyfrowanego przez publiczne klucze agentów odzyskiwania. Jeśli utracisz certyfikaty użytkowników szyfrujących pliki, dane przechowywane w DRF zabezpieczą cię przed utratą dostępu do zasobów.

Na pierwszy rzut oka mechanizm szyfrowania wydaje się niepotrzebnie skomplikowany. Szyfrowanie i rozszyfrowanie pliku jednym kluczem, a następnie szyfrowanie klucza kolejnym kluczem może utrudniać zrozumienie działania EFS. Jednakże stosowanie takiego mechanizmu ma wiele zalet. Po pierwsze, każdy plik może mieć własny klucz szyfrowania. Zastosowanie algorytmów szyfrowania asymetrycznego powoduje, że klucz ten jest odpowiednio zabezpieczony. Użytkownik szyfrujący dane nie musi przechowywać dziesiątków lub setek kluczy. Podział na pola DDF i DRF wprowadza dodatkowy poziom bezpieczeństwa danych.