Храни как в банке!

Андрей Семенюченко

Спецвыпуск: Хакер, номер #062, стр. 062-090-2

Встроенное шифрование EFS

Система EFS основана на шифровании с открытым ключом и использует все возможности архитектуры CryptoAPI. По умолчанию EFS применяет симметричный алгоритм шифрования DESX. Операционная система Windows XP поддерживает применение более стойкого криптоалгоритма. Если пользователю требуется алгоритм шифрования повышенной стойкости, совместимый со стандартом FIPS 140-1, следует включить алгоритм 3DES.

При шифровании первого файла случайным образом создается пара ключей, которая используется впоследствии для шифрования других файлов. Пару ключей составляют открытый и закрытый ключи. Открытый используется для шифрования файлов, а закрытый — для их расшифровки.

EFS позволяет шифровать данные на жестких дисках на уровне файлов и папок. Несмотря на то, что можно шифровать отдельные файлы, Microsoft рекомендует выделить для хранения файлов специальную папку и шифровать папку полностью. В этом случае все файлы, создаваемые в этой папке или перемещаемые в нее, будут автоматически получать атрибут шифрования. Зашифровать файл или папку довольно просто: выставить соответствующий атрибут в окне «Свойства объекта»> «Другие».

Для простоты можно добавить пункты Encrypt и Decrypt в состав контекстного меню. Для этого в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ необходимо создать параметр EncryptionContextMenu со значением: 1.

Внимание! Будь осторожен при шифровании данных 128-битным ключом. В случае удаления или повреждения дополнительного пакета кодирования будет невозможно расшифровать данные встроенным 40-битным ключом!

Процесс шифрования и дешифрования полностью прозрачен для конечных пользователей. Пользователи, обращающиеся к шифрованным файлам, могут даже не подозревать о том, что используемые данные защищены. Пользователь, защитивший файл/папку, может разрешить другим пользователям системы доступ к шифрованным данным, если выберет в свойствах файла/папки «Дополнительные свойства», а затем «Подробности».

Шифруй из консоли

В состав Windows также входит утилита командной строки для шифрования файлов cipher.exe, которая обладает довольно широкими возможностями. Например, чтобы зашифровать все файлы, в которые входит слово «secure», на диске C: нужно в командной строке выполнить команду:

C:\> cipher /e /s *secure*.

Кстати, не так давно утилита cipher.exe приобрела одну важную функцию Wipe (опция /W), которая затирает (перезаписывает) всю информацию в неиспользуемом дисковом пространстве на указанном томе. Для того чтобы понять, зачем нужна эта возможность, читай прямо сейчас о том, каким образом NTFS выделяет и освобождает дисковое пространство.

Дело в том, что каждый раз, когда создается новый файл на томе NTFS, файловая система выделяет необходимую порцию дискового пространства, измеряемую в кластерах. Если файл со временем превышает количество выделенных кластеров, NTFS выделяет дополнительные кластеры. Когда файл удаляют с диска, NTFS освобождает ненужные кластеры и помечает их как возможные для выделения под новые нужды. Таким образом, когда пользователь удаляет файл, данные файла на самом деле не удаляются! Содержимое файла все еще хранится на диске и может быть использовано атакующим. На самом деле такой подход выделения/освобождения пространства характерен не только для NTFS, большинство современных файловых систем работают подобным образом.