Шифрованная файловая система

Шифрованная файловая система (Encrypting File System) — это драйвер файловой системы, обеспечивающий возможность зашифровывать и расшифровывать файлы на лету. Использовать службу очень легко: пользователи устанавливают атрибут шифрования для файла или ката­лога. Служба EFS генерирует сертификат шифрования в фоновом про­цессе и использует его для шифрования заданных файлов. Когда эти файлы запрашиваются драйвером файловой системы NTFS, служба EFS автоматически расшифровывает файл для предоставления его драйверу.

Шифрование файлов выглядит как действительно замечательная воз­можность, но текущая его реализация в Windows 2000 обладает таки­ми дефектами, что EFS в большинстве случаев бесполезна, за исклю­чением, может быть, портативных компьютеров. Основная проблема EFS в том, что она работает только для отдельных пользователей, что делает ее пригодной только для клиентских компь­ютеров. Сертификаты шифрования для файлов создаются на основе личности пользователя, поэтому зашифрованные файлы могут быть использованы только той учетной записью, которая их создавала. Сер­тификаты шифрования не могут быть назначены групповым объектам, поэтому шифрование не может защитить общие файлы, хранимые на сервере. Эта архитектура потребует обмена закрытыми ключами по сети, поэтому для такого обмена должен быть установлен зашифрован­ный канал. EFS не позволит совместное использование зашифрованных файлов, потому что она расшифровывает их перед тем, как предоставить их по запросу. Это также не предусмотрено. Если бы сертификаты ши­фрования принадлежали группе, зашифрованный файл мог бы быть предоставлен по сети клиенту в своем зашифрованном состоянии и клиентский компьютер смог бы воспользоваться своим участием в группе, обладая сертификатом для расшифровки файла. Kerberos может создавать ключи сеанса для шифрования сертификатов, чтобы сохранить их в безопасности во время передачи членам группы. Общие файлы могут быть достаточно безопасными, чтобы использовать их через Интернет без закрытого туннеля.

Более того, потеря сертификата шифрования — ахиллесова пята ши­фрования — не будет такой уж проблемой. До тех пор, пока сертификат все еще существует у какого-либо из членов группы, этот пользователь все еще будет обладать копией сертификата для расшифровки файлов. Так, как она реализована сегодня, EFS всегда создает ключ для агента восстановления (по умолчанию это локальный администратор), неза­висимо от того, хочет пользователь или нет, чтобы агент восстановле­ния мог расшифровать файл.

EFS (так же, как репликация файлов) — еще один пример служ­бы, которая была бы по-настоящему замечательной, если бы Microsoft реализовала се надлежащим образом. В том виде, в каком она существу­ет сейчас, она сделана ровно настолько, чтобы Microsoft могла утверж­дать о наличии у нее шифрования файловой системы.

Помимо того факта, что EFS работает только для отдельных пользо­вателей, она обладает рядом других проблем:

§ сертификаты шифрования по умолчанию хранятся в реестре ло­кального компьютера, где их можно восстановить и использовать для расшифровки файлов на компьютере. Для того чтобы EFS функционировала корректно как безопасная служба шифрования, сертификаты должны быть удалены с локального компьютера на физически безопасный сервер сертификатов или экспортированы на съемный носитель, который не оставляется вместе с компьюте­ром.

Единственный способ обеспечить безопасность локальных сертифика­тов EFS — это использовать аутентификацию при помощи смарт-карты или -воспользоваться SysKey, хэш-значения, используемого для шифрования ло­кальной базы данных учетных записей SAM, которая содержит сер­тификат расшифровки EFS, на гибкий диск или использовать его в качестве пароля во время начальной загрузки — и этот пароль или гибкий диск должны быть доступны для всех, кому требуется за­гружать компьютер;

§ операции перемещения путем перетаскивания мышью в шифро­ванную папку не приведут к автоматическому шифрованию фай­ла, потому что операции перемещения не изменяют атрибутов фай­ла. Операции «вырезать и вставить» изменяют, потому что вы явно удаляете старый файл и создаете новый.

§ зашифрованные файлы будут расшифрованы, если они будут пере­мещены на тома с отличной от NTFS файловой системой, не под­держивающей шифрование.

§ зашифрованные файлы не могут быть сделаны общими путем по­мещения в общую папку. Это ограничение предназначено для со­хранения файлов в зашифрованном виде, общие файлы отправля­ются по сети в простом текстовом формате и кто угодно может их расшифровать, имея в наличии сетевой анализатор.

§ многие программы (большинство программ Microsoft Office) во время редактирования файлов создают временные файлы либо в локальном, либо во временном каталоге. Шифрование для времен­ных файлов следует обычным правилам: если файл создается в пап­ке, у которой установлен флаг шифрования, временный файл будет зашифрован. В ином случае он не будет зашифрован и нарушит секретность шифрования

§ печать образует еще одно направление случайной расшифровки: когда печатается зашифрованный документ, файл расшифровы­вается исходным приложением и отправляется в виде простого тек­ста диспетчеру очереди печати. Если диспетчер печати сконфигу­рирован так, чтобы буферизовать документы (как в большинстве случаев), печатаемые данные будут записываться в файл, который может быть после удаления восстановлен для доступа к вашим зашифрованным данным.

Не рекомендуется использовать EFS кроме как на однопользователь­ских компьютерах, которые нельзя по-другому физически защитить. Ее простота использования является лишь видимостью безопасности, а не настоящей безопасностьюEFS имеет смысл применять для компьютеров, подвер­женных кражам, таких как портативные компьютеры, которые скон­фигурированы с шифрованием каталога буфера печати, временных папок и каталога My Documents (Мои документы).