PC Press
O nama
O nama
Pretplata
O nama
Postanite saradnik PC-ja
Kontakt sa redakcijom
PC Press
Novi broj
Novi broj   
Pretrazivanje
Arhiva
Arhiva   
PC Online
PC Plus   
Specijalna izdanja
Softver Softver
PC #64 : Februar 2001 TehnoGuru

 Naslovna  Sadržaj 
Predrag Mitrović  

Interna kriptografija

Encryption File System Microsoft Windows-a 2000 obezbeđuje zaštitu podataka i tako sprečava radoznalce da zavire u vaše poverljive dokumente...

Na vašem disku se možda nalaze poverljivi podaci o poslovnim planovima preduzeća, baza klijenata, cenovnik usluga... Kao savremeni poslovni čovek radite i kod kuće, koristeći notebook; zamislite situaciju da vam neko ukrade računar. Skupo je kupiti novi kompjuter, ali šteta je još veća u slučaju da konkurenti dođu do vaših podataka. To ne mora da se desi ukoliko koristite Windows 2000 – EFS (Encryption File System) obezbeđuje zaštitu podataka.

Sertifikat ključa
(kliknite za veću sliku)

EFS se zasniva na Public Key Infrastructure (PKI) tehnologiji i koristi CryptoAPI arhitekturu Windows-a. Svaki fajl dobija nasumično generisani ključ nezavisan od korisnikovog javnog i privatnog ključa. U prvoj verziji koristi se simetrični algoritam kriptografije nazvan DESX (Digital Encryption Standard X). Upotrebom EFS mogu da se osiguraju i dokumenti na izabranim serverima, mada prenos podataka preko mreže nije kriptovan; za to vam je potreban jedan od SSL (Secure Socket Layer) protokola ili IPSEC (Secure IP), koji su standard u Windows-u 2000.

Kako radi EFS

Primena EFS-a je jednostavna, ali preporučujemo da počnete od nivoa direktorijuma – kada dodelite EFS na jednom nivou, omogućeno vam je da to uradite na svim donjim nivoima. Svaki fajl će dobiti sopstveni ključ i taj način možete menjati ime dokumenta nezavisno od ostalih u direktorijumu. Međutim, ako pomerite ili kopirate fajl u drugi folder istog diska, fajl ostaje šifrovan. Pre korišćenja, šifrovani dokument mora da bude dekodiran, što se događa u pozadini. EFS traži korisnikov sertifikat sa povezanim privatnim ključem; on se obično nalazi na lokalnom disku, ali ako koristite smart kartice u kombinaciji sa CryptoAPI, moguće je čuvati ključeve na čipu kartice.

Najbolje je izabrati sve podfoldere
(kliknite za veću sliku)

Pre nego što počnete da upotrebljavate EFS, proverite da li kao File System koristite NTFS; ako to nije slučaj, moraćete da konvertujete particiju komandom convert c: /fs:ntfs. Kriptografsku zaštitu možete startovati komandom ili preko Windows Explorer-a. Komandom cipher /e MyDocuments kriptujete sve dokumente u folderu MyDocuments, cipher /e /s MyDocuments kriptujete sadržaje poddirektorijuma, dok sa cipher /e /s ×.doc kriptujete fajlove sa ekstenzijom DOC. Ako želite da koristite Windows Explorer, markirajte direktorijum, pritisnite desni taster miša i izaberite Properties / Advanced / Encrypt contents to secure data. Uz kontrolno pitanje, dobićete mogućnost da šifrujete sadržaje poddirektorijuma.

Ako niste sigurni kako da koristite EFS, Microsoft daje nekoliko preporuka: zaštitite %UserProfile%My Documents i direktorijum %TEMP% u kome su privremene verzije fajlova koje obrađujete. Savetuje se takođe da šifrujete kompletne direktorijume, a ne pojedinačne fajlove.

Ako ključ nestane...

Laka konfiguracija EFS-a iz Windows Explorer-a
(kliknite za veću sliku)

Kako doći do podataka ako se „izgubi“ ključ? Kada kriptujete podatke, automatski se generiše sertifikat sa privatnim ključem (vidite primer u ilustraciji) i formira tzv. Recovery Key. U slučaju da ključ strada, možete stvoriti jedan policy koji omogućuje dekriptovanje podataka. Standard u EFS-u je da lokalni administrator dobije jedan sertifikat i Recovery Key i tako može da povrati podatke.

Ukoliko imate mreže sa jednim kontrolerom domena, na tom serveru možete kreirati jedan GPO (Group Policy Objects). Tada u slučaju gubitka ključa uvek možete povratiti kriptovane podatke uz pomoć domen administratora. Mi smo EFS funkciju koristili lokalno na računaru Compaq Armada M700, sa instaliranim Windows 2000 Professional Build 2195. Tokom naših testova, EFS funkcije su radile ispravno bez ikakvih problema.

Ako želite da zaštitite informacije sa hard diska, EFS je važna funkcija, ali ona ne nudi potpunu zaštitu – ako neko ukrade administratorsku lozinku, doći će i do šifrovanih fajlova. Isprobajte, dakle, EFS, ali istovremeno proverite da li je administratorska lozinka netrivijalna i dobro čuvana.