Dobrý den, přátelé! V tomto článku se budeme zabývat systémem šifrování dat EFS a jak se dá použít k výrobě šifrování souborů. Data jsou obvykle šifrována, aby se k nim omezil přístup třetích stran. A speciálně pro tento účel vyvinul Microsoft systém šifrování dat EFS. Počínaje Windows 2000 a všemi novějšími verzemi operačních systémů existuje systém šifrování dat. Na rozdíl od BitLockeru můžete použít EFS k šifrování jednotlivých souborů a složek. Abyste mohli využívat všechny jeho výhody, potřebujete operační systém s úrovní Professional nebo vyšší. EFS je doplněk k systému souborů NTFS. EFS nebude fungovat na jiných souborových systémech. Při kopírování zašifrovaných dat na disk s jiným systémem souborů než NTFS jsou všechny informace automaticky dešifrovány.
Systém šifrování dat EFS šifruje informace transparentně pro uživatele. To znamená, že uživatel řekl - "Zašifrujte složku" a všechny informace v ní budou automaticky šifrovány. Při přístupu k zašifrovaným souborům budou automaticky dešifrovány. To je jedna z výhod EFS oproti vytváření archivu s heslem.
Ne, archiv je samozřejmě pohodlný. Ale ne tak univerzální. Archiv je nutné rozbalit, pracovat se soubory a nezapomenout znovu zabalit. + ke všemu, když smažete soubory, ze kterých jste vytvořili archiv s heslem, fyzicky se nesmažou. A to je díra v obraně.
EFS funguje následovně. Když je třeba soubor zašifrovat, systém vygeneruje náhodný klíč nazvaný FEK − Šifrovací klíč souboru. Soubor je zakódován tímto klíčem pomocí symetrického šifrovacího algoritmu. Symetrický znamená, že soubor je zašifrován a dešifrován jedním klíčem – FEK.
Když poprvé potřebuje zašifrovat informace, Windows vytvoří dva klíče uživatel: otevřené a uzavřené. FEK je zašifrován pomocí asymetrického algoritmu pomocí veřejného klíče uživatele. Asymetrický šifrovací algoritmus znamená, že soubor je zašifrován jedním klíčem (v našem případě otevřeným) a dešifrován jiným (soukromým). Šifrovaný klíč FEK je zapsán vedle zašifrovaného souboru.
Soukromý klíč je zašifrován heslem uživatele. Proto bezpečnost vašich informací přímo závisí na složitosti vašeho hesla. Proto se doporučuje zadat jej z více než 8 znaků, včetně malých a velkých písmen, číslic a speciálních znaků.
Pro dešifrování dat se musíte přihlásit pod uživatelským účtem, který soubory zašifroval. Soukromý klíč je automaticky dešifrován po zadání správného hesla. Pomocí posledně jmenovaného se dešifruje FEK - File Encryption Key, který dešifruje požadovaný soubor.
Šifrování souborů
Soubor můžete zašifrovat následujícím způsobem. Pomocí pravého tlačítka myši na souboru vyvolejte kontextovou nabídku a vyberte Vlastnosti. Na kartě Obecné v části Atributy klikněte na Jiný…
V okně, které se otevře, zaškrtněte políčko. A OK
Klepněte na tlačítko Použít nebo OK v okně vlastností dokumentu. Kde se zobrazí varování o šifrování doporučuje se šifrovat spolu se souborem a složkou, která jej obsahuje. Vyberte doporučenou možnost a klikněte na OK
Ve stejném okně je vysvětleno, proč je nutné šifrovat složku spolu se souborem - protože programy při úpravách vytvářejí dočasné soubory, které nebudou šifrovány. Obvykle jsou smazány dočasné soubory, ale program může selhat nebo může dojít k výpadku napájení počítače a vy jste bez. V tomto případě dočasný soubor zůstane a nebude zašifrován, a to je další bezpečnostní díra. Proto se doporučuje zašifrovat soubor spolu se složkou, která jej obsahuje, nebo zašifrovat celou složku s celým jejím obsahem.
Šifrované soubory jsou obvykle označeny zeleně, pokud je to uvedeno v nastavení.
Můžete to zkontrolovat následovně. V průzkumníku na panelu nástrojů klikněte na usměrnit a vybrat si Možnosti složky a vyhledávání
V okně Možnosti složky přejděte na kartu Pohled a zaškrtněte políčko
Stojí za zmínku, že v operačních systémech Windows je možné soubor buď zašifrovat, nebo jej zkomprimovat, aby se ušetřilo místo. Pochybuji, že v době 3, 4 a 5 terabajtových pevných disků někdo ušetří.
Dešifrovat soubor můžete jej zkopírovat do nezašifrované složky a zrušit zaškrtnutí příslušného políčka v poli Jiné atributy.
Pro usnadnění šifrování a dešifrování souborů můžete povolit odpovídající položku v kontextové nabídce
To se provádí úpravou registru. Zavolejte obslužný program regedit z vyhledávání v nabídce Start
Přejděte do sekce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
a vytvořte parametr
"EncryptionContextMenu"=dword:00000001
Chcete-li vytvořit parametr, klepněte pravým tlačítkem myši na prázdné místo a vyberte Nové > Hodnota DWORD (32bitová)
Funguje mi to i přes to, že Windows 7 jsou 64bitové.
Nyní máte v nabídce odpovídající položky a šifrování bude ještě jednodušší.
Certifikáty
Když je něco zašifrováno poprvé, vytvoří se dva klíče: veřejný klíč a soukromý klíč. Otevřený klíč se používá k zašifrování klíče FEK a uzavřený klíč se dešifruje. Oba tyto klíče (veřejný i soukromý) jsou umístěny v certifikátu. V souladu s tím lze tyto certifikáty exportovat pro dešifrování dat na jiném počítači.
To se provádí následujícím způsobem.
Pokud máte jednodušší vysvětlení, jak funguje systém šifrování souborů EFS, podělte se o něj v komentářích.