пользователя имеющего все права для доступа к зашифрованному файлу работа с ним абсолютно прозрачна, и ничем не отличается от работы с любым другим файлом, расшифровка и шифрование производятся на лету. Если содержимое зашифрованного файла попытается прочитать пользователь, не имеющий на это право, ему будет отказано в доступе. Однако, пользователь будет иметь такой доступ к файлу, какой ему предоставит файловая система, поэтому, если не выставить соответствующие разрешения на доступ средствами NTFS, то у пользователя будет возможность манипулировать файлом. То есть, он не сможет прочитать его содержимое, но сможет его переименовать, переместить, или просто стереть.
Существуют несколько правил при работе с зашифрованными файлами:
· Файлы могут храниться только на NTFS разделах.
· Файл может быть либо зашифрован, либо сжат средствами файловой системы, но не то и другое одновременно.
· Любой файл, попавший в зашифрованную папку, автоматически шифруется, и таким остаётся, даже после того как покинет эту папку.
· Атрибут шифрования имеет больший приоритет, чем атрибут сжатия. Копируя зашифрованный файл с NTFS раздела куда-либо ещё, файл расшифровывается. Если пользователь не может расшифровать файл, то он не сможет и скопировать его на не-NTFS раздел, даже если у него есть полные права доступа к файлу, и он может делать с ним что угодно на NTFS разделе.
Принцип работы EFS:
Для шифрования EFS использует личный и публичный ключи пользователя, которые генерируются, когда пользователь пользуется функцией шифрования впервые, и остаются неизменными всё время, пока существует учетная запись пользователя. Причём на эти ключи не влияет ничего, ключи останутся неизменными так долго, как долго пользователь будет иметь тот же "security identifier" (SID). При удалении учетной записи удаляются и ключи.
При шифровании файла EFS генерирует случайный номер, длиной 128 бит, для каждого файла разный, который называется "File Encryption Key" (FEK). Этот номер используется для шифрования файла с использованием одного из вариантов Data Encryption Standard (DES) алгоритма – DESX . После того как файл зашифрован, FEK сохраняется вместе с файлом, но тоже шифруется, уже по алгоритму RSA, основанном на использовании публичного и известного всем (для шифрования) и личного, не известного никому (для расшифровки) ключей пользователя. Таким образом, для того, чтобы расшифровать содержимое файла требуется знать FEK, но для того, чтобы расшифровать FEK, требуется знать личный ключ пользователя зашифровавшего файл.
EFS сохраняет вместе с файлом дополнительный блок информации. Первым записывается версия файла, которая имеет абсолютно стандартный вид, и содержит в себе имя файла, дату создания и последнего изменения, информацию о владельце, и тому подобные вещи. Потом идёт контрольная сумма файла. После этого сообщается о количестве Data Decryption Field (DDF) в файле. Именно это и позволяет использовать файл нескольким пользователям. Каждый из пользователей, который имеет право расшифровывать и читать содержимое файла обязан иметь свой DDF. Эти поля равнозначны, и содержат одинаковую информацию. Это SID пользователя, так называемый container name, которое позволяет найти нужный для расшифровки ключ, имя криптографической службы и EFS certificate hash, где находится открытый ключ пользователя. Кроме этого, DDF содержит 128 битный FEK, зашифрованный с открытым ключом пользователя.
После всех DDF записей, следует раздел о количестве Data Recovery Field (DRF), на чём основана система, позволяющая восстанавливать файлы, в случае если ни один из ключей пользователей прописанных в DDF не доступен. Это может случиться, как в случае, когда учётная запись пользователя случайно или намеренно удалена, так и в случае, если ключ физически утерян (находясь, к примеру, на внешнем носителе). DRF имеет тот же самый формат, что и DDF. Принципиальная разница между ними в том, что DDF автоматически добавляется только один, а DRF столько, сколько Encrypted Data Recovery Agent прописано в системе.
Существенная опасность при шифровании данных кроется в его издержках – возможности потери данных, в случае, если потеряны ключи для расшифровки данных.
Здесь речь заходит о восстановлении зашифрованных файлов. Для того, чтобы существовала такая возможность, необходимо заранее в системе завести Агента(ов) восстановления данных (Data Recovery Agent, DRA) - пользователя, который имеет доступ ко всем зашифрованным данным других пользователей. Для создания агента нужно сначала создать сертификат восстановления
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.
