Шифрующая файловая система Windows 2000

В систему Windows 2000 всех версий - Professional, Server и Advanced Server - включено новое средство подсистемы защиты - шифрующая файловая система EFS (Encrypted File System). С помощью EFS можно зашифровать любую папку или файл, хранимый на диске файловой системы NTFS (но не FAT). Для шифрования применяется симметричный алгоритм DESX с секретным 56-разрядным ключом. Этот ключ случайно генерируется для каждой шифруемой папки или файла; далее сгенерированный ключ шифруется открытым ключом пользователя Windows 2000 и некоторыми дополнительными открытыми ключами, и присоединяется к шифруемому файлу в виде атрибута DDF (Data Decipher Field - Поле дешифрации данных). При открытии файла атрибут DDF расшифровывается закрытым ключом пользователя Windows 2000, после чего расшифровывается сам файл.

После шифрования доступ к файлу может получить либо сам пользователь, либо так называемый агент восстановления, которым называется пользователь, имеющий право на открытие шифрованных файлов других пользователей. По умолчанию агентом восстановления Windows 2000 Professional назначается локальный администратор системы. Предназначение агента восстановления - решать вопросы восстановления доступа к шифрованным файлам и папкам при различных ситуациях - потере ключа, уходе (увольнения) пользователя-владельца ключа и т.д. Без агента восстановления шифрование EFS не работает. Система Windows 2000 позволяет делегировать права агента восстановления любым другим пользователям, у которых имеются файлы сертификатов (ниже описано, как это делается).

Насколько надежна криптосистема, обеспечиваемая EFS? Алгоритм DESX является разновидностью алгоритма DES (Data Encryption Standard - Стандарт шифрования данных), ранее стандартного, а ныне, с развитием мощности вычислительной техники, ставшего ненадежным алгоритмом шифрования, в 2000 году замененного алгоритмом AES (Advanced Encryption Standard - Расширенный стандарт шифрования). Дело в том, что 56-разрядная длина ключа шифрования совершенно недостаточна для создания надежной криптозащиты, поскольку позволяет взламывать шифр лобовой атакой (конечно, для этого требуются весьма значительные ресурсы). Для усиления защиты пользователи Windows могут воспользоваться модулем поддержки 128-разрядного ключа, заказав у компании Microsoft пакет Enhanced CryptoPAK.

Компания Microsoft рекомендует шифровать папки Мои документы (My Documents) и /Temp для обеспечения надежного хранения своих данных, а также выбирать параметр шифрования вложенных файлов и папок. Последнее призвано защитить не только сами документы, но и создаваемые при работе с ними временные файлы (например, резервные и временные файлы документов MS Office или распакованные файлы инсталлируемых программ и т.д.).

Компания Microsoft рассматривает файловую систему EFS как средство защиты от вторжений, выполняемых в обход операционной системы.

Другое средство защиты, включенное Microsoft в рекомендации по использованию системы EFS, состоит в экспортировании сертификатов пользователей и агентов восстановления на отдельный компьютер или гибкий диск. Для экспорта сертификатов пользователям Windows предоставляется мастер экспортирования, ознакомиться с которым можно по справочной системе Windows или по любому из многочисленных руководств.