Encrypting File System: Porovnání verzí

Encrypting File System (EFS) je šifrovaný souborový systém v Microsoft Windows 2000 a novějších. Vznikl jako nadstavba NTFS, aby chránil před neoprávněným přístupem k datům ze strany útočníků, kteří mají fyzický přístup k počítači. Každý uživatel má veřejný a privátní klíč, které jsou zašifrovány přihlašovacím heslem.

Šifrování a dešifrování

Veřejný a privátní klíč jsou vytvořeny při prvním ukládaní šifrovaného souboru. V tento okamžik lze stanovit agenta obnovení (kterým je většinou administrátor), který vlastní zotavovací klíč (recovery key), kterým je možné data zašifrovaná běžným uživatelem dešifovat.

EFS šifruje soubory použitím hromadné symetrické šifry (také známou pod zkratkou FEK - File Encryption Key), protože zašifrování a dešifrování velkého objemu dat trvá kratší dobu, než použitím asymetrické šifry.

Bezpečnost

Ve Windows 2000 existují dvě bezpečnostní chyby:

Dešifrování souborů s účtem administrátora.

Ve Windows 2000 je administrátor výchozí obnovovací agent, který může veškerá data zašifrovaná v EFS dešifrovat. Windows 2000 nedokáží fungovat bez obnovovacího agenta, takže vždy bude existovat někdo, kdo bude moci zašifrovaná data uživatele dešifrovat. Windows XP obnovovacího agenta nevyžadují, takže přístup k datům může mít jen uživatel.

Resetování údajů privátního klíče

Ve Windows 2000 není privátní klíč uložen ve skutečně zašifrované podobě. Pokud útočník získá fyzický přístup k počítači a podaří se mu resetovat uživatelské heslo (např. použitím speciálních programů), tak se může přihlásit jako uživatel (nebo zotavovací agent) a získá přístup k privátnímu klíči a šifrovaným datům. Ve Windows XP je privátní klíč zaheslován výtahem (hash) z hesla a uživatelského jména a proto nelze privátní klíč použít bez znalosti hesla.

Externí odkazy

• Zabezpečení dat pomocí šifrování
• Jak EFS funguje (článek v angličtině)

V tomto článku byl použit překlad textu z článku Encrypting File System na anglické Wikipedii.