Sistemul de fișiere de criptare ( EFS ) este un sistem de criptare a datelor care implementează criptarea la nivel de fișier în sistemele de operare Microsoft Windows NT (începând cu Windows 2000 și versiuni ulterioare), cu excepția versiunilor „acasă” ( Windows XP Home Edition , Windows Vista Basic , Windows Vista Home Premium , Windows 7 Starter (Home Basic și Premium), Windows 10 Pro, edițiile Enterprise și Education, Windows Server 2016 , Windows Server 2019. Acest sistem oferă posibilitatea de a „ cripta transparent ” datele stocate pe partiții cu NTFS sistem de fișiere pentru protecția datelor potențial sensibile împotriva accesului neautorizat atunci când accesați fizic computerul și unitățile.
Autentificarea utilizatorului și permisiunile de resurse găsite în NT funcționează atunci când sistemul de operare este pornit, dar este posibil să porniți un alt sistem de operare în timp ce accesați fizic sistemul pentru a ocoli aceste restricții. EFS folosește criptarea simetrică pentru a proteja fișierele, precum și criptarea bazată pe o pereche de chei publice/private pentru a proteja o cheie de criptare generată aleatoriu pentru fiecare fișier. În mod implicit, cheia privată a utilizatorului este protejată de criptarea parolei utilizatorului, iar securitatea datelor depinde de puterea parolei utilizatorului.
EFS funcționează prin criptarea fiecărui fișier folosind un algoritm de criptare simetric care depinde de versiunea sistemului de operare și de setări (începând cu Windows XP, teoretic este posibil să se utilizeze biblioteci terțe pentru criptarea datelor). Aceasta utilizează o cheie generată aleatoriu pentru fiecare fișier, numită Cheie de criptare a fișierelor (FEK), alegând criptarea simetrică în această etapă din cauza vitezei sale în raport cu criptarea asimetrică.
FEK (cheie de criptare simetrică, aleatorie pentru fiecare fișier) este protejată prin criptare asimetrică , folosind cheia publică a utilizatorului care criptează fișierul și algoritmul RSA (teoretic, pot fi utilizați și alți algoritmi de criptare asimetrică). FEK-ul criptat în acest fel este stocat în fluxul alternativ $EFS al sistemului de fișiere NTFS. Pentru a decripta datele, driverul sistemului de fișiere criptat decriptează în mod transparent FEK utilizând cheia privată a utilizatorului și apoi fișierul necesar folosind cheia fișierului decriptat.
Deoarece criptarea / decriptarea fișierelor are loc folosind driverul sistemului de fișiere (de fapt, un add-on la NTFS), este transparent pentru utilizator și aplicații. Este de remarcat faptul că EFS nu criptează fișierele transmise prin rețea, astfel încât alte protocoale de protecție a datelor ( IPSec sau WebDAV ) trebuie folosite pentru a proteja datele transmise.
Pentru a lucra cu EFS, utilizatorul are opțiunea de a utiliza o interfață grafică de explorare sau un utilitar de linie de comandă.
Pentru a cripta un fișier sau un folder care conține un fișier, utilizatorul poate folosi caseta de dialog corespunzătoare a proprietăților fișierului sau folderului bifând sau debifând caseta de selectare „criptare conținut pentru a proteja datele”, în timp ce pentru fișierele care încep cu Windows XP, puteți adăugați cheile publice ale altor utilizatori, care vor putea, de asemenea, să decripteze acest fișier și să lucreze cu conținutul acestuia (dacă au permisiunile corespunzătoare). Când criptați un folder, toate fișierele din acesta sunt criptate, precum și cele care vor fi plasate în el ulterior.
Când lucrați cu Windows Explorer, este posibil (în mod implicit) să afișați folderele și fișierele criptate într-o culoare diferită (verde în mod implicit), permițându-vă să distingeți vizual conținutul protejat în acest fel. Când copiați fișiere criptate într-o partiție în care criptarea nu este acceptată (de exemplu, cu sistemul de fișiere FAT32 etc.), va fi afișat un avertisment că fișierul va fi decriptat.
Folosind metoda de editare a registrului , este posibil să adăugați elemente „criptare” și „decriptare” în meniul contextual al Explorer (și alți manageri de fișiere care acceptă această funcționalitate), ceea ce crește confortul de a lucra cu utilizarea frecventă a acestor funcții, pentru care trebuie să creați (sau să modificați o setare existentă) de registry de tip DWORD EncryptionContextMenula 00000001, situată în HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced.
Pentru a lucra cu utilizatorul EFS, este, de asemenea, posibil să utilizați interfața de linie de comandă - comanda cipher . Când această comandă este executată fără parametri, conținutul folderului curent va fi afișat cu o etichetă U în fața fișierului dacă acesta nu este criptat și E dacă este criptat.
Comanda de criptare fișier/folder arată astfel:
cipher /E <путь к папке>,Comanda de decriptare fișier/folder arată astfel:
cipher /D <путь к папке>.Acest utilitar are o serie de alte caracteristici, a căror listă poate fi obținută folosind comanda cipher /?, inclusiv recriptarea fișierelor cu o cheie nouă, generarea unei noi chei de criptare, adăugarea unui agent de recuperare etc.
Curățarea spațiului nefolositCând ștergeți un fișier sau un folder, nu există o ștergere fizică completă a informațiilor, doar „cuprinsul” sistemului de fișiere este șters. Folosind utilitarul de criptare, este posibilă o soluție parțială la această problemă, deoarece este posibil să curățați spațiul liber pe disc prin suprascrierea acestuia. Pentru a face acest lucru, trebuie să utilizați sintaxa
cipher /W <путь к любой папке на разделе, подлежащем очистке>.Pentru a lucra cu aplicația EFS și programele de sistem, este posibil să utilizați funcții documentate și nedocumentate ale API-ului Windows.
Subsistemul EFS utilizează diferiți algoritmi de criptare simetrică, în funcție de versiunea sistemului de operare Windows NT pe care îl utilizați.
| Sistem de operare | Algoritm de criptare implicit | Algoritmi alternativi disponibili |
|---|---|---|
| Windows 2000 | DESX | (nici unul) |
| Windows XP RTM | DESX | 3DES |
| Windows XP SP1 | AES | 3DES, DESX |
| Windows Server 2003 | AES | 3DES, DESX |
| Windows Vista | AES | 3DES, DESX |
| Windows Server 2008 | AES | 3DES, DESX(?) |
| Windows 7 Windows Server 2008 R2 |
Mixt (AES, SHA și ECC) | 3DES, DESX |
| Windows 8 | ? | ? |
| Windows 10 | ? | ? |
| Sisteme de fișiere ( listă , comparație ) | |||||||
|---|---|---|---|---|---|---|---|
| Disc |
| ||||||
| Distribuit (rețea) | |||||||
| Special |
| ||||||