Počínaje systémem Windows XP mají všechny operační systémy společnosti Microsoft zabudovanou technologii šifrování dat. EFS (Encrypting File System). Šifrování EFS je založeno na schopnostech systému souborů NTFS 5.0 a architektury CryptoAPI a je navrženo pro rychlé šifrování souborů na pevném disku počítače .
Stručně popisujeme schéma šifrování EFS. Systém EFS používá šifrování veřejného a soukromého klíče. Pro šifrování EFS používá soukromé a veřejné klíče uživatele, které jsou generovány, když uživatel poprvé použije šifrovací funkci. Tyto klíče zůstávají nezměněny, dokud existuje jeho účet. Při šifrování souboru EFS náhodně generuje jedinečné číslo, tzv. 128bitový souborový šifrovací klíč (FEK), pomocí kterého jsou soubory šifrovány. Klíče FEK jsou šifrovány hlavním klíčem, který je šifrován klíčem uživatelů systému, který má přístup k souboru. Soukromý klíč uživatele je chráněn heslem tohoto uživatele.
Můžeme tedy dojít k závěru: celý šifrovací řetězec EFS je v podstatě pevně svázán s uživatelským jménem a heslem uživatele. To znamená, že zabezpečení dat také závisí na síle hesla uživatele..
Je důležité. Data šifrovaná pomocí EFS lze dešifrovat pouze pomocí stejného účtu Windows se stejným heslem, pod kterým bylo šifrování provedeno. Ostatní uživatelé, včetně správců, nemohou tyto soubory dešifrovat a otevřít. To znamená, že soukromá data zůstanou v bezpečí, i když je heslo uživatele jakýmkoli způsobem resetováno. Je však důležité pochopit opačnou stranu problému. Pokud změníte účet nebo jeho heslo (pokud jej přímo nezměnil sám uživatel ze své relace), nefunkční nebo znovu nainstalujte operační systém, zašifrovaná data budou nepřístupná. Proto je nesmírně důležité exportovat a ukládat šifrovací certifikáty na bezpečném místě (postup je popsán níže).Poznámka:. Počínaje systémem Windows Vista je v systémech MS podporována jiná šifrovací technologie, BitLocker. BitLocker, na rozdíl od šifrování EFS:- slouží k šifrování celého svazku disku
- vyžaduje hardwarový modul TPM (v případě, že vyžaduje externí paměťové zařízení, jako je USB flash disk nebo pevný disk)
Navenek se pro uživatele práce se soukromými soubory šifrovanými pomocí EFS neliší od práce s běžnými soubory - operační systém automaticky provádí operace šifrování / dešifrování (ovladač těchto systémů vykonává tyto funkce).
Obsah:
Obsah:
- Jak povolit šifrování adresářů EFS ve Windows
- Key Backup EFS Encryption
Jak povolit šifrování adresářů EFS ve Windows
Krok za krokem, jak šifrovat data v systému Windows 8 pomocí EFS.
Poznámka:. V žádném případě byste neměli povolit šifrování pro systémové adresáře a složky. Na rozdíl od toho se Windows nemusí spustit, protože systém nemůže najít soukromý klíč uživatele a dešifrovat soubory.V Průzkumníku souborů vyberte adresář nebo soubory, které chcete zašifrovat, a kliknutím na RMB přejděte na jejich vlastnosti (Vlastnosti).
Tab Generále v sekci atributů najděte a klikněte na tlačítko Pokročilé.
V zobrazeném okně zaškrtněte políčko Zašifrujte obsah pro zabezpečení dat (Zašifrujte obsah pro ochranu dat).
Poklepejte na ok.
Pokud je šifrování adresáře provedeno, systém se zeptá, zda chcete šifrovat pouze adresář nebo adresář a všechny vnořené prvky. Vyberte požadovanou akci, po které se okno vlastností katalogu zavře.
Šifrované adresáře a soubory v Průzkumníkovi Windows jsou zobrazeny zeleně (pamatujte, že objekty komprimované na úrovni NTFS jsou zvýrazněny modrou barvou). Pokud je zvoleno šifrování složky s veškerým obsahem, budou šifrovány také všechny nové objekty v zašifrovaném adresáři..
Šifrování / dešifrování EFS lze ovládat z příkazového řádku pomocí obslužného programu cipher. Můžete například šifrovat adresář C: \ Secret takto:
cipher / e c: \ Secret
Seznam všech souborů v systému souborů šifrovaných pomocí certifikátu aktuálního uživatele lze zobrazit příkazem:
šifra / u / n
Key Backup EFS Encryption
Poté, co uživatel poprvé zašifroval svá data pomocí EFS, objeví se v systémové liště vyskakovací okno informující o potřebě uložit šifrovací klíč.
Zálohujte svůj šifrovací klíč souborů. To vám pomůže vyhnout se trvale ztrátě přístupu k šifrovaným souborům.Kliknutím na zprávu spustíte průvodce zálohováním certifikátů a přidružených soukromých klíčů šifrování EFS.
Poznámka:. Pokud okno omylem zavřete nebo se neobjeví, můžete exportovat certifikáty EFS pomocí „Správa certifikátů šifrování souborů"na ovládacím panelu uživatele.Vyberte Zálohujte svůj šifrovací certifikát a klíč
Poté se spustí Průvodce exportem certifikátů. Všechna nastavení exportu mohou být ponechána standardní (formátVýměna osobních údajů - PKCS # 12 .Pfx)
Poté zadejte heslo pro ochranu certifikátu (nejlépe docela složité).
Zbývá určit umístění, kam chcete exportovaný certifikát uložit (z bezpečnostních důvodů musí být v budoucnu zkopírován na externí pevný disk / USB flash disk a uložen na bezpečném místě).
Tím se dokončí export šifrovacího certifikátu EFS a v případě potřeby ho můžete vždy použít k dešifrování dat (podrobnosti viz Jak dešifrovat data EFS pomocí uživatelského certifikátu..