Šifrování souborů pomocí EFS

Minule jsme si řekli, jak chránit své soubory pomocí NTFS oprávnění. Ukázali jsme si, že NTFS oprávnění zabraňuje tomu, aby ostatní uživatelé počítače manipulovali s našimi osobními daty, nicméně že nechrání před přístupem administrátora. Data také nejsou chráněna, dojde-li k odcizení pevného disku. Mnohem lepší ochranu nabízí Encrypted File System (EFS).

EFS je opět služba systému souborů NTFS, nelze ji tedy využít na discích, které jsou formátovány souborovým systémem FAT ani FAT32. Tuto službu pak podporuje až Windows 7 Professional a vyšší. Data jsou opravdu šifrována, nicméně uživatel při práci s nimi nic nepozná. Jde o zabezpečení na úrovni dat a šifrování na úrovni uživatele. Co to znamená, si povíme vzápětí. Tato technologie na rozdíl od BitLocker, o kterém si povíme příště, neumí šifrovat systémové soubory.

K šifrování souborů dochází pomocí hybridní kryptografie. To znamená, že využívá jak symetrickou, tak asymetrickou kryptografii a dosahuje tak dobrých vlastnosti jak při šifrování, tak dešifrování dat. Data jsou skutečně šifrována, takže případný útočník nemá žádnou šanci se k nim dostat, pokud nezíská také certifikát, který obsahuje dešifrovací klíč. To stejné ale platí pro majitele souborů, je proto dobré tento certifikát vždy zálohovat,

A jak tedy na to? Je to snadné. Vytvořte například soubor tajné.txt a přejděte na Vlastnosti, Obecné, Upřesnit. Nyní zaškrtněte možnost Šifrovat data a zabezpečit tak obsah a po potvrzení zvolte Zašifrovat pouze soubory. To je vše, tím jsou data chráněna. Nyní certifikát s dešifrovacím klíčem zálohujeme. Jděte na Ovládací panely, Uživatelské účty, Spravovat šifrovací certifikáty souborů. Poté zvolte Použít tento certifikát a Zálohovat certifikát a klíč nyní. Nakonec zadejte cestu a heslo pro zálohu a vyberte Všechny logické jednotky.

Tím je šifrování dokončeno. Ale pozor! Pokud si uživatel Honza něco zašifruje, tj. vytvoří si svůj certifikát, lze zašifrované soubory sdílet, a to následovně. Lenka chce umožnit Honzovi přístup k šifrovanému souboru tajné.txt. Zvolí tedy Vlastnosti, Obecné, Upřesnit, Podrobnosti a přidá Honzův certifikát. Tím Honza získá k souboru tajné.txt přístup. To je zcela v pořádku, nicméně co se stane v případě odcizení certifikátu? Uživatel Petr, přestože je administrátor systému, se nedostane k šifrovaným souborům pomocí technologie EFS ostatních uživatelů. Podaří-li se mu ale získat certifikát s dešifrovacím klíčem, může provést následující. Otevře certifikát a spustí se Průvodce importem certifikátu, Petr všechny kroky ponechá, pouze zadá heslo pro import (to musí také znát). Po dokončení importu získá přístup ke všem zašifrovaným souborům daného uživatele.

Jak vidíme, EFS chrání před odcizením disku i počítače, je však potřeba dobře chránit svůj certifikát a heslo k němu. Pokud by uživatel certifikát ztratil, ke svým datům se již nedostane. Pro tento případ lze ještě vytvořit Agenta obnovení, což je vlastně nový uživatel systému, který má za určitých podmínek možnost dešifrovat zašifrované soubory.

Be Sociable, Share!

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *