Encrypting File System: Porovnání verzí

Odebrány 4 bajty ,  před 15 lety
m
upravy
(+iw)
m (upravy)
[[soubor: EFS_operacni_schema.png|right|400px]]
 
''EFS ('Encrypting File System (EFS)''' je '''šifrovaný soborový systém''' dostupný od [[Microsoft Windows]] [[Windows 2000]] a novější. Vznikl jako nadstavba [[NTFS]], aby chránil před neoprávněným přístupem k datům ze strany útočníků, kteří mají fyzický přístup k počítači. Je to řešeno tak, že každý uživatel vlastní svůj veřejný a privátní klíč a heslo systémového účtu, pomocí nichž jsou data šifrována a dešifrována. Veřejný a privátní klíč se vytvoří při prvním ukládaní šifrovaného souboru. Při změně hesla dojde i k přeměně klíčů. Jestli-že dojde ke ztrátě nebo poškození jednoho z klíčů, nelze data žádným způsobem obnovit, pokud jsme nestanovili agenta obnovení (kterým je většinou administrátor). Ten vlastní zotavovací klíč ([[recovery key]]), který je možno data zašifrovaná běžným uživatelem dešifovat. ''EFS'' šifruje soubory použitím hromadné symetrické šifry ( také známou pod zkratkou ''FEK - File Encryption Key''), protože
počítači. Je to řešeno tak, že každý uživatel vlastní svůj veřejný a privátní klíč a heslo systémového účtu, pomocí
nichž jsou data šifrována a dešifrována. Veřejný a privátní klíč se vytvoří při prvním ukládaní šifrovaného souboru.
Při změně hesla dojde i k přeměně klíčů. Jestli-že dojde ke ztrátě nebo poškození jednoho z klíčů, nelze data
žádným způsobem obnovit, pokud jsme nestanovili agenta obnovení (kterým je většinou administrátor). Ten vlastní
zotavovací klíč ([[recovery key]]), který je možno data zašifrovaná běžným uživatelem dešifovat. ''EFS'' šifruje soubry
použitím hromadné symetrické šifry ( také známou pod zkratkou ''FEK -File Encryption Key''), protože
zašifrování a dešifrování velkého objemu dat trvá kratší dobu, než použitím asymetrické šifry.
 
Ve [[Windows 2000]] existují dvě bezpečnostní chyby.
===Dešifrování souborů s účtem administrátora.===
Ve Windows 2000 je administrátor výchozí obnovovací agent, který může veškerá data zašifrovaná v ''EFS'' dešifrovat. Windows 2000 nedokáží fungovat bez obnovovacího agenta, takže vždy bude existovat někdo, kdo bude moci zašifrovaná data uživatele dešifrovat. [[Windows XP]] obnovovacího agenta nevyžadují, takže přístup k datům může mít jen uživatel.
Windows 2000 nedokáží fungovat bez obnovacího agenta, takže vždy bude existovat někdo, kdo bude moci zašifrovaná
data uživatele dešifrovat. [[Windows XP]] obnovovacího agenta nevyžadují, takže přístup k datům může mít jen uživatel.
 
===Resetování údajů privátního klíče===
Ve [[Windows 2000]] není privátní klíč sám o sobě uložen v zašifrované podobě. Pokud útočník získá fyzický přístup k počítači a podaří se mu resetovat uživatelské heslo(použitím speciálních programů), tak se může přihlásit jako uživatel(nebo zotavovací agent) a získá přístup k privátnímu klíči a šifrovaným datům. Ve [[Windows XP]] je privátní klíč zaheslován výtahem ([[hash]]) z hesla a uživatelského jména a proto nelze privátní klíč použít bez znalosti hesla.
počítači a podaří se mu resetovat uživatelské heslo(použitím speciálních programů), tak se může přihlásit jako uživatel(nebo zotavovací agent) a získá přístup k privátnímu klíči a šifrovaným datům. Ve [[Windows XP]] je privátní klíč zaheslován výtahem ([[hash]]) z hesla a uživatelského jména a proto nelze privátní klíč použít bez znalosti hesla.
 
==Externí odkazy==
7 183

editací