Автор работы: Пользователь скрыл имя, 21 Мая 2013 в 18:53, курсовая работа
Захист конфіденційних даних від несанкціонованого доступу дуже важливий у будь-якому середовищі, де безліч користувачів звертається до одних і тих же фізичних і мережним ресурсів. У ОС, як в окремих користувачів, мусить бути можливість захисту файлів, пам'яті і конфігураційних параметрів від небажаного перегляду та внесення змін. Захищати файли від несанкціонованого доступу можна різними засобами, але при крадіжцы файлів єдиним захистом залишається шифрування.
Вступ
Файлова система
Класифікація файлових систем та їх функції
Шифрувальна файлова система
Опис її роботи
Принципи шифрування даних
Схема процесу шифрування файла через EFS
Процес розшифрування
Резервне копіювання шифрованих файлів.
Шифрувальна файлова система в Windows ХР
Процес шифрування в Windows XP
Програмний інтерфейс EFS в Windows XP
Висновок
Список використаної літератури
План:
Вступ
Захист конфіденційних даних від несанкціонованого доступу дуже важливий у будь-якому середовищі, де безліч користувачів звертається до одних і тих же фізичних і мережним ресурсів. У ОС, як в окремих користувачів, мусить бути можливість захисту файлів, пам'яті і конфігураційних параметрів від небажаного перегляду та внесення змін. Захищати файли від несанкціонованого доступу можна різними засобами, але при крадіжцы файлів єдиним захистом залишається шифрування.
Файлова система
Файлова система (англ. file system) - порядок, що визначає спосіб організації, зберігання та іменування даних на носіях інформації в комп'ютерах, а також в іншому електронному обладнанні: цифрових фотоапаратах, мобільних телефонах і т. п. Файлова система визначає формат вмісту і спосіб фізичного зберігання інформації, яку прийнято групувати у вигляді файлів. Конкретна файлова система визначає розмір імені файлу (папки), максимальний можливий розмір файлу і розділу, набір атрибутів файлу. Деякі файлові системи надають сервісні можливості, наприклад, розмежування доступу або шифрування файлів.
Файлова система пов'язує носій інформації з одного боку і API для доступу до файлів - з іншого. Коли прикладна програма звертається до файлу, вона не має жодного уявлення про те, яким чином розташована інформація в конкретному файлі, так само, як і на якому фізичному типі носія (CD, жорсткому диску, магнітній стрічці, блоці флеш-пам'яті або іншому) він записаний. Все, що знає програма - це ім'я файлу, його розмір і атрибути. Ці дані вона отримує від драйвера файлової системи. Саме файлова система встановлює, де і як буде записаний файл на фізичному носії (наприклад, жорсткому диску).
З точки зору операційної системи (ОС), весь диск являє собою набір кластерів (як правило, розміром 512 байт і більше) . Драйвери файлової системи організують кластери в файли і каталоги (реально є файлами, що містять список файлів в цьому каталозі). Ці ж драйвери відстежують, які з кластерів в даний час використовуються, які вільні, які позначені як несправні.
Однак файлова система не обов'язково безпосередньо пов'язана з фізичним носієм інформації. Існують віртуальні файлові системи, а також мережеві файлові системи, які є лише способом доступу до файлів, що знаходяться на віддаленому комп'ютері.
Класифікація файлових систем та їх функції
За призначенням файлові системи можна класифікувати на нижченаведені категорії:
Трохи випадають із загальної класифікації спеціалізовані файлові системи: ZFS (власне файлової системою є тільки частина ZFS), VMFS (т. зв. Кластерна файлова система, яка призначена для зберігання інших файлових систем) та ін.
Функції файлової системи
Розглянемо деякі функції, які, як звичайно вважається, повинні реалізувати файлові системи.
1. Користувачу повинна
надаватись можливість
2. Користувачам повинна
надаватись можливість
3. Механізм для розділення (колективного користування) файлів повинен передбачати різні варіанти контрольованого доступу: доступ для читання; доступ для запису; доступ для виконання; або різних комбінацій зазначених видів доступу.
4. Користувачам надається
можливість створювати зручні
для прикладних програм
5. Надається можливість
керування передачами
6. В системі повинні бути передбачені засоби збереження та відновлення, які виключають або випадкову втрату, або навмисне руйнування інформації.
7. Користувач може звертатись до своїх файлів за допомогою символічних імен, а не через імена фізичних пристроїв (тобто файли повинні бути незалежними від пристроїв).
8. У системах, пов’язаних з обробкою персональної, конфіденційної та таємної інформації, яку необхідно захищати від несанкціонованого доступу (системи передачі грошових засобів; системах міліції; медичних системах, де зберігаються історії хвороб і т.п.) файлова система може також передбачати шифрування та дешифрування даних. Для доступу потрібно мати ключі дешифрування.
9. І найважливіше. Файлова
система повинна мати „дружній”
Необхідно, щоб користувачу не треба було думати про конкретні фізичні пристрої, на яких зберігаються його дані, про формати даних чи про фізичні засоби обміну даними з цими пристроями.
Шифрувальна файлова система
Encrypting File System (EFS) - система шифрування даних, що реалізує шифрування на рівні файлів в операційних системах Microsoft Windows NT (починаючи з Windows 2000 і вище), за винятком «домашніх» версій (Windows XP Home Edition, Windows Vista Basic і Windows Vista Home Premium). Дана система надає можливість «прозорого шифрування» даних, що зберігаються на розділах з файловою системою NTFS, для захисту потенційно конфіденційних даних від несанкціонованого доступу при фізичному доступі до комп'ютера і дисків.
Аутентифікація користувачів та права доступу до ресурсів, що мають місце в NT, працюють, коли операційна система завантажена, але при фізичному доступі до системи можливо завантажити іншу ОС, щоб обійти ці обмеження. EFS використовує симетричне шифрування для захисту файлів, а також шифрування, засноване на парі відкритий / закритий ключ для захисту випадково згенерованого ключа шифрування для кожного файлу. За замовчуванням закритий ключ користувача захищений за допомогою шифрування для користувача паролем, і захищеність даних залежить від стійкості пароля користувача.
Опис її роботи
EFS працює, шифруючи кожен файл за допомогою алгоритму симетричного шифрування, що залежить від версії операційної системи і налаштувань (починаючи з Windows XP доступна теоретична можливість використання сторонніх бібліотек для шифрування даних). При цьому використовується випадково згенерований ключ для кожного файлу, званий File Encryption Key (FEK), вибір симетричного шифрування на даному етапі пояснюється його швидкістю по відношенню до асиметричного шифрування.
FEK (випадковий для кожного файлу ключ симетричного шифрування) захищається шляхом асиметричного шифрування, що використовує відкритий ключ користувача, шифрувального файл, і алгоритм RSA (теоретично можливе використання інших алгоритмів асиметричного шифрування). Зашифрований таким чином ключ FEK зберігається в альтернативному потоці $ EFS файлової системи NTFS. Для розшифрування даних драйвер файлової системи прозоро для користувача розшифровує FEK, використовуючи закритий ключ користувача, а потім і необхідний файл за допомогою розшифрованого файлового ключа.
Оскільки шифрування / розшифрування файлів відбувається за допомогою драйвера файлової системи (по суті надбудови над NTFS), воно відбувається прозоро для користувача і додатків. Варто зауважити, що EFS не шифрує файли, що передаються по мережі, тому для захисту переданих даних необхідно використовувати інші протоколи захисту даних (IPSec або WebDAV).
Принципи шифрування даних
Механізми керування доступом до файлів не можуть запобігти несанкціонованому доступу до інформації у разі фізичного викрадення жорсткого диска. Зробивши це, зловмисник може підключити диск до комп'ютера із сумісною версією операційної системи, у якій він є привілейованим користувачем. Після реєстрації із правами такого користувача можна отримати доступ до всіх файлів на викраденому диску незалежно від того, які для них задані списки контролю доступу. Така проблема характерна для переносних комп'ютерів (ноутбуків),оскільки вони частіше потрапляють у чужі руки.
Щоб запобігти такому розвитку подій, необхідно організувати конфіденційне
зберігання найціннішої інформації. Найчастіше це реалізують за допомогою шифрування даних на файловій системі.
Таке шифрування звичайно здійснюють на рівні драйвера файлової системи,
який перехоплює спроби доступу до файла і шифрує та дешифрує його ≪на льоту ≫ у разі, коли користувач надав необхідні дані (наприклад, ключ) для виконання цих операцій.
Далі в цьому розділі
йтиметься про особливості
систем у Windows ХР.
Схема процесу шифрування файла через EFS.
1. Завантажується профіль користувача, якщо це необходимо.
2. У каталозі System Volume Information створюється файл журналу з именем
EFSx.log, де x – унікальна ціла кількість від 0. Принаймні виконання таких етапів до наукового журналу заносяться записи, дозволяють відновити файл після збою системи у процесі шифрования.
3. Base Cryptographic Provider 1.0 генерує для файла випадкове 128- бітне число, використовуване у ролі FEK.
4. Генерується чи зчитується
криптографічна пара ключів
MicrosoftWindows NTCurrentVersion EFSCurrentKeys
CertificateHash.
5. Для файла створюється зв'язка ключів DDF з елементом для даного користувача. Цей елемент містить копію FEK, зашифровану з допомогою відкритого EFS-ключа пользователя.
6. Для файла створюється зв'язка ключів DRF. У ньому є елементи кожному за агента відновлення у системі, і навіть у кожному елементі міститься копія FEK, зашифрована з допомогою відкритого EFS- ключа пользователя.
7. Складається резервний файл безпосередньо з ім'ям виду EFS0.tmp у цьому каталозі, де знаходиться шифруемый файл.
8. Зв'язка ключів DDF і DRFдобавляются до заголовка і сопоставляются з файлом як атрибут EFS.
9. Резервний файл позначається як шифрований, у неї копіюється вміст вихідного файла.
10. Вміст вихідного файла знищується, до нього копіюється вміст резервного. У результаті операції дані вихідного файла шифруються, оскільки тепер файл помечен як шифрованный.
11. Видаляється резервний файл.
12. Видаляється файл журнала.
13. Вивантажується профіль користувача, завантажений на кроці 1.
При збої системи під час шифрування узгоджені дані неодмінно зберігаються у одному з файлів – вихідному чи резервному. Коли Lsasrv инициализируется після збою системи, він шукає файли часопису на каталозі System Volume Information кожному NTFS-томе у системі. Якщо Lsasrv знаходить чи кілька файлів журналу, він вивчає вміст і визначає порядок відновлення. Якщо вихідний файл ні модифікований на даний момент аварії, Lsasrv видаляє файл журналу і відповідні резервний файл; він копіює резервний файл поверх вихідного (частково шифрованого) файла, після чого видаляє журнал і резервну копію. Після того як Lsasrv обробить файли журналів, файлова систему повертають у цілісне стан без втрати користувальних данных.
Процес розшифрування.
Процес розшифровки починається, коли користувач відкриває шифрований файл. Відкриття файла NTFS аналізує його атрибути і виконує функцію зворотного виклику в драйвере EFS. Драйвер EFS зчитує атрибут $LOGGED_UTILITY_STREAM, сопоставленный з шифрованим файлом. Щоб прочитати цей атрибут, драйвер викликає функції підтримки EFS, які NTFS експортує для EFS. NTFS виконує всі необхідні дії, щоб відкрити файл. Драйвер EFS перевіряє наявність в користувача, відкриває файл, прав доступу до даних шифрованого файла, тобто. зашифрований FEK в зв'язці ключів DDF і DRF має відповідати криптографічного парі ключів, сопоставленной з користувачем. Після такого перевірки EFS отримує расшифрованный FEK файла, застосовуваний в обробці даних у бойових операціях, які користувач може виконувати над файлом.
Информация о работе Шифрувальні файлові системи. Шифрувальні файлові системи в ОС Windows XP