Процесс восстановления

Этот процесс аналогичен дешифрованию с той разницей, что для дешифрования FEK используется личный ключ агента восстановления, а зашифрованная версия FEK берется из DRF.

Реализация в Windows 2000

На рисунке показана архитектура EFS:

EFS состоит из следующих компонентов:

Драйвер EFS

Этот компонент расположен логически на вершине NTFS. Он взаимодействует с сервисом EFS, получает ключи шифрования файлов, поля DDF, DRF и другие данные управления ключами. Драйвер передает эту информацию в FSRTL (file system runtime library, библиотека времени выполнения файловой системы) для прозрачного выполнения различных файловых системных операций (например, открытие файла, чтение, запись, добавление данных в конец файла).

Библиотека времени выполнения EFS (FSRTL)

FSRTL - это модуль внутри драйвера EFS, который осуществляет внешние вызовы NTFS для выполнения различных операций файловой системы, таких как чтение, запись, открытие зашифрованных файлов и каталогов, а также операций шифрования, дешифрования, восстановления данных при записи на диск и чтении с диска. Несмотря на то, что драйвер EFS и FSRTL реализованы в виде одного компонента, они никогда не взаимодействуют напрямую. Для обмена сообщениями между собой они используют механизм вызовов NTFS. Это гарантирует участие NTFS во всех файловых операциях. Операции, реализованные с использованием механизмов управления файлами, включают запись данных в файловые атрибуты EFS (DDF и DRF) и передачу вычисленных в EFS ключей FEK в библиотеку FSRTL, так как эти ключи должны устанавливаться в контексте открытия файла. Такой контекст открытия файла позволяет затем осуществлять незаметное шифрование и дешифрование файлов при записи и считывании файлов с диска.

Служба EFS

Служба EFS является частью подсистемы безопасности. Она использует существующий порт связи LPC между LSA (Local security authority, локальные средства защиты) и работающим в kernel-mode монитором безопасности для связи с драйвером EFS. В режиме пользователя служба EFS взаимодействует с программным интерфейсом CryptoAPI, предоставляя ключи шифрования файлов и обеспечивая генерацию DDF и DRF. Кроме этого, служба EFS осуществляет поддержку интерфейса Win32 API.

Win32 API

Обеспечивает интерфейс программирования для шифрования открытых файлов, дешифрования и восстановления закрытых файлов, приема и передачи закрытых файлов без их предварительной расшифровки. Реализован в виде стандартной системной библиотеки advapi32.dll.

Заключение

Шифрованная файловая система защищает конфиденциальные данные в файлах натомах NTFS. EFS - основная технология шифрования и расшифровки файлов натомах NTFS. Открывать файл и работать с ним может только пользователь, егозашифровавший. Это чрезвычайно важно для пользователей переносныхкомпьютеров: даже если взломщик получит доступ к потерянному илиукраденному компьютеру, он не сможет открыть зашифрованные файлы. В WindowsXP шифрованная файловая система также поддерживает автономные файлы и папки(Offline Files and Folders). Зашифрованный файл останется недоступным для просмотра в исходном виде,даже если атакующий обойдет системную защиту, например, загрузив другую ОС.EFS обеспечивает устойчивое шифрование по стандартным алгоритмам и тесноинтегрирована с NTFS. EFS в Windows XP Professional предоставляет новыевозможности совместного использования зашифрованных файлов или отключенияагентов восстановления данных, а также облегчает управление посредствомгрупповой политики и служебных программ командной строки.

Список используемой литературы

1. Д. Соломон, М. Руссинович. Внутреннее устройство Microsoft Windows 2000.Мастер-класс. / Пер. с англ. — СПб.: Питер; М.: Издательско-торговый дом«Русская Редакция», 2001.2. В. Столлингс. Криптография и защита сетей: принципы и практика (2-еиздание). / Пер. с англ. — М.: Издательский дом «Вильямс», 2001.3. Баричев С. Г., Гончаров В. В., Серов Р. Е. Основы современнойкриптографии. — М.: Горячая линия — Телеком, 2001.4. http://www.ixbt.com/storage/efs.html5. http://ru.wikipedia.org/wiki/EFS6. http://www.cyberguru.ru/operating-systems/filesystems/efs-overview-page5.html7. http://www.ref.by/refs/67/15635/1.html8. http://articles.org.ru/cn/showdetail.php?cid=5569