Файловый архив студентов. Файловый архив студентов.
1268 вузов, 4650 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Уфимский Государственный Авиационный Технический Университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Otvety_1-21.doc
Скачиваний:
43
Добавлен:
18.03.2015
Размер:
4.23 Mб
Скачать
►Содержание►

19. Efs, особенности работы в сети операций копирования и перемещения

хз че ему тут надо

С 2000 появилось новое СЗИ – Файловая система шифрования. Позволяет хранить файлы и папки в шифрованном виде.

EFS основывается на симметричной криптографии. У каждого юзера есть открытый ключ и личный ключ. ОС получает доступ к личному ключу только на время работы пользователя в системе. Личные и открытые ключи генерируются когда пользователь впервые воспользовался функцией шифрования. Они связываются с с SID и остаются неизменными на все время существования записи.

Сами файлы шифруются быстрым симметричным алгоритмом при помощи случайно сгенерированного файлового ключа шифрования файлов. Винда 2000 и XP использовали 128битный алгоритм DESX. Теперь дополнительно используется tripleDES, а по умолчанию является AES. При этом ключ шифрования далее сам шифруется с помощью ассиметричного алгоритма RSA на открытом ключе пользователя и записывается в спец. поле DDF (data decryption field). Начиная с XP можно работать с шифрованным файлов - полей ДДФ может быть несколько. Дальше это шифруется на открытом ключе и записывается в поле (DRF -data recover field).

EFS работает как драйвер на уровне ядра. Когда пользователь или приложение обращается к зашифрованному файлу драйверы NTFS вызывают EFS, которые осуществляют симметричное шифрование. Для ассиметричного шифрования ключа шифрования файла. EFS обращается к работающему на уровне пользователя базе криптографических служб микрософта. Обращение идет через локального администратора безопасности LSA.

ЕFS можно отключать и подключать с помощью параметра EFS configuration, после чего необходимо перезагрузить комп. При этом включении нельзя шифровать новые файлы и расшифровывать зашифрованные. ПРи этом сами ключи как личные, так и открытые, сохраняются и после включения ифс пользователи снова смогут работать с ранее зашифрованным файлом.

Процесс расшифровки начинается с расшифровки сеансового ключа шифрования, который может выполнить только пользователь, зашифровавший файл, так как личный ключ только у него. ЛК хранится либо на смарт-карте, либо в безопасной области памяти.Расшифрованный файловый ключ используется для расшифровки самого файла. Процесс восстановления аналогичен процессу шифровки с той разницей, что для расшифровки ФК используется личный ключ и используется поле DRF.

20. Tpm. Использование BitLocker

TPM

Микросхемы ставятся в матери компьютера и обеспечивают доверенную загрузку ОС. Используется начиная с висты и обеспечивает усиленную защиту данных, проверку целостности загрузочных файлов и определение производимых с диском манипуляций, когда он был отключен от сети. Способен создавать подлючения и шифровать. В частности, в нем хранится корневой ключ хранения Storage root Key. Это обеспечивает секретность. Ключи могут быть не только зашифрованы, но и sealed - изолированы или привязаны к параметрам конкретной платформы или компьютера. Расшифровка возможна если параметры платформы имеют те же значения, что и при создании ключа. TPM для обработки команд использует собственные микрокоманды и логические схемы, поэтому она независит от ОС и не подвержена уязвимости внешнего ПО. Оно может использоваться для кодирования-декодирования данных, сформированных вне TPM. Управление осуществляется через консоль (TPM managment). При его использовании необходима первоначальная инициализация модуля. Для включения необходим локальный доступ к компьютеру, а инициализация может выполняться удаленно. Она подразумевает установку прав собственности на TPM. Производится под локальным админом. При этом задается пароль владельца, чтобы доступ к модулю имел только владелец. Если TPM более не нужен, необходимо отключить и сбросить TPM. Это можно сделать удаленно, при этом необходимо указать либо путь к файлу и пароль, либо набрать его вручную. Сброс TPM завершает его отключение и возвращает заводские настройки, при этом теряются все созданные ключи и данные, защищенные с их помощью

Система bitlocker появилась с висты. Она в дополнение к шифрованию файлов позволяет шифровать и весь логический диск. Шифруется:

  1. Все файлы ОС и приложений.

  2. Реестр.

  3. Файл подкачки.

  4. Свободные сектора на диске.

Не шифруется:

  1. Загрузочный сектор.

  2. Поврежденные сектора.

  3. Метаданные тома которые состоят из трех избыточных копий данных, используемых bitlocker, включающих статистическую инфу о томе и защищенных копиях некоторых ключей расшифровки.

Шифрование тома обеспечивает защиту от оффлайн-атак - обход ОС (кража компьютера, винта). Bitlocker использует новый американский стандарт с длинной ключа 128 бит. При помощи групповых политик длину ключа можно увеличить до 256 бит. Каждый сектор с томом шифруется отдельно, с учетом номера сектора. Сектора с одинаковыми шифрованными данными в шифрованном виде выглядят по разному. При шифровании дополнительно используется алгоритм -diffuser, в результате применения которого даже мельчайшие изменения исходного текста приводят к абсолютным изменениям всего сектора шифрованных данных. Сами сектора шифруются 256 битным ключом шифрования всего тома (полный ключ шифрования тома - full volume encryption key). Юзер с этим ключом непосредственно не работает и не имеет доступа. Ключ шифруется другим ключом, основным ключом (Volume master key - VMK) на 128битном варианте алгоритма AES. Он хранится в среде метаданных, так же шифруется на одном или нескольких ключах.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности