Jak na šifrování dat a ochranu systému - 10. díl

22. 7. 2013

Sdílet

 Autor: pcworld.com
Po přečtení předchozích dílů byste již měli umět EFS bezpečně prakticky použít. Pojďme se však podívat také na to, proč a jak to celé funguje.

„Chraňte svá digitální data“, ozývá se ze všech stran. Přesto varování nevnímáme a často zanedbáváme. Omílané téma má své opodstatnění, toho ale doznáme, když už je příliš pozdě. Podívejte se, jak svůj digitální život včas chránit.

 

<< předchozí díl | následující díl >>

 

Jak celé EFS funguje?

EFS staví na spojení symetrické i asymetrické kryptografie. Jednoduše řečeno symetrická kryptografie používá pro šifrování i dešifrování dat stejný klíč, zatímco asymetrická kryptografie staví na dvojici klíčů, veřejném pro šifrování a privátním pro dešifrování. Symetrická kryptografie je sice výrazně rychlejší (až 1000x), avšak méně bezpečná ve srovnání s asymetrickou kryptografií. Proto EFS oba koncepty spojuje, tak aby dosáhl dostatečné bezpečnosti a současně nezdržoval uživatele při práci.

Samotná data (v našich příkladech textové soubory) jsou šifrována symetrickou kryptografií, neboť dat může být obecně velké množství, zatímco požadujeme od šifrovacího systému vysokou rychlost. Pro šifrování každého souboru operační systém automaticky generuje nový šifrovací klíč, tzv. FEK (File Encryption Key). Tento klíč uživatel nezná a ani jej znát nepotřebuje (FEK je pro každý soubor jiný). Důležité však je, že FEK je v zašifrované podobě uložen společně se svým souborem.

Jak se šifruje a dešifruje FEK? Zřejmě již tušíte, že právě pomocí asymetrické kryptografie (FEK je krátký řetězec znaků, tudíž je to rychlé) a to pomocí dvojice veřejného a privátního klíče vygenerovaného pro každého uživatele. Veřejným klíčem uživatele se FEK šifruje, privátním potom dešifruje.

V minulých dílech jsme však namísto pojmu veřejný klíč využívali termín certifikát. Co je to vlastně certifikát? Definice podle Microsoftu říká, že se jedná o digitálně podepsané prohlášení spojující hodnotu veřejného klíče s identitou osoby, zařízení či služby, která je držitelem odpovídajícího privátního klíče. Je to zkrátka soubor nesoucí jak hodnotu veřejného klíče, tak nějaké doplňkové informace. Důležité je, že certifikáty uživatelů jsou v systému veřejně dostupné (aby mohli uživatelé šifrovat pro sebe navzájem), kdežto privátní klíč je striktně osobní a náleží pouze jeho držiteli.

 

Šifrování pro jednoho uživatele

Celý proces šifrování ilustruje obrázek níže. Pro data, která si uživatel přeje šifrovat, se nejprve vygeneruje FEK. Pomocí něj se data zašifrují (symetricky). Následně se (asymetricky) zašifruje sám FEK pomocí veřejné klíče (certifikátu) uživatele. Zašifrovaný FEK se uloží společně se zašifrovaným souborem.

sifr_FEK_jeden

ICTS24

 

V příštím díle ságu o systému EFS zakončíme. Ukážeme si případ šifrování pro více uživatelů a uvedem několik důležitých poznámek na závěr.