SERVIS<>
042006<><>

Priprema Windowsa za šifrovanje podataka

Fajlove pod ključ

Kontrola pristupa računaru je osnovni metod zaštite privatnosti podataka. Međutim, postoji i drugi metod koji obezbeđuje očuvanje tajnosti podataka, čak i kada se bezbednost sistema naruši, propustima u sistemu ili omaškom korisnika

(Autor karikature: Peđa Milićević)
(Autor karikature: Peđa Milićević)
Podaci koje držimo na računaru su gotovo uvek mnogo vredniji od cene računara. Bez obzira na to da li su u pitanju poslovne tajne ili lični dnevnici i stanje na tekućem računu, pristup ovim podacima od strane neovlašćenih lica može prouzrokovati širok raspon problema, počev od blagih neprijatnosti pa do ugrožavanja poslovanja firme.

Podešavanje prava pristupa i primena „vatrenog zida” (firewall), o čemu smo pisali u SK 7/2005, za cilj imaju ograničavanje samog pristupa računaru. Međutim, kriptovanje podataka omogućava da vaši tajni podaci ostanu tajni čak i u slučaju da dospeju u pogrešne ruke. Kada je Windows u pitanju, Microsoft je prvi put uveo sistemsku podršku za šifrovanje u svim verzijama Windowsa 2000, a kod Windowsa XP ona postoji samo u tzv. Corporate verzijama (Windows XP Professional). Korišćenje šifrovanja pod Windowsom se svodi na jednostavno uključivanje opcije Encrypt contents to secure data koja je dostupna desnim klikom na fajl ili direktorijum i izborom opcije Properties, a zatim i stavke Advanced. Međutim, da bi se kriptografija efikasno primenjivala, neophodno je pripremiti sistem kako bi se izbegli...

Pojedini problemi

Šifrovanje (kriptovanje, enkripcija) za rad koristi posebne podatke koji se zovu ključevi. Ključeve kojima se fajlovi šifruju i dešifruju pravi operativni sistem i svaki korisnik ima svoje ključeve koji se čuvaju u sistemskim fajlovima u korisnikovom folderu (\Documents and Settings\korisnicko_ime) u vidu sertifikata. Ukoliko se sertifikati izgube usled kvara sistema, pristup šifrovanim fajlovima je neizvodljiv i jedina moguća opcija je njihovo brisanje. Takođe, svako ko ima pristup ključevima može pristupati šifrovanim fajlovima tako da je neophodno obezbediti njihovu tajnost.

Gubitak ključeva se sprečava njihovim ispravnim bekapovanjem. Windows nudi mogućnost izvoza sertifikata u posebne fajlove koji se zatim mogu čuvati van računara, na nekom mediju. Takođe, moguće je odrediti i posebnog korisnika koji će biti „Data Recovery Agent” koji u slučaju nužde može dešifrovati tuđe fajlove, a potom bekapovati i njegove ključeve. U slučaju havarije, ključevi se mogu ponovo učitati čime je omogućen pristup fajlovima.

Tajnost ključeva se pod Windowsom obezbeđuje kroz prava pristupa. Pre svega, treba onemogućiti neželjen pristup folderu u kojem su smešteni ključevi. Takođe, treba voditi računa o „snazi” lozinke koju koristimo za pristup računaru jer ukoliko se neko neovlašćeno prijavi na sistem, može napraviti kopije ključeva i potom ih koristiti kao svoje. O jačini lozinke i pravima pristupa smo pisali ranije (u ovde već pomenutom tekstu) tako da se nećemo osvrtati na te teme.

Posebnu pažnju treba voditi o tome gde se smeštaju rezervne kopije ključeva: mediji na kojima su sertifikati moraju biti obezbeđeni od neovlašćenog pristupa, ali i od oštećenja. Preporučuje se pravljenje nekoliko kopija sertifikata koje će se čuvati na različitim mestima, od kojih je poželjno da bar jedno ne bude u istoj zgradi gde je i računar.

Priprema

Pre svega, treba da odredimo korisnika koji će biti Recovery Agent. Ovaj status je poželjno dodeliti korisniku koji ne radi često na računaru i obično se Administrator proglašava za Recovery Agenta jer njegov nalog ne koristimo svakodnevno niti ga često menjamo, što ga čini relativno bezbednim od slučajnog oštećenja. Naravno, nalog administratora mora biti zaštićen jakom lozinkom.

 
Prvi korak je da napravimo ključeve za spasavanje podataka (Data Recovery). Prijavimo se kao Administrator, a ukoliko to korisničko ime nije u spisku korisnika pri podizanju Windowsa, treba dva puta pritisnuti ’Ctrl-Alt-Del’ i ukucati korisničko ime i lozinku. Kliknemo na Start, izaberemo Run i pokrenemo komandni prompt (ukucamo „cmd”). Iako nije bitno u kom folderu ćemo praviti ključeve, poželjno je, radi urednosti, da napravimo novi folder u korenom folderu na disku. Ovo možemo obaviti kucanjem naredbe „md \ime_foldera”, dok komandom „cd \ime_foldera” ulazimo u folder. Ključeve generišemo pomoću programa CIPHER koji se standardno isporučuje uz Windows. Naredba kojom pravimo ključeve glasi: cipher /r:ime_fajla. Kao ime fajla, uzećemo DRA.

Program će nas upitati za lozinku kojom želimo da zaštitimo ključeve. Lozinka mora biti jaka i poželjno je da se razlikuje od lozinke koju koristimo za pristup sistemu. Takođe, ne smemo da je zaboravimo. Moramo je zapisati i pažljivo čuvati.

 
Lozinku ponovnim unosom i potvrđujemo, nakon čega u folderu dobijamo fajlove DRA.CER i DRA.PFX u kojima su sadržani javni i tajni ključevi. Ovo su ujedno i prvi fajlovi koje moramo da zaštitimo od gubitka i neovlašćenog pristupa jer sa njima svako može postati agent za spasavanje podataka, a ukoliko ih izgubimo, nestaje i poslednja mogućnost za oporavak od gubitka ključeva.

Potom treba da administratoru damo ključeve agenta za spasavanje podataka. Dok smo još prijavljeni pod administratorskim nalogom, kliknemo na Start/Run... i ukucamo certmgr.msc čime pokrećemo program za upravljanje ključevima trenutno prijavljenog korisnika. Desnim klikom na stavku Personal i izborom opcije All tasks/Import... započinjemo proces uvoza ključeva. Kao ime fajla zadajemo DRA.PFX koji smo napravili. U sledećem koraku ukucavamo lozinku kojom smo zaštitili ključ i uključujemo opciju Make this key exportable kako bismo mogli da pravimo rezervne kopije ključa. Ako želimo, možemo da pojačamo mere bezbednosti uključivanjem preostale opcije čime će se svaki put pri upotrebi ovog ključa tražiti njegova lozinka. U konačnom koraku treba da izaberemo automatsko skladištenje ključa na osnovu vrste i kliknemo na Next pa na Finish.

 
Zatim treba da administratora proglasimo agentom za spasavanje podataka. Dok smo još u administratorskom nalogu, na isti način kao malopre pokrećemo program secpol.msc. Desnim klikom na Security Settings/Public Key Policies/Encrypting File System biramo opciju All Tasks/Add Data Recovery Agent... Kao sertifikat (ključ) zadajemo ranije napravljeni DRA.CER i kliknemo na Next i Finish. Pošto u fajlu nije smešteno ime korisnika koji će biti agent, u pregledu fajla će se pojaviti USER_UNKNOWN, ali to nije bitno.

Ovim smo završili pravljenje agenta za spasavanje podataka tako da ubuduće možemo koristiti administratorov nalog za dešifrovanje fajlova u slučaju da sve ostalo zakaže. Međutim, prvo ćemo se pozabaviti jednim sigurnosnim problemom. Da bi agent normalno radio, dovoljan mu je samo javni ključ, privatni ključ se koristi za dešifrovanje fajlova u slučaju nužde. Međutim, ukoliko neko pogodi agentovu lozinku, može pristupiti fajlovima drugih korisnika zato što se agentov privatni ključ nalazi registrovan u sistemu. Da bismo ovo sprečili, treba da izbacimo agentov privatni ključ. Ulogovaćemo se kao agent (u našem slučaju administrator) i startovati certmgr.msc. Iz liste privatnih sertifikata biramo sertifikat namenjen spasavanju fajlova (File Recovery) i desnim klikom biramo All Tasks/Export... Potvrđujemo da želimo da izvezemo privatni ključ, a u sledećem koraku kažemo da privatni ključ treba obrisati posle uspešnog izvoženja. Zadajemo lozinku, a potom i ime fajla u koji izvozimo ključ. Od sada, ukoliko moramo da koristimo agenta za spasavanje podataka, moraćemo prvo da uvezemo njegov privatni ključ iz fajla koji smo upravo napravili.

Korišćenje šifrovanja i bekapovanje sertifikata

 
Nakon pravljenja agenta za spasavanje podataka, svi korisnici mogu da šifruju svoje fajlove. Opšta preporuka je da se šifruju pojedini folderi kako bi se obezbedilo da svi fajlovi koji se u njima nalaze i koji se naprave u njima automatski postanu šifrovani. Za početak, treba napraviti novi folder bilo gde i proglasiti ga za šifrovan. Potom u njega treba smestiti neki fajl i proveriti da li je fajl postao šifrovan. Ovim smo osigurali da je Windows napravio javni i tajni ključ za naš korisnički nalog. Sada ćemo te ključeve da bekapujemo kako bismo sprečili njihov gubitak.

Počinjemo tako što iz svog korisničkog naloga pokrećemo certmgr.msc na ranije opisani način. U sekciji Personal/Certificates nalaze se svi ključevi koje je sistem dodelio našem korisničkom nalogu. Obično se u ovoj listi nalazi samo jedna stavka koja nosi ime kao i korisnički nalog. Ukoliko ih ima više, treba izabrati one u čijem opisu stoji Encrypting File System. Desnim klikom na njega biramo All Tasks/Export... Kada nas sistem zapita da li da izveze i tajni ključ, treba odgovoriti potvrdno. Zatim treba da zadamo lozinku kojom ćemo zaštititi sertifikat i, na kraju, da damo ime fajlu u kojem će sertifikat biti sačuvan, kao i folderu u kojem će se nalaziti. Ukoliko na računaru radi više korisnika, svaki od njih ovo mora da uradi za sebe.

Uvoz sertifikata

 
Ukoliko je došlo do gubitka sertifikata usled oštećenja korisničkog naloga ili jednostavno želimo da šifrovanim fajlovima pristupamo s drugog računara putem mreže, potrebno je da uvezemo sertifikate koje smo napravili bekapovanjem. Iz svog korisničkog naloga pokrećemo certmgr.msc i desnim klikom na Personal/Certificates biramo opciju All tasks/Import... Sistem će tražiti da navedemo u kom fajlu se nalaze sertifikati, a potom će nas pitati i za lozinku, kao i da li želimo da omogućimo naknadno bekapovanje sertifikata ili da uključimo jaču zaštitu sertifikata (kao kada smo definisali sertifikat za Agenta za spasavanje podataka). Nakon ovoga, moguće je ponovo pristupati šifrovanim fajlovima. U slučaju da uvozimo privatni ključ agenta za spasavanje podataka, moramo biti prijavljeni na sistem kao agent (Administrator u našem slučaju).

• • •

Ovim je Windows pripremljen za svakodnevnu upotrebu šifrovanja. Ne treba zaboraviti da fajlove koji su nastali u ovom postupku bekapujemo na sigurno mesto i uklonimo ih s računara. Za kraj ćemo samo naglasiti da ukoliko koristite šifrovanje podataka na svom računaru, obavezno napravite, ako ništa drugo, onda bar rezervne kopije sertifikata za svoj korisnički nalog i vodite računa o kopijama i lozinkama za privatne ključeve. Svako ko je jednom izgubio ključeve od stana je u najmanju ruku, pored menjanja brave, imao neugodan razgovor sa ukućanima, a u težim slučajevima je morao i da obija svoj stan. Kriptografski ključevi nisu ništa drugačiji po tom pitanju, osim što je obijanje te „brave” praktično neizvodljivo.

Bojan ŽIVKOVIĆ

 
 NOVE TEHNOLOGIJE
Laserski i holografski 3D projektori
Probabilistic CMOS procesori

 NA LICU MESTA
CeBIT 2006, Hanover
Olympus konferencija
Direct Link i Sampro konferencija
Imtel i Microsoft konferencija
Predavanja Richarda M. Stallmana

 KOMPJUTERI I FILM
„V for Vendetta”
„Tim Burton’s Corpse Bride”, DVD
„Šejtanov ratnik”

 SERVIS
Priprema Windowsa za šifrovanje podataka
Šta mislite o ovom tekstu?
Home / Novi brojArhiva • Opšte temeInternetTest driveTest runPD kutakCeDetekaWWW vodič • Svet igara
Svet kompjutera Copyright © 1984-2018. Politika a.d. • RedakcijaKontaktSaradnjaOglasiPretplata • Help • English
SKWeb 3.22
Opšte teme
Internet
Test Drive
Test Run
PD kutak
CeDeteka
WWW vodič
Svet igara



Naslovna stranaPrethodni brojeviOpšte informacijeKontaktOglašavanjePomoćInfo in English

Svet kompjutera