Файловые системы NTFS и FAT. Плюсы и минусы

2.6 Защита и шифрование

Файлы и каталоги защищены от доступа пользователей, не имеющих соответствующих прав. Открытый файл реализуется в виде объекта «файл» с дескриптором защиты, хранящимся на диске как часть файла. Прежде чем процесс сможет открыть описатель какого-либо объекта, в том числе и объекта «файл», система защиты Windows XP должна убедится, что у этого процесса есть соответствующие полномочия. Дескриптор защиты в сочетании с требованием регистрации пользователя при входе в систему гарантирует, что ни один процесс не получит доступа к файлу без разрешения системного администратора или владельца файла.

Пользователи часто хранят на своих компьютерах конфиденциальную информацию. Хотя данные на серверах компаний обычно надежно защищены, информация, хранящаяся на портативном компьютере, может попасть в чужие руки в случае потери или кражи компьютера. Права доступа к файлам NTFS в таком случае не защитят данные, поскольку полный доступ к томам NTFS можно получить независимо от их защиты – достаточно воспользоваться программами, умеющими читать файлы NTFS вне среды WindowsXP. Кроме этого, права доступа к файлам NTFS становятся бесполезны при использовании другой системы WindowsXP и учетной записи администратора, т.к. учетная запись администратора обладает привилегиями захвата во владение и резервного копирования, любая из которых позволяет получить доступ к любому защищенному объекту в обход его параметров защиты.

NTFS поддерживает механизм EncryptingFileSystem (EFS), с помощью которого  пользователи могут шифровать  конфиденциальные данные. EFS полностью  прозрачен для приложений. Это  означает, что данные автоматически расшифровываются при чтении их приложением, работающим под учетной записью пользователя, который имеет права на просмотр этих данных, и автоматически шифруются при изменении их авторизованным приложением.

NTFS не допускает шифрования  файлов, расположенных в корневом  каталоге системного тома или в каталоге \Winnt, поскольку многие находящиеся там файлы нужны в процессе загрузки, когда EFS ещё не активна.

EFS использует криптографические  сервисы, предоставляемые WindowsXP в  пользовательском режиме, и состоит  из драйвера устройства режима  ядра, тесно интегрированного с  NTFS и DLL⁵-модулями пользовательского режима, которые взаимодействуют с подсистемой1 локальной аутентификации и криптографическими DLL.

Доступ к зашифрованным  файлам можно получить только с помощью  закрытого ключа из криптографической пары EFS (которая состоит из закрытого и открытого ключей), а закрытые ключи защищены паролем учетной записи. Таким образом, без пароля учетной записи, авторизированной для просмотра данных, доступ к зашифрованным EFS файлам на потерянных или краденных портативных компьютерах нельзя получить никакими средствами, кроме грубого перебора паролей.

2.7 Механизм EFS

 

EFS использует средства  поддержки шифрования, введенные  Microsoft ещё в Windows NT 4. При первом  шифровании файла EFS назначает  учетной записи пользователя, шифрующего  этот файл, криптографическую пару  – закрытый и открытый ключи. Пользователи могут шифровать файлы с помощью Windows Explorer; для этого нужно открыть диалоговое окно Свойства применительно к нужному файлу, щелкнуть кнопку Другие и установить флажок Шифровать содержимое для защиты данных. Пользователи также могут шифровать файлы с помощью утилиты командной строки cipber.Windows XP автоматически шифрует файлы в каталогах, помеченных зашифрованными. При шифровании файла EFS генерирует случайное число, называемое шифровальным ключом файла (fileencryptionkey, FEK⁸). EFS использует FEK для шифрования содержимого файла по более стойкому варианту DES³ (DataEncryptionStandard) – DESX⁴. EFS сохраняет FEK вместе с самим файлом, но FEK шифруется по алгоритму RSA-шифрования на основе открытого ключа. После выполнения EFS этих действий файл защищен: другие пользователи не смогут расшифровать данные без расшифрованного FEK файла, а FEK они не смогут расшифровать без закрытого ключа пользователя – владельца файла.

Для шифрования FEK используется алгоритм криптографической пары, а  для шифрования файловых данных – DESX, алгоритм симметричного шифрования (в нем применяется один и тот же ключ для шифрования и дешифрования). Как правило, алгоритмы симметричного шифрования работают очень быстро, что делает их подходящими для шифрования больших объемов данных, в частности файловых. Однако у алгоритмов симметричного шифрования есть одна слабая сторона: зашифрованный ими файл можно вскрыть, получив ключ. Если несколько человек собирается пользоваться одним файлом, защищенным только DESX, каждому из них понадобится доступ к FEK файла. Очевидно, что незашифрованный FEK – серьезная угроза безопасности. Но шифрование FEK все равно не решает проблему, поскольку в этом случае нескольким людям приходится пользоваться одним и тем же ключом расшифровки FEK.

Защита FEK сложная проблема, для решения которой EFS использует ту часть своей криптографической  архитектуры, которая опирается  на технологии шифрования с открытым ключом. Шифрование FEK на индивидуальной основе позволяет нескольким лицам совместно использовать зашифрованный файл. EFS может зашифровать FEK файла с помощью открытого ключа каждого пользователя и хранить их FEK вместе с файлом. Каждый может получить доступ к открытому ключу пользователя, но никто не сможет расшифровать с его помощью данные, зашифрованные по этому ключу. Единственный способ расшифровки файла заключается в использовании операционной системой закрытого ключа, который она. Как правило, хранит в безопасном месте. Закрытый ключ помогает расшифровать нужный FEK файла. WindowsXP хранит закрытые ключи на жестком диске, что не слишком безопасно, но в следующих выпусках операционной системы пользователи смогут хранить закрытые ключи на компактных носителях вроде смарт-карт. Алгоритмы на основе открытого ключа обычно довольно медленные. Поэтому они используется EFS только для шифрования FEK. Разделение ключей на открытый и закрытый немного упрощает управление ключами по сравнению с таковым в алгоритмах симметричного шифрования и решает дилемму, связанную с защитой FEK.

Функциональность EFS опирается  на несколько компонентов, как видно  на схеме архитектуры EFS (см. рисунок 9).

 

 

 

 

 

 

 

 

 

 

E

 

 

 

 

 

 

 

Рисунок 9 – Компоненты доступа к криптографическим сервисам

EFS реализована в виде  драйвера устройства, работающего  в режиме ядра и тесно связанного  с драйвером файловой системы  NTFS. Всякий раз, когда NTFS встречает  зашифрованный файл, она вызывает  функции из драйвера EFS, зарегистрированные  им в NTFS при инициализации EFS. Функции EFS осуществляют шифрование  и расшифровку файловых данных  по мере обращения приложений к шифрованным файлам. Хотя EFS хранит FEK вместе с данными файла, FEK шифруется с помощью открытого ключа индивидуального пользователя. Для шифрования или расшифровки файловых данных EFS должна расшифровать FEK файла, обращаясь к криптографическим сервисам пользовательского режима.

 

 

 

 

 

 

Заключение

В заключение сравним файловые cистемы FAT 32 и NTFS

Достоинства NTFS:

1. Быстрая скорость доступа  к файлам малого размера;

2. Размер дискового пространства  на сегодняшний день практически  не ограничен;

3. Фрагментация файлов  не влияет на саму файловую  систему;

4. Высокая надежность  сохранения данных и собственно  самой файловой структуры;

5. Высокая производительность  при работе с файлами большого  размера;

Недостатки NTFS:

1. Более высокие требования  к объему оперативной памяти  по сравнению с FAT 32;

2. Работа с каталогами  средних размеров затруднена  из-за их фрагментации;

3. Более низкая скорость  работы по сравнению с FAT 32;

Достоинства FAT 32:

1. Высокая скорость работы;

2. Низкое требование к  объему оперативной памяти;

3. Эффективная работа  с файлами средних и малых  размеров;

4. Более низкий износ  дисков, вследствие меньшего количества  передвижений головок чтения/записи.

Недостатки FAT 32:

1. Низкая защита от  сбоев системы;

2. Не эффективная работа  с файлами больших размеров;

3. Ограничение по максимальному  объему раздела и файла;

4. Снижение быстродействия  при фрагментации;

5. Снижение быстродействия  при работе с каталогами, содержащими большое количество файлов

 

 

 

 

 

 

 

 

 

 

 

 

 

Таблица 2 – Сравнительная  таблица файловых систем NTFS и FAT32

Ограничения / возможности	NTFS	FAT32
Размеры диска	264 байт (16 эксабайт или 18 446 744 073 709 551 616 байт)	приблизительно равняется 8 терабайт
Размер тома	Минимальный размер тома составляет приблизительно 10 Мб. На практике рекомендуется  создавать тома, размеры которых  не превышают 2 Тб.	FAT 32 поддерживает тома  объемом от 2 гб. до 2 Тб. Работая под  управлением Windows XP для Fat 32 можно  отформатировать тома, размер которых  не превышает 32 Гб.
Форматирование дискет	Windows не позволяет форматировать дискеты в NTFS	Не поддерживаются диски  размеры которых меньше 512 Мб.
Поддержка типов ссылок	NTFS поддерживает жёсткие (Hardlinks) и символьные ссылки,Junctions, Volume Mount Point.	FAT не поддерживает ссылки.
Максимальный размер файла	Теоретически — 264 байт минус 1 килобайт.  Практически — 244 байт минус 64 килобайта (~16384 гигабайт или ~16 терабайт).	FAT32 поддерживает файлы  размером не более 4 ГБ.
Средства безопасности.	Атрибуты файлов, шифрование с использованием EFS.	Атрибуты файлов.
Поддержка сжатия.	Для файлов, каталогов и дисков.	Не поддерживается.
Максимальное количество файлов	4 294 967 295 (232 — 1).	В FAT32 не более 268 435 444 (228−12)

 

 

Список используемой литературы

1. В. Столлингс. Криптография и защита сетей: принципы и практика (2-е издание). / Пер. с англ. — М.: Издательский дом «Вильямс», 2001.
2. Д. Соломон, М. Руссинович. Внутреннее устройство MicrosoftWindowsXP. Мастер-класс. / Пер. с англ. — СПб.: Питер; М.: Издательско-торговый дом «Русская Редакция», 2001.
3. Олифер В.Г., Олифер Н.А. Сетевые операционные системы Спб.: Издательский дом Питер, 2001
4. ТаненбаумЭ. Современные операционные системы 
   СПб.: Издательский дом Питер, 2002
5. http://support.microsoft.com/kb/307881/ru