Главная      Dissertation

В моей работе  рассматривается  применение   методов криптографической защиты  информации  при  создании  шифрующих файловых  систем и дальнейшего их внедрения  в  ядро  операционной системы.  Эти методы позволяют ускорить создание таких  систем,  а также внести в их разработку условия, позволяющие эффективно  защитить информацию от несанкционированного  доступа с минимальной потерей производительности.

Для реализации методов предлагается использовать шифрующую файловую систему (Encrypting file system, EFS), архитектура которой разрабатывается с помощью Windows CryptoAPI.  В ее основе лежит технология шифрования с открытым ключом, согласно которой для каждого файла случайным образом генерируется ключ, в связи с чем  может применяться любой симметричный алгоритм. В настоящее время используется только один - DESX, являющийся специальной модификацией широко распространенного стандарта DES [1].

EFS шифрует данные используя схему с общим ключом, хранение которого происходит в резидентном пуле памяти (сама система расположена в ядре Windows2K/XP/Vista), что исключает доступ к нему через файл подкачки [3]. FEK - это случайным образом сгенерированный ключ определенной длины, его размер в североамериканской версии составил 128 бит, а в международной версии выбирался между  40 и 56 битами.

FEK шифруется одним или несколькими общими ключами шифрования, в результате чего получается список FEK, который хранится в специальных атрибутах EFS,   DDF  (data  decryption   field  -  поле дешифрования  данных)  и DRF (data recovery field - поле восстановления данных). Информация, при помощи которой производится шифрование данных, жестко связана с этим файлом. Общие ключи выделяются из пар пользовательских, сертификата X509, с дополнительной возможностью использования «File encryption», а также из нескольких записанных в политике восстановления зашифрованных данных для данного компьютера, с дополнительной возможностью «File recovery». Личные ключи из этих пар используются при дешифровке данных и FEK, часть хранится либо на смарт-картах, либо в другом надежном месте (например, в памяти, безопасность которой обеспечивается при помощи CryptoAPI) [2], а агенты восстановления могут их хранить в безопасном месте вне системы.

            EFS выполняет четыре основных операции c файлами, которые используют обычный Win32API: открытие, чтение, запись и преобразование. Главным требованием при проектировании  процесса преобразования файлов заключается в том, чтобы исключить потерю данных даже при отключении питания или других сбоев.Для этого используется осторожный подход к хранению резервных копий расшифрованных данных, которые сохраняются до тех пор, пока преобразование не завершится полностью.

            Для обеспечения прозрачной работы сервиса EFS его компоненты должны присутствовать   на   многих   уровнях   операционной  системы,   при этом   используя интуитивно-понятный интерфейс пользователя. Компоненты можно разделить на две группы: работающие в пользовательском режиме и режиме ядра, их взаимосвязь показана на рис.1.

Рис.1. Взаимосвязь операционной системы и EFS

В целом, EFS обеспечивает приемлемую защиту и конфиденциальность файлов, её компоненты удачно спроектированы, реализованы и повторно используют существующий код, обращаясь к системным API при управлении ключами и сертификатами. Она успешно справляется с очисткой ресурсов по окончанию их использования и восстановлением после системных ошибок, возникших при выполнении операций. Важно отметить, что EFS не используется для обеспечения целостности файлов и защиты на основе аутентификации, разработчики сознательно пошли на компромисс между абсолютной безопасностью и удобством. При  реализации  таких  методов криптографической защиты информации есть  ряд   преимуществ: использование   быстрых  и  надёжных    алгоритмов   шифрования, интеграция с   графической   оболочкой,   прозрачный   доступ к защищаемым файлам, низкая стоимость разработки.

Концепция исследованной  защиты информации, является новаторской, так как системы такого типа ещё только разрабатываются. Вследствие чего нужно заметить, что если учесть все недостатки данных методов защиты, то такие системы смогут использовать не только профессионалы, но и обычные пользователи, а также будут гораздо надёжнее и менее дорогими, чем другие подобного типа. На сегодняшний день, данная методика шифрующих файловых систем представляет собой большой научный интерес и пространство для разработки такого типа программ. 

Баннер по теме магистерской работы

Литература

[1]       The  Microsoft  Windows   Vista  Driver   Development Kit   (DDK)    [Электронный ресурс]: Справочная система — Microsoft, 2006.

[2]       MSDN  Library  [Электронный ресурс]:  Справочная система — Microsoft, 2006.

[3]       Solomon D.A.,  Russinovich M.E.  Inside  Microsoft  Windows  2000[Электронныйресурс]: Справочная система – 2000.

Главная      Dissertation