sign in sign up
<<
Home , Encrypting File System

SVEUČILIŠTE U ZAGREBU

FAKULTET ELEKTROTEHNIKE I RAČUNARSTVA

Seminarski rad iz kolegija „Računalna forenzika“

Encrypting

Luka Škorić

Zagreb, siječanj, 2018. Sadržaj

1. Uvod ...... 1

2. NTFS...... 2

3. Karakteristike Encrypting File System-a ...... 4

3.1. Enkripcijski algoritmi ...... 5 3.2. Način rada ...... 6 3.3. Nedostatci EFS-a ...... 8 4. Zaključak ...... 10

5. Literatura ...... 11

1. Uvod

Enkripcija tvrdog diska predstavlja proces zaštite podataka pretvaranjem podataka u nečitki kod, što kao cilj ima zaštitu istih podataka od nedozvoljenog pristupa. Filesystem - level , često nazvan i file/folder encryption je oblik enkripcije tvrdog diska gdje su pojedine datoteke ili direktoriji enkriptirani od strane samog datotečnog sustava.

Datotečni sustav (file system) je proces koji upravlja određivanjem lokacije na koju se podatci računalnog sustava spremaju, najčešće tvrdi disk (HDD), te kako i kada je tim podatcima omogućeno pristupiti. To je logička komponenta diska, koja upravlja unutrašnjim procesima i operacijama na tvrdom disku, te je čovjeku kao krajnjem korisniku apstraktna. Bez obzira na vrstu diska i njegovu namjenu, disk sadrži file system i sve prateće informacije o pohrani podataka i mogućnostima njihovom pristupu. Zadaća datotečnih sustava je najčešće upravljanje raznim operacijama nad datotekama poput, razmještanja u memoriji, imenovanja, organizacije mapa (folders), upravljanja metadatom, definiranja pristupnih pravila i privilegija, itd.

Neki od najčešće korištenih suvremenih datotečnih sustava su (FAT12, FAT16, FAT32, exFAT), New Technology File System (NTFS) i (HFS), pri operacijskim sustavima Windows porodice, te (ext, , , ), pri operacijskim sustavima Unix tipa. U ovom radu s posebnim naglaskom biti će obrađene značajke Encrypting File System- a, posebne podvrste općenitijeg NTFS datotečnog sustava.

1 2. NTFS

New Technology File System je inicijalni datotečni sustav porodice operacijskih sustava Windows razvijen od strane američke softwareske kompanije . Osnovna motivacija pri razvoju ovog datotečnog sustava je bila potreba za rješavanjem nekih nedostataka starijih inačica Microsoftovih datotečnih sustava (npr. FAT) kao što su veličina datoteka, manjak sigurnosti i nedostatak sustava vođenja dnevnika. Iako inicijalno namjenjem operacijskim sustavima porodice Windows, NTFS je podržan i na i Mac OS operacijskim sustavima.

Prilikom formatiranja, tj. inicijalizacije tvrdog diska, ukupna memorija kojom disk raspolaže se dijeli na particije. U svakoj od tih particija operacijski sustav mora voditi računa o svim podatcima spremljenima na njoj. Korištenjem NTFS-a, svi podatci se spramaju na disk podjelom u jedan ili više grozdova (clusters), predefinirane, uniformne veličine. Veličine tih grozdova se kreću u rasponu od 512 B do 64 kB. Odabir veličine grozda prilikom pohrane nekog podatka na disk, kojem upravlja NTFS, predstavlja proces balansiranja između što efikasnijeg korištenja raspoloživog prostora na disku i broja potrebnih pristupa disku prilikom budućeg pristupanju željenom podatku. U većini slučajeva, veća ukupna količina prostora na tvrdom disku znači i veći inicijalni iznos memorije koja se dodjeljuje pojedinom grozdu.S obzirom da korisnik najčešće preferira bolje i brže preformanse računala (manji broj pristupa disku), odabiru se memorijski veći grozdovi, nauštrub maksimalno efikasnosnom raspolaganju cjelokupnom memorijom.

Kada se, korištenjem NTFS-a, pohrani neki podatak, posebni zapis o tom podatku stvara se u drugom podatku koji se zove Master File Table (MFT). Zadaća tog zapisa je locirnaje pojedinih grozdova pohranjenog podatka, koji mogu biti nasumično raspoređeni po memoriji. NTFS nastoji okupiti sve grozdove nekog podatka na jednom mjestu u memoriji. Svaki MFT zapis sadrži opis svojih atributa i njihov metadata. U tim podatcima sadržane su informacije poput imena datoteke, veličine datoteke, vremena kreiranja, dozvole pristupa, itd.

2

Slika 1 Grafički prikaz NTFS particije

NTFS datotečni sustav stvoren je zbog potrebe za brzim obavljanjem operacija čitanja, pisanja i pretraživanja na velikim diskovima. [8] Na (Slika 1) prikazana je grafička vizualizacija jedne particije tvrdog diska kojom upravlja NTFS datotečni sustav. Memorijski prostor takve particije dijeli se na područje za boot sector particije, područje za MFT i područje za datoteke.

Boot sector particije sadrži podatke poput broja bajtova po sektoru, broj sektora po grozdu, broj rezerviranih sektora, ukupan broj sektora, lokaciju MFT-a, početak izvršivog koda, potpis i sl.

MFT zapis vezan uz određenu particiju najčešće iznosi 1024 bajta, a zadaća mu je opisana ranije u ovom tekstu. U slučajevima kada je prvi MFT zapis korumpiran ili oštećen, NTFS čita idući zapis kako bi pronašao MFT mirror datoteku.[8] U slučajevima gubitka određene količine podataka sa diska MFT zapis ima važnu ulogu pri rekonstrukciji podataka. Datoteke je moguće pokušati rekonstruirati iz MFT zapisa korištenjem heksadecimalnih uređivača teksta. Podatci koji se tada pronalaze se odnose na prepoznavanje heksadecimalnog potpisa, traženje ASCII teksta, preslagivanje grozdova, indeksiranje tipova podataka, te analiziranje metapodataka.

3 3. Karakteristike Encrypting File System-a

Encrypting File System (EFS) je svojstvo verzije 3.0 NTFS datotečnog sustava za operacijske sustave porodice Windows. Osnovna značajka ovog unapređenja NTFS- a je omogućavanje filesystem – level tipa enkripcije. EFS inačica datotečnog sustava dostupna je na svim verzijama Windows operacijskog sustava od verzije do danas. EFS inicijalno ne enkriptira niti jedan podatak na računalu, ali se enkripcija podataka može omogućiti na razini pojedinih podataka, direktorija ili cijelog diska, od strane korisnika. Microsoft-ov EFS datotečni sustav nije kompatibilan sa implementacijama kriptografskih datotečnih sustava za druge operacijske sustave.

Potreba za unaprjeđenjem starijih inačica NTFS datotečnog sustava proizašla je iz činjenice da operacijski sustavi koji koriste datotečne sustave bez enkripcije podataka, pristup podatcima ograničavaju isključivo korisničkom autentifikacijom i pristupnim kontrolnim listama (eng. Access control list – ACL). Takav pristup zaštiti podataka je ugrožen kada se napadač nađe u mogućnosti fizički pristupiti računalu. Jedan primjer zaobilaženja takve vrste zaštite bio bi slučaju u kojemu napadač uzima tvrdi disk i spaja ga na drugo računalo čiji operacijski sustav ima mogućnost preuzeti kompletan datotečni sustav diska. Uobičajeno rješenje tog problema ostvaruje se pohranom enkriptiranih podataka na fizički medij poput USB stick-a, vanjskih diskova, -a, itd.

Encrypting File System omogućuje enkripciju podataka kombiniranjem metoda public – key kriptografije i symmetric – key kriptografije.

4 3.1. Enkripcijski algoritmi

Encrypting File System funkcionira na temelju istovremene implementacije symmetric – key i asymmetric – key (public – key) kriptografskih algoritama. Objedinjavanjem funkcionalnih svojstava navedenih algoritama, postiže se mogućnost enkripcije i dekripcije željenih podataka. Takav pristup zaštiti podataka predstavlja iskorak u odnosu na starije inačice NTFS. Izvršiti dekripciju podataka zaštićenih metodama EFS-a je iznimno teško bez odgovarajućih ključeva. U nastavku teksta opisana su svojstva navedenih algoritama.

Symmetric – key encryption ( poznati i kao secret – key encryption) algoritmi koriste jedinstveni tajni ključ za enkripciju i dekripciju podataka. Velika prednost ovog tipa enkripcijskih algoritama je njihova velika brzina, zbog čega se često koriste pri enkripciji velike količine podataka. Osnovna mana symmetric encryption algoritama je raspodjela tajnog ključa. Kako bi razmjena enkriptiranih podataka bila uspješna, pošiljatelj i primatelj moraju međusobno podijeliti tajni ključ prije početka procesa. U slučajevima kada više osoba želi pristupiti enkriptiranim podatcima, svako treba imati pristup tajnom ključu, a to često nije lako izvedivo.

Asymmetric – key encryption algoritmi rješavaju navedeni problem pristupa ključu. Osnovna značajka ovog tipa enkripcijskih algoritama je izvedba enkripcije pomoću public i private para ključeva. Ovom metodom svaki korisnik dobiva dva ključa. Prvi ključ je public, te se može podijeliti sa svima s kojima korisnim stupa u kontakt. Drugi ključ je private i jedino ga korisnik posjeduje. Public ključ se koristi pri enkripciji podatka koji kada stignu do korisnika, koji ako je vlasnik uparenog private ključa, mogu biti dekriptirani jedino pomoću njegovog private ključa. Sigurnost asymmetric – key encryption algoritama uvelike ovisi o tajnosti i zaštićenosti private ključa.

5 3.2. Način rada

EFS datotečni sustavi pri enkripciji ciljanih podataka koristi svojstva oba prethodno opisana enkripcijska algoritma, iskorištavajući prednosti svakog algoritma, te minimalizirajući nedostatke koji potencijalno mogu kompromitirati cijeli proces zaštite podataka.

Proces enkripcije neke datoteke odvija se primjenom vodećeg simetričnog ključa. To je nasumični broj kojega sustav generira pri enkripcij datoteke. U terminologiji vezanoj ja operacijske sustave koji podržavaju EFS, taj broj se naziva još i File Encryption Key (FEK). FEK konkretno enkriptira sadržaj određene datoteke na osnovu data encryption standard-a (DESX). Na samom početku procesa enkripcije datoteke, EFS korisniku dodjeljuje i par public/private ključeva jedinstven za njegov korisnički račun. Idući korak u procesu enkripcije datoteke je enkripcija samoga FEK ključa pomoću asimetričnog algoritma i ranije dodjeljenog public ključa. Tako enkriptirani FEK se na poslijetku pohranjuje u $EFS alternate data stream enkriptirane datoteke. (Slika 2) prikazuje ilustraciju procesa enkripcije datoteke.

Slika 2 Grafički prikaz enkripcije datoteke

6 Prvi korak u procesu dekripcije datoteke odnosi se na dekripciju simetričnog ključa (FEK) pohranjenog u zaglavlju datoteke. EFS pri tome koristi private ključ dodjeljen korisničkom računu prilikom prve enkripcije te datoteke. EFS datotečni sustav potom korsiti taj FEK ključ kako bi dekriptirao sadržaj same datoteke. Ilustracija procesa dekripcije datoteke prikazana je na (Slika 3).

Slika 3 Grafički prikaz dekripcije datoteke

Prema opisanim postupcima enkripcije i dekripcije može se vidjeti da prilikom zaštitne obrade svake datoteke dolazi do dva procesa enkripcije i dekripcije. Opravdanje za takv redosljed aktivnosti proizlazi iz činjenice da Microsoft koristi simetrični algoritam DESX za enkripciju datoteka, koji je u prednosti u odnosu na asimetrične algoritme, s obzirom da simetrični algoritmi, zbog svoje brzine, primjenu pronalaze pri obradi velike količine podataka. Asimetrični algoritmi se, iz istog razloga, primjenjuju pri enkripciji FEK ključa koji predstavlja malu količinu podataka.

7 3.3. Nedostatci EFS-a

Unatoč brojnim poboljšanjima koje EFS datotečni sustav donosi u odnosu na prethodne verzije datotečnih sustava korištenih od strane operacijskih sustava Windows, potrebno je naglasiti i nedostatke ovog datotečnog sustava. Nekoliko najvažnijih nedostataka EFS – a opisano je u nastavku ovog poglavlja.

Jedan od prvih većih nedostataka EFS datotečnog sustava je činjenica da arhitektura EFS-a ne omogućuje enkriptiranje sistemskih datoteka. To znači da je mogućnost enkripcije ograničena samo na pojedinačne datoteke, ili direktorije ali ne i na podatkovni prostor u kojemu su pohranjene vitalne datoteke operacijskog sustava. Problem takvog pristupa organizaciji zaštite podataka leži u činjenici da u slučaju fizičkog pristupa računalu (npr. krađa), napadač ima pristup važnim podatcima i uporište za daljnja maliciozna djelovanja. Tome u prilog ide i često tipizirana Microsoftova organizacija datotečnih sustava na njihovim proizvodima, zamišljena kako bi njihove funkcionalnosti radile po „out of the box“ modelu, te tako bile intuitivnije korisnicima, što napadači lako zlorabe.

Nedostatak EFS sustava predstavlja i princip rada Data Recovery Agent – a, inače jedne veoma važne funkcionalnost EFS – a. Zadaća Data Recovery Agent – a je mogućnost dekripcije svih datoteka enkriptiranih EFS sustavom od strane svakog lokalnog korisnika. Osnovnu primjenu ovakva procedura pronalazi u situacijama kada je, iz izvanrednih razloga, potrebno administratoru sustava ili drugoj ovlaštenoj osobi pružiti pristup recovery ključu pomoću kojega se, kako je ranije opisano, može pristupiti svim enkriptiranim datotekama. Uloga recovery agent – a je prvenstveno sigurnosne prirode, s obzirom da ovlašteni korisnik nekog računalnog sustava nikada ne smije u potpunosti ostati bez pristupa svojim podatcima. Tu funkcionalnost, na žalost, također koriste napadači. U situaciji kada napadač ima fizički pristup ciljanom računalu, probijanjem korisničke lozinke može se na sustav prijaviti kao taj korisnik ili recovery agent te lako doći u posjed privatnog recovery ključa koji je enkriptiran RSA (Rivest–Shamir–Adleman) metodom, i na taj način lako kompromitirati zaštićeni sadržaj.

Na novijim verzijama operacijskog sustava Windows (XP i noviji) navedeni sigurnosni nedostatci su uglavnom supješno rješeni. Zbog naprednijih metoda zaštite

8 korisničke pristupne lozinke i recovery ključa, EFS nema više potrebe niti obaveze sadržavati Data Recovery Agent. Problem RSA privatnog ključa na novijim verzijama riješen je još jednim dodatnim slojem asimetrične enkripcije, gdje je novi privatni ključ spremljen direktno na tvrdi disk računala.

9 4. Zaključak

Datotečni sustavi imaju ključnu zadaću u svim procesima koje operacijski sustav u memoriji obavlja nad podatcima. Takve radnje podrazumjevaju razmještaj podataka u memoriji, organizaciju podataka u direktorije, imenovanje podataka, upravljanje metapodatcima, te koordinaciju pristpa i zaštitu podataka. Encrypting File System je datotečni sustav razvijan kao unaprjeđenje starijih inačica datotečnih sustava korištenih u Microsoftovim operacijskim sustavima. Osnovna funkcionalnost ostvarena primjenom EFS-a predstavlja mogućnost enkripcije, tj. šifrirane zaštite podataka na računalima pod operacijskim sustavom Windows. Proces enkripcije podataka pomoću EFS – a odvija se istovremenom primjenom metoda symmetric – key i asymmetric – key algoritama, koristeći se prednostima koje proizlaze iz svojstava pojedinog algoritma.

Unatoč velikom napretku koji EFS predstavlja u odnosu na starije datotečne sustave, karakteristike ovog datotečnog sustava nisu savršene. Koordinacija zadaća Encrypting File System – a i operacijskog sustava sadrži određena svojstva koja u odgovarajućim okolnostima predstavljaju potencijalnu kompromitaciju sigurnosti zaštićenih datoteka u memoriji operacijskog sustava. Većina takvih nedostataka uspješno je otklonjena izmjenama određenih funkcionalnosti EFS – a u kasnijim verzijama operacijskog sustava Windows.

Uspješnim uvođenjem novih funkcionalnosti u vidu enkripcije podataka, Encrypting File System predstavlja važan iskorak u razvoju datotečnih sustava i postizanju kvalitetne zaštite podataka pohranjenih u memoriji računala.

10 5. Literatura

[1] https://technet.microsoft.com/en-us/library/cc700811.aspx (poveznici pristupljeno 18.01.2018.)

[2] https://technet.microsoft.com/library/bb457097.aspx (poveznici pristupljeno 18.01.2018.)

[3] https://www.techopedia.com/definition/5510/file-system (poveznici pristupljeno 18.01.2018.)

[4] https://en.wikipedia.org/wiki/Encrypting_File_System (poveznici pristupljeno 18.01.2018.)

[5] https://en.wikipedia.org/wiki/NTFS (poveznici pristupljeno 18.01.2018.)

[6] https://en.wikipedia.org/wiki/Filesystem-level_encryption (poveznici pristupljeno 18.01.2018.)

[7] http://searchwindowsserver.techtarget.com/definition/NTFS (poveznici pristupljeno 18.01.2018.)

[8] P. Pale: Računalna forenzika – Forenzika datotečnih sustava, prikaznice, FER Zagreb 2015

[9] https://www.sans.org/reading-room/whitepapers/win2k/encrypting-file-system- secure-it-211 (poveznici pristupljeno 18.01.2018.)

11