• Abstract and Figures
• Public Full-text

SVEUČILIŠTE U ZAGREBU FAKULTET ELEKTROTEHNIKE I RAČUNARSTVA Seminarski rad iz kolegija „Računalna forenzika“ Encrypting File System Luka Škorić Zagreb, siječanj, 2018. Sadržaj 1. Uvod ................................................................................................................................................ 1 2. NTFS............................................................................................................................................... 2 3. Karakteristike Encrypting File System-a ................................................................................... 4 3.1. Enkripcijski algoritmi ............................................................................................................. 5 3.2. Način rada .............................................................................................................................. 6 3.3. Nedostatci EFS-a .................................................................................................................. 8 4. Zaključak ...................................................................................................................................... 10 5. Literatura ...................................................................................................................................... 11 1. Uvod Enkripcija tvrdog diska predstavlja proces zaštite podataka pretvaranjem podataka u nečitki kod, što kao cilj ima zaštitu istih podataka od nedozvoljenog pristupa. Filesystem - level encryption, često nazvan i file/folder encryption je oblik enkripcije tvrdog diska gdje su pojedine datoteke ili direktoriji enkriptirani od strane samog datotečnog sustava. Datotečni sustav (file system) je proces koji upravlja određivanjem lokacije na koju se podatci računalnog sustava spremaju, najčešće tvrdi disk (HDD), te kako i kada je tim podatcima omogućeno pristupiti. To je logička komponenta diska, koja upravlja unutrašnjim procesima i operacijama na tvrdom disku, te je čovjeku kao krajnjem korisniku apstraktna. Bez obzira na vrstu diska i njegovu namjenu, disk sadrži file system i sve prateće informacije o pohrani podataka i mogućnostima njihovom pristupu. Zadaća datotečnih sustava je najčešće upravljanje raznim operacijama nad datotekama poput, razmještanja u memoriji, imenovanja, organizacije mapa (folders), upravljanja metadatom, definiranja pristupnih pravila i privilegija, itd. Neki od najčešće korištenih suvremenih datotečnih sustava su File Allocation Table (FAT12, FAT16, FAT32, exFAT), New Technology File System (NTFS) i Hierarchical File System (HFS), pri operacijskim sustavima Windows porodice, te Extended File System (ext, ext2, ext3, ext4), pri operacijskim sustavima Unix tipa. U ovom radu s posebnim naglaskom biti će obrađene značajke Encrypting File System- a, posebne podvrste općenitijeg NTFS datotečnog sustava. 1 2. NTFS New Technology File System je inicijalni datotečni sustav porodice operacijskih sustava Windows razvijen od strane američke softwareske kompanije Microsoft. Osnovna motivacija pri razvoju ovog datotečnog sustava je bila potreba za rješavanjem nekih nedostataka starijih inačica Microsoftovih datotečnih sustava (npr. FAT) kao što su veličina datoteka, manjak sigurnosti i nedostatak sustava vođenja dnevnika. Iako inicijalno namjenjem operacijskim sustavima porodice Windows, NTFS je podržan i na Linux i Mac OS operacijskim sustavima. Prilikom formatiranja, tj. inicijalizacije tvrdog diska, ukupna memorija kojom disk raspolaže se dijeli na particije. U svakoj od tih particija operacijski sustav mora voditi računa o svim podatcima spremljenima na njoj. Korištenjem NTFS-a, svi podatci se spramaju na disk podjelom u jedan ili više grozdova (clusters), predefinirane, uniformne veličine. Veličine tih grozdova se kreću u rasponu od 512 B do 64 kB. Odabir veličine grozda prilikom pohrane nekog podatka na disk, kojem upravlja NTFS, predstavlja proces balansiranja između što efikasnijeg korištenja raspoloživog prostora na disku i broja potrebnih pristupa disku prilikom budućeg pristupanju željenom podatku. U većini slučajeva, veća ukupna količina prostora na tvrdom disku znači i veći inicijalni iznos memorije koja se dodjeljuje pojedinom grozdu.S obzirom da korisnik najčešće preferira bolje i brže preformanse računala (manji broj pristupa disku), odabiru se memorijski veći grozdovi, nauštrub maksimalno efikasnosnom raspolaganju cjelokupnom memorijom. Kada se, korištenjem NTFS-a, pohrani neki podatak, posebni zapis o tom podatku stvara se u drugom podatku koji se zove Master File Table (MFT). Zadaća tog zapisa je locirnaje pojedinih grozdova pohranjenog podatka, koji mogu biti nasumično raspoređeni po memoriji. NTFS nastoji okupiti sve grozdove nekog podatka na jednom mjestu u memoriji. Svaki MFT zapis sadrži opis svojih atributa i njihov metadata. U tim podatcima sadržane su informacije poput imena datoteke, veličine datoteke, vremena kreiranja, dozvole pristupa, itd. 2 Slika 1 Grafički prikaz NTFS particije NTFS datotečni sustav stvoren je zbog potrebe za brzim obavljanjem operacija čitanja, pisanja i pretraživanja na velikim diskovima. [8] Na (Slika 1) prikazana je grafička vizualizacija jedne particije tvrdog diska kojom upravlja NTFS datotečni sustav. Memorijski prostor takve particije dijeli se na područje za boot sector particije, područje za MFT i područje za datoteke. Boot sector particije sadrži podatke poput broja bajtova po sektoru, broj sektora po grozdu, broj rezerviranih sektora, ukupan broj sektora, lokaciju MFT-a, početak izvršivog koda, potpis i sl. MFT zapis vezan uz određenu particiju najčešće iznosi 1024 bajta, a zadaća mu je opisana ranije u ovom tekstu. U slučajevima kada je prvi MFT zapis korumpiran ili oštećen, NTFS čita idući zapis kako bi pronašao MFT mirror datoteku.[8] U slučajevima gubitka određene količine podataka sa diska MFT zapis ima važnu ulogu pri rekonstrukciji podataka. Datoteke je moguće pokušati rekonstruirati iz MFT zapisa korištenjem heksadecimalnih uređivača teksta. Podatci koji se tada pronalaze se odnose na prepoznavanje heksadecimalnog potpisa, traženje ASCII teksta, preslagivanje grozdova, indeksiranje tipova podataka, te analiziranje metapodataka. 3 3. Karakteristike Encrypting File System-a Encrypting File System (EFS) je svojstvo verzije 3.0 NTFS datotečnog sustava za operacijske sustave porodice Windows. Osnovna značajka ovog unapređenja NTFS- a je omogućavanje filesystem – level tipa enkripcije. EFS inačica datotečnog sustava dostupna je na svim verzijama Windows operacijskog sustava od verzije Windows 2000 do danas. EFS inicijalno ne enkriptira niti jedan podatak na računalu, ali se enkripcija podataka može omogućiti na razini pojedinih podataka, direktorija ili cijelog diska, od strane korisnika. Microsoft-ov EFS datotečni sustav nije kompatibilan sa implementacijama kriptografskih datotečnih sustava za druge operacijske sustave. Potreba za unaprjeđenjem starijih inačica NTFS datotečnog sustava proizašla je iz činjenice da operacijski sustavi koji koriste datotečne sustave bez enkripcije podataka, pristup podatcima ograničavaju isključivo korisničkom autentifikacijom i pristupnim kontrolnim listama (eng. Access control list – ACL). Takav pristup zaštiti podataka je ugrožen kada se napadač nađe u mogućnosti fizički pristupiti računalu. Jedan primjer zaobilaženja takve vrste zaštite bio bi slučaju u kojemu napadač uzima tvrdi disk i spaja ga na drugo računalo čiji operacijski sustav ima mogućnost preuzeti kompletan datotečni sustav diska. Uobičajeno rješenje tog problema ostvaruje se pohranom enkriptiranih podataka na fizički medij poput USB stick-a, vanjskih diskova, CD-a, itd. Encrypting File System omogućuje enkripciju podataka kombiniranjem metoda public – key kriptografije i symmetric – key kriptografije. 4 3.1. Enkripcijski algoritmi Encrypting File System funkcionira na temelju istovremene implementacije symmetric – key i asymmetric – key (public – key) kriptografskih algoritama. Objedinjavanjem funkcionalnih svojstava navedenih algoritama, postiže se mogućnost enkripcije i dekripcije željenih podataka. Takav pristup zaštiti podataka predstavlja iskorak u odnosu na starije inačice NTFS. Izvršiti dekripciju podataka zaštićenih metodama EFS-a je iznimno teško bez odgovarajućih ključeva. U nastavku teksta opisana su svojstva navedenih algoritama. Symmetric – key encryption ( poznati i kao secret – key encryption) algoritmi koriste jedinstveni tajni ključ za enkripciju i dekripciju podataka. Velika prednost ovog tipa enkripcijskih algoritama je njihova velika brzina, zbog čega se često koriste pri enkripciji velike količine podataka. Osnovna mana symmetric encryption algoritama je raspodjela tajnog ključa. Kako bi razmjena enkriptiranih podataka bila uspješna, pošiljatelj i primatelj moraju međusobno podijeliti tajni ključ prije početka procesa. U slučajevima kada više osoba želi pristupiti enkriptiranim podatcima, svako treba imati pristup tajnom ključu, a to često nije lako izvedivo. Asymmetric – key encryption algoritmi rješavaju navedeni problem pristupa ključu. Osnovna značajka ovog tipa enkripcijskih algoritama je izvedba enkripcije pomoću public i private para ključeva. Ovom metodom svaki korisnik dobiva dva ključa. Prvi ključ je public, te se može podijeliti sa svima s kojima korisnim stupa u kontakt. Drugi ključ je private i jedino ga korisnik posjeduje. Public ključ se koristi pri enkripciji podatka koji kada stignu do korisnika, koji ako je vlasnik uparenog private ključa, mogu biti dekriptirani jedino pomoću njegovog private

Load more

  13

Copy Link