4-4- رمزنگاری فایل ها (Encryption) - بخش سوم
4-4-1- پیش از هر کاری باید بدانید...
EFS ترکیبی از الگوریتم کلیدهای متقارن[1] و فناوری کلید عمومی[2] را برای رمزنگاری فایل ها بکار می گیرد. برای هر کاربری که EFS را بکار می گیرد، پیش از هر چیز، در صورت لزوم یک گواهینامه ی دیجیتالی[3] حاوی کلیدهای عمومی و خصوصی (مختص به او) صادر می شود. EFS برای رمزنگاری و رمزگشایی فایل ها از گواهینامه کاربر مورد نظر استفاده می کند (شکل 5). فقط کلید خصوصی کاربرانِ مجاز می تواند فایل را رمزگشایی کند .
توجه: تصور نشود کلید خصوصی بین کاربران یک فایل به اشتراک گذارده می شود بلکه هر کاربری (حتی مأمور بازیابی) با استفاده از کلید خصوصی خودش فایل را رمزگشایی می کند. (برای اطلاعات بیشتر ادامه ی همین بخش را مطالعه کنید.)
در صورتی که برای گواهینامه ی دیجیتالی یکی از کاربران اشکالی پیش آید و نتواند فایل های رمز شده اش را رمزگشایی کند، از مأمور(ان) بازیابی کمک می گیرد. مورد کاربرد دیگر این مأمور، دستیابی به فایل های کارمندی است که دیگر در شرکت کار نمی کند.
مأمور بازیابی، بصورت خودکار جزو کسانی قرار دارد که با کلید خصوصی خود می تواند فایل های رمز شده را رمزگشایی کند. در شبکه، این کاربر به صورت خودکار تعریف می شود (معمولا مدیر (administrator) شبکه مأمور بازیابی هم هست) ولی در کامپیوترهای شخصی، اختیاری است و باید به صورت دستی تعریف شود. (در شبکه های ویندوز 2000 وجود یک مأمور بازیابی لازمه ی استفاده از EFS است ولی در شبکه های ویندوز XP اجباری نیست) برای آگاهی از نحوه ی تعریف یک کاربر به عنوان مأمور بازیابی، به [2.g] (بخش Recovery Agents) و [6.a] مراجعه کنید.
شکل 5- نمونه ای از
یک گواهینامه ی دیجیتالی که به منظور
استفاده از EFS بصورت خودکار صادر شده است.
-
بنابر توضیحاتی که پیش از این داده شد، لازم است هر کاربر (به خصوص مأمور بازیابی) بلافاصله پس از فعال کردن EFS ، از گواهینامه دیجیتالی خود یک پشتیبان تهیه کند (آن را export کند) و بر روی یک رسانه برداشتنی (نظیر فلاپی دیسک) در جای مطمئنی برای مواقع ضروری نگهدارد. از دست دادن کلید خصوصی، پیامدهای فاجعه باری دارد و اطلاعات رمز شده کاملا غیر قابل استفاده خواهد شد. ضمنا اگر تمایل دارید از فایل های رمز شده خود بر روی کامپیوتر دیگری استفاده کنید، به این نسخه پشتیبان (کپی) نیاز دارید. برای آگاهی از چگونگی تهیه پشتیبان به [6.a] مراجعه کنید.
به خاطر مسائل امنیتی، بخشِ کلید خصوصی گواهینامه ی مأمور بازیابی (که برای رمزگشایی فایل ها لازم است) باید پس از پشتیبان گیری گواهینامه، از سیستم پاک شود. با این کار، کاربر غیرمجازی که کلمه عبور اکانتِ مأمور را به دست آورد، نمی تواند فایل های رمز شده ی کاربران دیگر را رمزگشایی کند. برای اطلاعات بیشتر به [6.a] و [2.g] (بخش Recovery Agents) مراجعه کنید. توجه: چون کلید خصوصی مأمور بازیابی از سیستم حذف می شود، او نمی تواند از EFS استفاده کند (هیچ فایلی را رمزگشایی کند). بنابراین بهتر است یک اکانت کاربری تک منظوره به مأمورِ بازیابی اختصاص دهید.
حذف یا اضافه کردن مأموران بازیابی بلافاصله روی تمام فایل هایی که قبل از آن رمز شده اند إعمال نمی شود بلکه این اطلاعات با اولین دستیابی به فایل، به روز می شوند. با این حال، فایل های جدید همیشه مطابق با آخرین تغییرات، رمزنگاری می شوند.
اگر گواهینامه دیجیتالی کاربری به هر دلیل از بین رفته است؛ یا می خواهد بر روی کامپیوتر دیگری از فایل های رمز شده اش استفاده کند؛ یا اینکه می خواهد به عنوان مأمور بازیابی (با توجه به توضیح بالا) فایل های رمز شده کاربران را بازیابی کند، لازم است گواهینامه خود را از نسخه پشتیبان بازیابی کند (به اکانت خود import کند) برای آگاهی از چگونگی این کار به [6.a] مراجعه کنید.
- اگر یکی از مدیران سیستم، کلمه عبور کاربری را حذف کند و یا تغییر دهد، آن کاربر «گواهینامه های دیجیتالی» (و بالطبع دسترسی به فایل های رمز شده) و «کلمات عبور ذخیره شده» (برای استفاده از سایت های اینترنتی و یا دیگر منابع شبکه) را از دست خواهد داد [4].
برای پیشگیری از چنین اتفاقی، بهتر است هر کاربر یک دیسکت بازنشانی کلمه عبور (Password Reset Disk) برای اکانت خود بسازد (ویندوز XP) تا اگر کلمه عبور خود را فراموش کرد با استفاده از آن، کلمه عبور خود را عوض کند. برای کسب اطلاعات بیشتر به [2.j] (بخش My Computer is not on a domain) و [2.k] مراجعه کنید.
وقتی کلمه عبور اشتباهی را وارد می کنید، ویندوز پیامی مبنی بر اشتباه بودن این کلمه عبور نمایش می دهد. در صورتی که قبلا دیسکت بازنشانی کلمه عبور را ساخته باشید، یک امکان “use your password reset disk” نیز در اختیار شما قرار می گیرد که با گذاشتن دیسکت مزبور، می توانید کلمه عبور خود را تغییر دهید. برای اطلاعات بیشتر به [2.m] مراجعه کنید.
توجه: پس از تغییر دادن کلمه عبور، نیازی به ساختن مجدد دیسکت بازنشانی کلمه عبور نیست.
برای مشاهده برخی نکات مرتبط با شبکه ها، به [4.q] مراجعه کنید.
- مراحلی که برای تعریف مأمور بازیابی و تهیه نسخه های پشتیبان از گواهینامه ی دیجیتالی کاربرEFS بررسی شد، به بیش از چند دقیقه وقت نیاز ندارد با این حال، سیستم را برای استفاده مطمئن از EFS آماده می کند. نتیجه آن، جلوگیری از دست یازیدن افراد ناخواسته (حتی بیشترِ آن هایی که بسیار آگاه و مصمم هستند) به اطلاعات مهم کاربران است در عین آنکه از بی استفاده شدن این اطلاعات در صورت بروز اشکال پیشگیری می کند.
نیز مراجعه کنید به بخش های:
[1] symmetric key encryption or secret key encryption:
یکی از الگوریتم های رمزنگاری که در آن یک کلید هم برای رمز کردن اطلاعات و هم رمزگشایی آن ها بکار می رود. سرعت مناسب این الگوریتم، امکان رمزنگاری حجم های بزرگ اطلاعات را فراهم می کند.
[2] Public Key technology or asymmetric encryption:
یکی دیگر از الگوریتم های رمزنگاری است که در آن، رمزنگاری یا رمزگشایی با دو کلید متفاوت (ولی از لحاظ ریاضی به هم مرتبط) انجام می شود. کلید رمز کردن، کلید عمومی (Public key) نامیده می شود که بدون نگرانی، در اختیار هر کسی که نیاز به رمزکردن اطلاعات دارد قرار می گیرد و کلید دیگر، کلید خصوصی (Private key) است که بصورت محرمانه نزد صاحبش نگهداری می شود. فرستنده، اطلاعات را با کلید عمومی گیرنده رمز می کند و فقط گیرنده است که کلید خصوصی لازم برای رمزگشایی اطلاعات را در اختیار دارد (حتی خودِ فرستنده هم نمی تواند اطلاعات رمز شده را رمزگشایی کند). پیچیدگی رابطه ریاضی بین دو کلید مزبور به حدی است که محاسبه یک کلید از روی دیگری عملا غیر ممکن است. به همین خاطر (برخلاف روش کلیدهای متقارن)، نیازی به انتقال محرمانه ی کلیدهای رمزنگاری یا رمزگشایی پیش از استفاده ی الگوریتم نیست. ضعف این الگوریتم سرعت پایین آن است که موجب شده این فناوری در ترکیب با روش کلیدهای متقارن بتواند یک سیستم رمزنگاری کارآمد را تشکیل دهد.
[3] Digital Certificate:
سند دیجیتالی که برای تأیید هویت در انتقال امنِ اطلاعات یا تجارت الکترونیک استفاده می شود. EFS از گواهینامه های مطابق با استاندارد x509 استفاده می کند.
[4] احتمالا به دلیل حفظ اطلاعاتِ شخصی کاربران از دسترسی ناخواسته (حتی توسط مدیرانِ شبکه) این اطلاعات حذف می شوند ولی باید توجه داشت که با تغییر کلمه ی عبور توسط خود کاربر این مشکلات پیش نمی آید و گواهینامه ی دیجیتالی رابطه ای با کلمه ی عبور ندارد.