Consenso all'uso dei cookies

SITO1 -- SITO2 -- Forum2 -- CercaGlobale -- Informativa su Cookie e Privacy

Questo Forum1 è in sola lettura -- Usa il Forum2


Valutazione discussione:
  • 0 voto(i) - 0 media
  • 1
  • 2
  • 3
  • 4
  • 5
EFS encrypting filesystem: protezione dei dati windows
#1
Inizio questa discussione dichiarando il mio intento, proponendo una serie di informazioni di carattere generale che ho reperito in rete, e quindi chiedendo aiuto a chi nel forum può aiutarmi a scegliere cosa fare (ovviamente in caso di inesattezze correggetemi!!!Angel).
Chiarisco intanto che cerco informazioni per un'uso individuale (quindi niente domini o active directory) anche se con l'arrivo del cloud non so se le cose possano considerarsi così semplici.
Quando anni fa, con windows 2000, uscì la possibilità di criptare digitalmente file o cartelle, iniziai a fare delle prove per valutare se valeva la pena usare questa funzione, qualche risultato lo ottenni ma i limiti in termini di sicurezza del sistema operativo, la manutenzione di antivirus/antimalware/firewall, gli extracosti dell'hardware, la complessità ... comunque mi scoraggiarono nel considerare il PC un luogo sicuro. Negli anni successivi, evolvendo con i sitemi operativi windows, ho sperimentato ulteriori difficoltà nel trasferire i dati dal "vecchio sistema operativo" a quello "nuovo". Ho iniziato a fare i backup ed ora, per praticità, uso l'immagine di sistema (windows 8) o quella di Acronis trueimage. Con l'arrivo di tablet, smartphone o comunque apparecchi che consentono di operare tranquillamente in mobilità mediate la rete, insieme alla "gratuità" dello storage sul cloud, è mia opinione che sia ormai inderogabile sapere quale tipo di sicurezza scegliere e come recuperare i dati qualora gli originali vengano sottratti o divengano inutilizzbili.

Quello che so:
I Sistemi Windows 2000/XP Pro/2003 integrano nativamente una funzionalità molto utile e potente che si chiama Encrypting File System (EFS). Grazie a questa funzionalità, nativa del File System NTFS, possiamo crittografare files e cartelle per metterli al riparo da occhi indiscreti.
L'obiettivo è quello di spiegare cosa è e come funziona l' Encrypting File System, puntando l'attenzione su quello che si deve e soprattutto su quello che NON si deve fare quando si utilizza questa funzionalità.

Un pò di teoria:
EFS utilizza uno specifico attributo per distinguere i files criptati; quando questo attributo è attivo, EFS memorizza il file in forma criptata e quando un utente autorizzato apre il file criptato, EFS lo decripta al volo in background.
Quando un file o una cartella deve essere criptato, EFS genera la cosiddetta File Encryption Key (FEK) ovvero un numero pseudo-casuale. Il sistema utilizza questo numero per crittografare il file con l'algoritmo Data Extended Standard X (DESX) e successivamente cripta la FEK con la Chiave Pubblica dell'utente e la memorizza in uno speciale campo chiamato Data Decryption Field (DDF) presente nell'header del file criptato.

Da segnalare che Windows XP aggiunge il supporto all'algoritmo 3DES (Triple Data Encryption Standard) e, a partire dal Service Pack 1, all'algoritmo Advanced Encryption Standard (AES) a 256 bit.

Quando un file criptato viene aperto o comunque utilizzato, il sistema utilizza la Chiave Privata dell'utente per decrittare la FEK quindi usa la FEK per decrittare il file. Quando si cripta un file o una cartella per la prima volta, il sistema genera automaticamente una coppia di chiavi Pubblica + Privata e un apposito Certificato di crittografia.

Il Certificato di crittografia e la relativa chiave privata possono essere memorizzati anche in una Smart Card consentendo, in questo caso, un livello di sicurezza più elevato grazie alla cosiddetta "Two-Factor Authentication" nella quale entrano in gioco due componenti distinti per l'accesso al sistema ovvero qualcosa che hai (la Smart Card) e qualcosa che sai (il PIN).

Ora la pratica:
Crittografare files e cartelle è semplicissimo: basta selezionare il file o la cartella, cliccare il tasto destro del mouse e selezionare "Proprietà", quindi cliccare sul pulsante "Avanzate..." e selezionare la casella "Crittografa contenuto per la protezione dei dati".
Da notare che se cripto una cartella, verranno crittati anche tutti i files e cartelle presenti al suo interno. Se copio dei files non crittati all'interno di una cartella criptata, i suddetti files verranno criptati automaticamente.

Per utilizzare i files criptati non è necessario decrittarli prima. E' il Sistema Operativo che effettua questa operazione in maniera assolutamente trasparente ed automatica.

LA PRIMA COSA DA FARE se si utilizza EFS, è quella di esportare il Certificato di crittografia con relativa Chiave Privata e salvare il file in un luogo sicuro. Per fare questo eseguire la seguente provedura:

Cliccare su Start -> Esegui digitare certmgr.msc e premere OK
Nella parte sinistra dello snap-in Certificati selezionare la cartella "Personale -> Certificati"
Evidenziare il certificato sulla parte destra quindi premere il tasto destro del mouse e selezionare "Tutte le attività -> Esporta..."

Verrà avviata la procedura guidata di esportazione del certificato. E' molto importante esportare anche la chiave privata perchè il solo certificato non è sufficiente per decrittografare i files.

Esportazione della chiave privata con il certificato: Esporta la chiave privata
Formato file di esportazione: lasciare le impostazioni predefinite
Password: inserire una password per proteggere il certificato esportato
File da esportare: digitare il nome e il percorso che si desidera assegnare al file

Dopo aver cliccato sul pulsante "Fine" verrà generato un file con estensione .pfx che dobbiamo conservare in un luogo sicuro.

La fase di importazione del certificato è ancora più semplice perchè è sufficiente fare doppio click sul nome del file esportato (quello con estensione .pfx) per avviare la procedura guidata di importazione.

Da notare che la procedura di importazione del certificato funziona anche su un utente diverso da quello che originariamente aveva crittografato i files. Quindi se il certificato esportato apparteneva all'utente Pippo, e successivamente l'utente Pippo è stato cancellato, io posso crearmi l'utente Pluto importare il certificato dell'utente Pippo e quindi avere accesso a tutti i files crittografati dall'utente Pippo.

In Windows 2000 la cosa è ancora piu' semplice perchè questo sistema operativo configura automaticamente l'utente "Administrator" come Agente di recupero Dati (DRA), quindi per avere accesso ai files crittografati di un altro utente è sufficiente loggarsi come utente "Administrator" e il gioco è fatto. In Windows XP invece per motivi di sicurezza, non viene creato alcun Agente di Recupero Dati predefinito ma, volendo, lo si può creare manualmente.

LE COSE DA NON FARE assolutamente senza aver prima esportato il certificato con la chiave privata sono le seguenti:

Cancellare il Profilo dell'utente o anche solo l'Utente che ha crittografato i files
Riformattare e/o Reinstallare il Sistema Operativo in quanto anche se ricreiamo lo stesso nome utente e la stessa password, i files crittografati dal vecchio utente NON potranno più essere recuperati.

Tip:

Come ho detto prima, Windows XP ha aggiunto il supporto all'algoritmo 3DES per la crittografia del file system. Di default questo algoritmo è disattivato e per attivarlo dobbiamo eseguire la seguente procedura:

Cliccare su Start -> Esegui, digitare gpedit.msc e premere OK
Sulla parte sinistra selezionare Configurazione Computer > Impostazioni di Windows > Impostazioni Protezione > Criteri Locali > Opzioni di Protezione
Sulla parte destra fare doppio click sulla voce "Utilizza algoritmi FIPS compatibili per crittografia..." e selezionare su "Attivato"

ATTENZIONE: A partire dal Service Pack 1 di Windows XP, viene utilizzato per default l'algoritmo AES a 256 bit per la crittografia del file system. Le modifiche introdotte dal service pack 1, rendono di fatto superata l'opzione che consente di attivare gli algoritmi FIPS compatibili (Tip). Attivando tale impostazione su computer dotati di Windows XP SP1 e successivi, si forza il sistema ad utilizzare la meno sicura crittografia 3DES a 168 bit. Attivando questa impostazione su computer dotati di Windows Vista o Windows Server 2008, verrà utilizzato comunque l'algoritmo AES a 256 bit.

(SEGUE)
Cita messaggio


Vai al forum:


Utenti che stanno guardando questa discussione: 1 Ospite(i)