סוגי הצפנות:
1) הצפנה
סימטרית (Symmetric
Encryption)
– המפתח שמצפין הוא המפתח שפותח.
2) הצפנה
א-סימטרית (Asymmetric) – מפתח אחד מצפין ומפתח
אחד פותח.
א.
Public Key
– זהו המפתח שמצפין.
ב.
Privet Key
– זהו המפתח שפותח את ההצפנה.
אופן ההצפנה של מייקרוסופט:
1) החל מ WIN NT4, SP5 שולבה הצפנה.
2) קובץ
יוצפן סימטרית – וזאת בכדי שתתאפשר קריאה וכתיבה מהירה.
3) המפתח הסימטרי
יוצפן באופן א-סימטרי.
4)
הקוד הא-סימטרי מושם ב-Header בקובץ ששמו DDF (Data Decryption Field).
הערות:
1) המשתמש
אינו מודע למתרחש. מבחינתו מדובר ב-Check Box
ולא יותר.
2) ה-Privet Key נשמר בפרופיל בתוך ה-Registry.
3) אם מבצעים
איפוס סיסמא של משתמש ה-Privet Key
מתאפס ואין גישה לקובץ המוצפן, למעט אם יצרת גיבוי לפני. שכן המשתמש לא נדרש לספק
סיסמא ישנה ולכן יש חשש שהוא אינו המשתמש המקורי. מכאן איפוס הסיסמא עשוי לגרום
לאיבוד מידע בלתי הפיך. שינוי סיסמה דרך CTRLּDEL+ALT+ לא ימחק את ה Privet Key!
4)
שינוי סיסמא (Change Password) אינו מאפס Privet Key כיוון שאנו יודעים מה הסיסמא הישנה. הוא
פשוט מקשר את זה לסיסמא לחדשה.
אופן ביצוע ההצפנה בפועל:
קבצים:
1) לוחצים
עכבר ימני על קובץ רצוי
2) Properties
3) General
4) לחיצה על Advance בסעיף Attributes
5)
סימון Check Box "Encrypt Contents to
Secure Data"
הערות:
1) הקובץ
לאחר ההצפנה יקבל צבע.
2)
אם נעתיק את הקובץ ל-Desktop הוא יבטל את הצבע אך יישאר מוצפן (כדי שאם
פרצו לא ידעו שהוא מוצפן).
העברת קבצים מוצפנים:
1) בוב שולח Public Key לאליס. ה-Privet Key שמור אצל בוב בפרופיל
2) אליס
מצפינה את הקובץ שלה עם ה-Public Key
של בוב (רק בוב יכול לפתוח את הקובץ)
3) הקובץ
נשלח לבוב
4)
ולהפך
MIM Attack (Man In The Middle Attack):
1) האקר שולח
לאליס Public Key שלו כאשר הוא מתחזה לבוב
(ה-Privet Key נמצא אצל ההאקר)
2) אליס
שולחת את הקובץ מוצפן עם ה-Public Key
של ההאקר
3)
ההאקר מקבל את הקובץ ומשתמש ב-Privet Key שלו
כדי למנוע את המתקפה הזאת מייקרוסופט
החליטה שה-Public
Key
מיוצג ע"י רכיב שנקרא Certificate.
Certificate (חתימה דיגיטלית) – ייצוג ל-Public Key שמוכיח שהמשתמש אכן הוא המשתמש. Certificate נכתב בטכנולוגיית Cryptographic Tech. הוא עצמו כתוב בצורה מוצפנת. ההצפנה נעשית
ברמת הביטים. שינוי של ביט אחד פוסל את ה-Certificate.
אם כן נשאלת השאלה: אף על פי ש-Certificate מוכיח את זהות המשתמש הואיל וההצפנה יוצרת Privet Key ו-Public Key, גם ההאקר אם הצפין קובץ במחשב שלו נוצר Public Key שמיוצג ע"י Certificate, איך אליס תדע לא לסמוך על ה-Certificate שלו וכן לסמוך על זה של בוב?
דרכים לקבלת Certificate:
הגדרות:
1) EFS (Encrypted File System) – שיטת ההצפנה של
מייקרוסופט. מייצרת לעצמה Certificate.
2)
CA Server (Certificate Authority Server) – שרת ליצירת Certificates.
|
אופן קבלת ה-Certificate
|
מתי נשתמש
|
אופן העברה
|
|
EFS
|
אני
לעצמי
בין שני
אנשים פרטיים
|
נדרש
להעביר את ה Certificate
על USB
|
|
CA
Server
|
אוטנטיקציה
בתוך הארגון.
|
|
|
חברות
חיצוניות:
Thawte
Verisign
|
אוטנטיקציה
מול צד שלישי.
|
חברות
מסוימות שמופיעות ברשימת MS.
|
צפייה וניהול Certificates:
1) נכנסים ל-MMC
2) File
3) Add
Snap-In
4)
בוחרים ב-Certificates
מאפשר לי לראות את ה-Certificates של המשתמש בתיקיית Personal. כמו כן, ניתן לבצע Export ל-Public Key. בסוף המהלך של ה-Export יתקבל קובץ עם סיומת .cer זהו ה-Public Key שניתן לשלוח לאליס במייל. בנוסף ניתן בזמן
ה-Export לקבוע שגם ה-Privet Key יגובה. במידה וגיבינו גם את ה-Privet Key ייווצר בתום הגיבוי קובץ .pfx שמכיל גם את ה-Public Key.
הערה: זיהוי באיזה Certificate הצפנו את הקובץ תהיה ע"י כפתור Details. נביט ב-Thumbprint ונשווה לפי ה-Thumbprint של ה-Certificate עצמו בממשק Certificates ב-MMC.
זיהוי Certificate:
1) עכבר ימני
על קובץ מוצפן
2) Properties
3) כפתור Advanced ב-Attributes
4) כפתור Details ליד Encrypted
5) Thumbprint – הערך הוא
הזיהוי
6)
בכלי ניהול ה-Certificates עכבר ימני על ה-Certificate הרצוי והשוואה ל-Thumbprint המוכר.
גיבוי Privet Key ו-Public Key:
1) עכבר ימני
על ה-Certificate הרצוי ובחירה All Tasks
2) Export
3) במידה וזה
Privet Key, מתן סיסמא.
4)
שמירה
הפעלת Privet Key או Public Key מגובה:
1) לחיצה
כפולה והפעלה
2)
לחילופין דרך ה-MMC באמצעות אפשרות Import
DRA (Data Recovery Agent):
משתמש / משתמשים שה-Public Key שלהם יופץ ע"י שרת אל המחשבים שאני
אבחר. כאשר המשתמשים שעובדים על מחשבים אלו יצפינו קובץ הקובץ יוצפן עם ה-Public Key שלהם וגם עם ה-Public Key של ה-DRA.
DRF (Data Recovery Field):
אנו יודעים ששם ה-Header שבקובץ שבו מוצפן המפתח הסימטרי נקרא DDF. בעבור ההצפנה של ה-DRA מוגדר Header חדש בקובץ שנקרא DRF. שניהם מתנהגים זהה. אולם DDF ניתן להגדיר ולשנות ע"י משתמש ו-DRF רק שרת יכול להגדיר ולמשתמש אין אפשרות
לשנות מידע.
הגדרות DDF:
1) יצירת Certificate ליוזר חדש ע"י ביצוע הצפנה של קובץ חדש
תוך כדי שימוש ביוזר (אם כבר קיים Certificate
אין צורך ליצור חדש)
2) עכבר ימני
על קובץ שהוצפן
3) Properties
4) Advanced
5) Details (ליד Encrypt)
א.
Add (Users Who Can Access The File) – להוסיף
ב.
Remove (Users Who Can Access The File) – למחוק
ג.
Backup (User Who Can Access The File) – יצירת גיבוי למפתחות
(בעת גיבוי משתמש אחר יגובה רק ה-Public Key)
בוחרים בשם שאותו אנו רוצים להוסיף
