EFS (Encrypting File System), Microsoft Windows iÅŸletim sistemi üzeride dosya sistemi seviyesinde transparan ÅŸifreleme gerçekleÅŸtiren ve ilk kez NTFS ile tanıtılan bileÅŸendir. Dosya ÅŸifrelemesi, public anahtar çifti (asimetrik) ile ÅŸifrelenen bir simetrik anahtar kullanır. Bu kavram ile ilgili olarak “SSH Public Key (RSA ile) Kimlik Denetimi ve SSH Tunneling” baÅŸlıklı yazımızda asimetrik ve simetrik algoritmaların birlikte kullanımına dayalı hibrid kriptosistemlere kısaca deÄŸinmiÅŸtim. Åžimdi bu hibrid iÅŸleyiÅŸin EFS için nasıl gerçekleÅŸtiÄŸine bakalım;
Dosyaların yani doğal olarak verilerin yüklü miktardaki kısmının şifrelenmesi ve çözümlenmesi işlemleri bu konuda daha etkin ve verimli olan simetrik anahtar tarafından gerçekleştirilir. Bu anahtar File Encryption Key (FEK) şeklinde adlandırılmaktadır. FEK ise daha komplike matematiksel hesaplamalara ihtiyaç duyan ve bu nedenle daha yavaş fakat daha güvenli olan asimetrik kriptosistem ile şifrelenir. Hibrid sürecin bu ikinci şifreleme basamağı, şifrelemeyi gerçekleştirmekte olan kullanıcıya ait public anahtar tarafından gerçekleştirilir. Sürecin tersine işlediği çözümleme esnasında ise bu anahtar ile eşleşen private anahtara ihtiyaç duyulur.
EFS süreçlerinde kullanılan anahtar çifti kullanıcı kimliÄŸine bağımlı olup, kullanıcı ID’si ve ÅŸifresine sahip kiÅŸilerin ÅŸifrelenmiÅŸ dosyayı çözümleyebilmesine imkan tanır. Bu anlamda da pratikte koruma, ÅŸifre kalitesine ve paralelinde EFS kullanılan yerlerdeki güvenlik politikalarının sıkılığı ile yakından iliÅŸkilidir. Çalışma prensibi çerçevesinde bunun her ne kadar olaÄŸan bir durum olarak kabul edilmesi gerektiÄŸi kanısı bulunsada özellikle hassas uygulamalarda bir nevi zayıflık olarak nitelendirmesi mümkündür. Mantıken izinsiz fiziksel eriÅŸimin saÄŸlanabildiÄŸi terminallerde verinin ÅŸifrelenmiÅŸ olup olmadığı önemini yitireceÄŸi için aslında EFS’nin sunduÄŸu güvenliÄŸin direk olarak private anahtarın korunma ÅŸekline dayalı olduÄŸu kanısındayım.
Bu nedenle pratikte EFS, ÅŸifrelemede kullanılan private anahtarın Windows Vista’dan baÅŸlayarak akıllı kartlar üzerinde saklanabilmesi imkanı ile bir anlam ihtiva etmeye baÅŸlamıştır. EFS anahtarlarının saklanması için akıllı kart kullanımı, söz konusu anahtarların hard disk üzerinde saklanmasını engelleyebilmekte, buna baÄŸlı olarak özellikle orta ve büyük ölçekli iÅŸletmelerde güvenlik seviyesinde önemli bir artış saÄŸlamakta ve firma CA altyapısı çerçevesinde kullanıldığında anahtar yönetimini kolaylaÅŸtırmaktadır.
Yazının bu ilk bölümünde EFS’nin firma etki alanı ve olası bir CA altyapısından bağımsız olarak uygulanışını ve akıllı kart kullanımı ile nasıl birleÅŸtirileceÄŸini Vista iÅŸletim sistemi üzerinde inceleyeceÄŸiz.
Bir CMD ekranı açarak secpol.msc komutu ile Local Security Policy editörünü açın. Public Key Policies nodunu geniÅŸleterek Encrypting File System‘i saÄŸ tıklayarak Properties menüsünü seçin. Açılan pencerede karşınıza gelecek olan General tab menüsü altında File encryption using Encrypting File System (EFS): bölümünde “Allow“, Options bölümünde ise “Require a smart card for EFS” seçeneklerini aktifleÅŸtirmek, EFS’yi etkinleÅŸtirmek ve EFS için akıllı kart kullanımını zorunlu kılmak için iki ana adımdır. Certificates bölümünde yer alan ve varsayılan ÅŸekilde seçili gelen “Allow EFS to generate self-signed certificates when a certification authority is not available” seçeneÄŸi ise bu uygulamamızda olduÄŸu gibi bir etki alanına dahil bulunmadığımız ve mevcut bir CA (Certification Authority) kullanmadığımız durumlarda EFS’nin kendi sertifikalarını yaratabilmesine imkan verebilmek içindir. Bu seçeneÄŸin hemen altında yer alan “Key size for self-signed certificates:” kısmında dikkat etmemiz gereken husus, burada seçili olan anahtar büyüklüğünün akıllı kartımızın desteklediÄŸi bir büyüklük olması gerektiÄŸidir.
Performans optimizasyonu amacıyla EFS bir sertifikayı kullandığında bu sertifika ve ilgili anahtarlar yerel sistemin önbelleÄŸinde bir süre muhafaza edilir. Bu süre, Cache tab menüsünde yer alan Cache timeout alanında dakika cinsinden ifade edilir. Cache timeout, tanımladığınız süre zarfında kullanıcı ÅŸifrelenmiÅŸ verilere her baÅŸvurduÄŸunda akıllı kart PIN kodunun tekrar sorulmasını engelleyecektir. Bu süre dolduktan sonra ÅŸifrelenmiÅŸ veriye ilk eriÅŸim talebinde PIN kodunun girilmesi zorunlu hale gelecektir. “User locks workstation” seçeneÄŸini iÅŸaretlerseniz PC’nizi kilitlediÄŸinizde ve ya PC’nizi restart ettiÄŸinizde cache temizleneceÄŸi için yine ÅŸifrelenmiÅŸ verilerinize eriÅŸmek istediÄŸinizde PIN kodunuzu tekrar girmeniz istenecektir. ÖnbelleÄŸin temizlendiÄŸinden emin olmak için akıllı kartı okuyucudan çıkartmak ise bir diÄŸer fiziksel önlemdir.
SeçeceÄŸiniz veya yeni oluÅŸturacağınız herhangi bir klasörün ve içerisindeki dosyaların EFS ile ÅŸifrelenmesi saÄŸlamak çok pratik bir iÅŸlem. Klasöre saÄŸ tıkladığımızda açılacak olan Properties penceresinin alt kısımda yer alan Attributes bölümünde göreceÄŸiniz Advanced menü butonunu kullanarak açacağınız Advanced Attributes penceresinin en altındaki “Encrypt contents to secure data” kutucuÄŸunu iÅŸaretlemeniz yeterli.
Önceki adımda Local Security Policy ekranında akıllı kart kullanımını etkinleÅŸtirdiÄŸimiz için EFS’yi OK ve ardından Apply butonu ile uygulamaya sokmaya çalıştığımızda aÅŸağıdaki dialog ekranı ile karşılaÅŸacağız;
Akıllı kartınızı (veya USB etoken aygıtınızı) okuyucuya yerleÅŸtirdikten sonra Create a new smart card certificate seçeneÄŸine tıklayın. AÅŸağıda gördüğünüz ÅŸekilde “The card is being shared by another process. However, the card is not the one being requested, and cannot be used for the current operation.” hatasını alıyor ve iÅŸleme devam edemiyorsanız http://support.microsoft.com/default.aspx?scid=kb;en-us;955548&sd=rss&spid=12925 linkini ziyaret ederek probleme iliÅŸkin yamayı indirin ve sisteminize uygulayın.
HotFix ile vakit kaybetmek istemiyorsanız alternatif olarak Control Panel -> User Accounts içerisinde sol tarafta bulunan Manage your file encryption certificates menüsünü kullanarak işleme farklı bir yoldan devam etmekte mümkün;
Create a new certificate seçeneğini işaretleyerek Next ile devam ediyoruz;
A self-signed certificate stored on my smart card seçeneÄŸi ile devam ettiÄŸimizde akıllı kartımıza iliÅŸkin PIN kodu sorgulama ekranı açılacaktır. Kodu girdiÄŸimizde yeni EFS sertifikası akıllı kartımıza yüklenecek ve akabinde Update your previously encrypted files baÅŸlığını taşıyan yeni bir dialog ekranı ile karşılaÅŸacağız. Bu ekranda Folders: alanı içerisinde yeni EFS sertifikası ile iliÅŸkilendirmek istediÄŸimiz ÅŸifrelenmiÅŸ dosyaları içeren/içerecek klasörleri el ile seçerek güncellenmelerini saÄŸlayabilir ve ya I’ll update my encrypted files later seçeneÄŸi ile bu iÅŸlemi sonraya bırakabiliriz.
Herhangi bir klasörü veya klasörleri işaretleyerek güncellenmelerini talep etiğinizde tekrar akıllı kart PIN kodunuzu girmeniz istenecektir. Sertifika detaylarının bulunduğu son ekranda View certificate butonunu kullanarak yeni sertifikanızı görüntüleyebilirsiniz.
Bu noktadan sonra yukarıda bahsetmiÅŸ olduÄŸum “Encrypt contents to secure data” seçeneÄŸi ile EFS etkinleÅŸtirdiÄŸiniz klasör(ler) içerisinde yer alan tüm dosyalar gibi bu klasör(ler)e sonradan taşıyacağınız tüm yeni dosyalar da otomatik olarak ÅŸifrelenecektir. Åžifrelemenin gerçekleÅŸtiÄŸini, ÅŸifrelemeye konu objelerin isimlerine iliÅŸkin font renginin yeÅŸile dönmüş olması sayesinde farkedebilirsiniz. Bu iÅŸlemi sadece klasör bazında deÄŸil, dilerseniz tek tek dosya bazında da gerçekleÅŸtirebilirsiniz. Böylece hangi dosyaların ÅŸifrelenip hangilerinin ÅŸifrelenmeyeceÄŸini manüel olarak tayin edebilirsiniz.
EFS, ÅŸifrelenmiÅŸ dosyaları bulunduÄŸu NTFS’ten farklı bir dosya sistemine transfer edilirken de korumak üzere tasarlanmamıştır. Bu nedenle ÅŸifrelenmiÅŸ dosya ve klasörler, FAT32 gibi bir baÅŸka dosya sistemi ile biçimlendirilmiÅŸ disk bölümlerine veya SMB/CIFS protokolleri kullanılarak aÄŸ üzerinden bir baÅŸka depolama alanına transfer edilmeden önce decrypt edilirler.
Örneğin encrypt edilmiş herhangi bir klasörü copy/paste yöntemiyle NTFS olarak biçimlendirilmiş harici bir USB hard disk sürücüsüne taşıdığınızda söz konusu klasör ve içerdiği tüm dosyalar encrypted özelliklerini yitirmeden transfer edilebilirlerken, aynı klasörü yine aynı yöntemle FAT biçimli bir USB Flash sürücüsüne kopyalayıp yapıştırmaya çalıştığınızda işlemin şifrelemenin kaldırılarak tamamlanabileceğini hatırlatan ve onayınızı bekleyen aşağıdaki uyarı mesajları ile karşılırsınız;
Onayladığınızda transfer gerçekleşecek, klasör ve içeriği çözümlenerek yeni konumuna şifrelenmemiş şekilde yerleştirilecektir.
Makalenin 2. bölümünde EFS sertifikasının yedeklenmesi, kurtarma sertifikasının (recovery certificate) oluşturulması, şifreleme anahtarının kaybolması veya zarar görmesi durumunda şifrelenmiş verilerin kurtarılması konuları üzerinde duacağız.
RSS feed for comments on this post.
