שלום לכולם,
כאן דן ויזנפלד מצוות התמיכה של Microsoft.
כמעט כל אחד מאתנו עושה שימוש במידע אישי, שמסיבה כזו או אחרת, הוא אינו מעוניין לאפשר למשתמשים אחרים גישה אליו.
פתרונות האבטחה שמוצעים היום בשוק (חומות אש ותוכנות אבטחה שונות) יכולים לסייע לכם במצבים בהם קיימת כוונה של פורץ כזה או אחר לגשת למידע האישי שלכם מרחוק (וגם כן, לא בכל המצבים).
עם זאת, אף אחד מהפתרונות הללו לא יכול להגן עליכם במצב בו לאותו פורץ יש גישה פיזית ישירה למחשב שלכם.
Microsoft הציגה במערכות ההפעלה האחרונות (בכל הגרסאות העסקיות של מערכות ההפעלה החל מ-Windows 2000) יכולת הצפנה מתקדמת ביותר, הידועה בשם EFS – Encrypted File System.
במדריך הבא (המחולק לשני חלקים), אבקש להסביר לכם יותר על שיטת ההצפנה הזו – בטרם נלמד כיצד להפעילה וכיצד להשתמש בה.
למה חשוב להכיר את המנגנון לעומק?
1. בכדי למנוע מצבים טרגיים נפוצים בהם מצפינים קבצים מסוימים בצורה לא נכונה, ולאחר מכן לא ניתן לפתוח יותר את אותם הקבצים.
2. בכדי למנוע מצבים טרגיים לא פחות בהם ההצפנה בוצעה בצורה לא תקינה, ומידע שחשבתם שהוא מוצפן ומאובטח – בעצם גלוי לעיני כל.
טוב, אז לאחר שהבנו את חשיבות ההיכרות עם מנגנון ההצפנה, נלמד טיפה יותר על איך הוא עובד. אבל לפני שאגע ואסביר כיצד עובד המנגנון, חשוב להכיר כמה מונחים בסיסיים בתורת הקריפטוגרפיה:
הצפנה סימטרית –
שיטת הצפנה בה המפתח בו נעשה שימוש על מנת להצפין את המידע, הוא היחיד שגם יכול לשמש למטרת פענוח המידע שהוצפן.
כלומר, אם הצפנתי מידע באמצעות מפתח מסוים, עלי להעביר את אותו המפתח לנמען שלי יחד עם המידע שהוצפן, על מנת שהוא יוכל לפענח אותו.
הצפנה א-סימטרית –
שיטת הצפנה בה המפתח בו נעשה שימוש על מנת להצפין את המידע הוא אינו המפתח בו נעשה שימוש על מנת לפענח את המידע.
אפרט. שיטת הצפנה א-סימטרית ידועה כשיטה מאובטחת יותר מהשיטה הסימטרית, מאחר והיא מצמצמת מאוד את מרחב הפעולה של פורצים המעוניינים לשים את ידיהם על המידע.
הייחודיות של שיטה זו, נובעת מהעובדה שכל מידע שמוצפן באמצעות מפתח A, יכול להיות מפוענח אך ורק באמצעות מפתח B. מאידך, כל מידע שמוצפן באמצעות מפתח B, יכול להיות מפוענח אך ורק באמצעות מפתח A (אתם חייבים להודות שזה די מגניב 
).
השמות הידועים של המפתחות A ו-B הם בעצם מפתח פומבי ומפתח פרטי.
סיכום חוקי היסוד:
1. כל מידע שתצפינו באמצעות המפתח הפומבי שלי, יהיה מידע שרק אני אוכל לפענח. אם אתם רוצים לוודא שרק אני אוכל לגשת למידע מסוים, הצפינו אותו באמצעות המפתח הפומבי שלי.
2. כל מידע שאני אצפין באמצעות המפתח הפרטי שלי, יהיה מידע שכל אחד יוכל לגשת אליו באמצעות המפתח הפומבי שלי. אם הצלחתם לפענח מידע באמצעות המפתח הפומבי שלי, אתם יכולים להיות בטוחים מעבר לכל ספק שאני זה שהצפין אותו (באמצעות המפתח הפרטי שלי).
נחזור לעניינינו,
שיטת ההצפנה המתוחכמת EFS מבוססת על שתי שיטות ההצפנה – גם הצפנה סימטרית וגם הצפנה א-סימטרית!.
המנגנון קיים בכל הגרסאות העסקיות של מערכות ההפעלה ששווקו משנת 2000 (לרבות גרסת Ultimate של Windows 7 ו- Windows Vista).
בניגוד למנגנון ה-Bitlocker אשר מאפשר הצפנה של כוננים שלמים, שיטת ה-EFS מאפשרת להצפין קבצים בודדים ותיקיות.
המנגנון עובד בצורה הבאה: לאחר שתבחרו להצפין קובץ מסוים, הוא יהיה משויך בצורה אוטומטית למשתמש (User) שלכם. כלומר, ההצפנה הינה מבוססת משתמש (אף משתמש אחר במחשב לא יוכל לגשת אל הקובץ המוצפן).
ההצפנה של הקובץ עצמו נעשית באמצעות השיטה הסימטרית. זאת מכיוון ששיטה זו מאפשרת הצפנה של מידע רב יותר (קבצים גדולים) במהירות גבוהה יותר. ההצפנה נעשית בצורה השקופה למשתמש, כלומר – כתהליך המתרחש ברקע בצורה שאינה גלויה לעין. הצפנת הקובץ נעשית באמצעות מפתח הצפנה.
בשלב הזה באה לידי ביטוי שיטת ההצפנה השנייה - השיטה הא-סימטרית.
מפתח ההצפנה ששימש להצפנת הקובץ בשיטה הסימטרית, עובר כעת בעצמו תהליך של הצפנה (הצפנה על הצפנה), והפעם בשיטה הא-סימטרית. בשלב זה, נוצרים שני מפתחות הצפנה – מפתח פומבי (המוכר יותר בשם Certificate) ומפתח פרטי.
אם אתם חלק מארגון שיצר לעצמו מפתחות פומביים משלו, ייעשה שימוש במפתחות אלו ולא יווצרו מפתחות חדשים.
המפתח הפרטי משויך למשתמש, והוא לא ניתן להעברה. את המפתח הפומבי ניתן להעביר ממשתמש למשתמש בדרכים שונות (דוא"ל, כונן קשיח נייד, DiskOnKey וכו').
במידה והצפנתם מידע באמצעות המפתח הפרטי שלכם, תוכלו לשלוח את המידע בצירוף המפתח הפומבי שלכם לכל משתמש, והוא יוכל לגשת למידע בלי בעיה. כל משתמש אחר שלא קיבל מכם את המפתח הפומבי שלכם, ייתקל בהודעת "הגישה נדחתה"/”Access is denied”.
באותה מידה, יש ביכולתכם להצפין מידע באמצעות מפתח פומבי של משתמש אחר. כך, אך ורק אותו משתמש (באמצעות המפתח הפרטי שטבוע במשתמש שלו) יוכל לגשת למידע זה.
נקודות חשובות אחרונות לסיום:
1. על מנת להצפין קבצים, יש לוודא כי שיטת הקבצים בדיסק הקשיח שלכם היא NTFS. אם ברצונכם להעביר את המידע המוצפן באמצעות כונן קשיח נייד או DiskOnKey, יש לוודא כי גם ההתקן מפורמט בשיטת קבצים NTFS. תוכלו לבדוק את שיטת הקבצים של הכונן בצורה הבאה:
א. לחצו בו-זמנית על המקשים Start ("התחל", והידוע גם בכינויים מקש Windows או Winkey) ו-R.
ב. בחלון שנפתח, הזינו את הפקודה: Diskmgmt.msc. לחצו על OK (אישור) על מנת לאשר את הפעולה.
ג. בחלון שנפתח תוכלו לבדוק אם שיטת הקבצים של הכונן שלכם היא FAT32 או NTFS.
2. אם הצפנתם תיקייה מסוימת, כל המידע שקיים בתוכה (לרבות כל תתי-התיקיות) וכל הקבצים שאי פעם תעבירו אליה או תיצרו בתוכה – יהיו גם הם מוצפנים.
3. לא ניתן להצפין קבצים מכווצים (Compressed).
4. קבצים מוצפנים יסומנו בצבע ירוק, בניגוד לפונט השחור המוכר.
5. חשוב לגבות את מפתח ההצפנה הפומבי לקראת אפשרות של תקלה שעלולה לפגוע במפתח, או לקראת תקלה במשתמש. שימו לב שאם הצפנתם קבצים מסוימים ולא גיביתם כנדרש את המפתח הפומבי שלכם – כל המידע החשוב יאבד (בחלקו השלישי נלמד גם דרכים נוספות לגיבוי המפתחות).
6. המידע המוצפן אינו מוסתר מעיני משתמשים אחרים המכירים את שם המשתמש והסיסמא של משתמש המחשב שלכם (User). הקפידו לשנות סיסמא אחת לכמה חודשים.
7. משתמשים אחרים אשר לא הגדרתם להם גישה לקבצים שהוצפנו, יוכלו לראות אותם, אך לא לפתוח אותם ולעיין בתוכנם.
החלקים השני והשלישי של המדריך יעסקו בדרכי ההצפנה עצמן.
בחלקו הרביעי של המדריך, נלמד כיצד ניתן ליצור מפתחות Master באמצעותם ניתן לשחזר מידע שהוצפן גם בעת תקלה או אובדן של מפתח ההצפנה הפומבי.
עד כאן בנושא זה חברים.
אתם מוזמנים להגיב ולשאול שאלות בקישורית המתאימה:
שיהיה לכם המשך יום נעים.
דן