1 / 96

第 16 章 資料加密與壓縮

第 16 章 資料加密與壓縮. 本章重點. 16 - 1 資料加密 16 - 2 允許他人解密 16 - 3 資料加密修復代理 16 - 4 資料壓縮. 資料加密與壓縮. Windows Server 2008 對於 NTFS 的資料夾與檔案 , 提供了加密和壓縮功能 , 前者能保護機密資料;後者則可節省硬碟的儲存空間 , 都是相當實用的功能。 本章將介紹它們的使用時機、工作原理和注意事項。. 16 - 1 資料加密.

tyrone-patton
Download Presentation

第 16 章 資料加密與壓縮

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 第 16 章 資料加密與壓縮

  2. 本章重點 • 16 - 1 資料加密 • 16 - 2 允許他人解密 • 16 - 3 資料加密修復代理 • 16 - 4 資料壓縮

  3. 資料加密與壓縮 • Windows Server 2008 對於 NTFS 的資料夾與檔案, 提供了加密和壓縮功能, 前者能保護機密資料;後者則可節省硬碟的儲存空間, 都是相當實用的功能。 • 本章將介紹它們的使用時機、工作原理和注意事項。

  4. 16 - 1 資料加密 • Windows Server 2008 對資料夾與檔案的加密功能稱為EFS(Encrypting File System, 加密檔案系統)。 • 啟用此功能後, EFS 在存檔時會先將資料加密後再寫入;而讀取加密過的檔案時, 也會自動先解密。 • 換言之, 加密與解密動作都是由系統在幕後自動執行, 使用者在操作上毋須做任何改變。

  5. EFS 的使用時機 • 一般而言, 加密大多是應用在透過公開媒體傳遞訊息的情況, 例如:透過網際網路傳遞重要的信件、進行電子商務交易等等。 • 既然如此, 為何需要對儲存在硬碟的資料夾與檔案加密呢? • 只要設定適當的存取權限, 限制未獲授權的使用者不得存取檔案, 不就可以保障個人資料的隱私嗎?

  6. EFS 的使用時機 • 透過存取權限來保護資料夾與檔案, 雖然在大多數的情況下都很安全, 但仍有其無法避免的漏洞。 • 舉例而言, 若有人偷走整部主機或整部硬碟, 然後將硬碟安裝到其它的 Windows Server 2008 系統, 此時原先所設定的存取權限保護就會失去作用, 對方就能存取該硬碟裡的資料。 • 然而若事先將檔案加密, 那麼他便無法看到真正的內容。

  7. EFS 的使用時機 • 雖然在理論上, 對方仍可用破解的方式將加密的資料還原, 但實際上此種作法需擁有運算能力強大的電腦, 再加上足夠長的運算時間, 這樣高的門檻已經不是一般駭客族所能跨越。 • 所以 EFS 已經可以為多數人的資料提供足夠的保護能力。

  8. 對稱式加密與非對稱式加密 • 所謂的加密 (Encrypt), 是將『有意義』的內容經過特定的處理後變成『沒有意義』的內容。 • 加密前的內容稱為明文文字 (Plain text), 加密後的內容則稱為加密文字 (Cipher 或 Cipher text)。 • 加密過程需要一組字串參與運算, 這組字串稱為秘鑰 (Secret Key)。 • 秘鑰的長度愈長、加密時愈花費時間, 但是也愈不容易被破解。

  9. 對稱式加密與非對稱式加密 • 加密的方式可區分為對稱式 (Symmetric) 與非對稱式 (Asymmetric) 兩種。 • 對稱式加密法又稱『秘鑰加密法』(Secret-key Cryptography), 是在加密和解密時, 使用同一把秘鑰參與運算, 如下圖。

  10. 對稱式加密與非對稱式加密 • 非對稱式加密又稱為『公開金鑰加密法』(Public-key Cryptography), 在加密和解密時使用不同的一把秘鑰。

  11. 對稱式加密與非對稱式加密 • 通常會公開其中一把秘鑰, 因此將該秘鑰稱為公開金鑰 (Public key), 另一把則妥善保管, 稱為私密金鑰 (Private key)。 • 凡是以私密金鑰加密者, 必須以公開金鑰解密。 • 反之, 以公開金鑰加密者, 必須以私密金鑰解密, 這便是非對稱式加密法的最大特點, 如下圖。

  12. 對稱式加密

  13. 非對稱式加密

  14. EFS 的工作原理 • 使用者首次啟用加密功能時, EFS 會自動為其產生一把公開金鑰和一把私密金鑰, 並執行以下的工作 (以檔案加密為例): • 1. 對於每一個要加密的檔案, 隨機產生一把用來加密的金鑰, 該金鑰稱為 FEK (File Encryption Key)。 • 2. 使用 FEK 以對稱式加密法將檔案內容加密。 • 3. 以加密者的公開金鑰, 將這把 FEK 以非對稱式加密法加密。

  15. EFS 的工作原理 • 4. 將加密後的 FEK 與加密後的檔案一同存放。 • 簡而言之, EFS 先用 FEK 保護檔案, 再用加密者的公開金鑰保護 FEK, 同時用到了對稱式加密法和非對稱式加密法, 不但享有前者處理速度快的優點, 同時也擁有後者安全性較佳的長處。

  16. EFS 的工作原理 • 當加密者讀取檔案時, EFS 則會執行以下動作: • 1. 以加密者的私密金鑰解開加密的 FEK。 • 2. 以 FEK 將檔案解密。 • 若非加密者嘗試讀取檔案, 會因為私密金鑰不同而無法解開加密的 FEK, 沒有 FEK 自然就不能將檔案解密了。

  17. EFS 的工作原理

  18. 使用 EFS 時的注意事項 • 使用加密功能時要注意以下 3 點: • 1. 不能對於具有『系統』屬性的檔案加密, 也不能對 %systemroot%(預設是 C:\Windows)資料夾加密。 • 2. 對於同一檔案或資料夾, 不能既加密又壓縮, 只能擇一使用。 • 3. 不能對整部磁碟機加密。

  19. 啟用資料夾加密 • 使用加密功能時, 比較好的作法是對資料夾設定加密。日後在此資料夾中建立新的檔案或複製檔案到此 資料夾時, 檔案就會自 動被加密。 • 將資料夾設 為加密的步 驟如下:

  20. 啟用資料夾加密

  21. 啟用資料夾加密

  22. 啟用資料夾加密

  23. 啟用資料夾加密 • 如果要加密的資料量很大, 加密的時間會久一點。 • 完成後, 在右下角的通知區域會出現以下的訊息:

  24. 啟用資料夾加密 • 在後文會介紹備份加密金鑰的方式, 所以目前暫時不必理會該訊息。若開啟檔案總管視窗, 便可以看出加密之後的差異:

  25. 啟用資料夾加密 • 如前所述, 加密和解密作業都是由系統在幕後執行, 所以在加密之後, 存取檔案時並沒有什麼差異。 • 但是對於非加密者來說, 即使有讀取檔案的權限, 實際開啟時會看到以下的交談窗:

  26. 啟用資料夾加密 • 此外, 資料夾加密有一個特殊限制--不能對根目錄(Root Directory)加密! • 因為對根目錄的檔案及其子資料夾都加密, 就等於對整部磁碟機加密--這就違反了前述的第 3 點注意事項。

  27. 啟用檔案加密 • 檔案加密與資料夾加密的設定方式類似, 請參考以下步驟:

  28. 啟用檔案加密

  29. 啟用檔案加密 • 按兩次確定鈕

  30. 啟用檔案加密 • 倘若複選多個檔案一次加密, 而且在上圖未曾勾選永遠只加密檔案多選鈕, 則上述的加密警告交談窗會針對每個檔案逐一詢問。 • 利用上述方式, 便可以在未加密的資料夾中, 將特定的檔案加密。 • 不過還是建議系統管理員避免對個別的檔案加密, 以方便管理。

  31. 備份加密金鑰 • 當我們初次啟用加密功能時, 系統會提醒要備份加密金鑰。 • 其主要的目的是考慮到自己的帳戶被誤刪或帳戶資料庫損毀, 都會導致再也無法將加密檔予以解密, 這些加密檔案便成為『孤兒檔案』--因為無人能解讀其內容! • 即使系統管理員重建一個相同名稱的帳戶, 由於會重新產生公開金鑰與私密金鑰, 必定與先前加密時所用的不同, 因此仍無法對原先的加密檔解密。

  32. 備份加密金鑰 • 要解決這個問題, 有以下三種方案: • 1. 加密者自行備份加密金鑰。 • 2. 由加密者設定讓其它人也能解密。 • 3. 由系統管理員設定『資料加密修復代理人』。 • 其中以第一個方案最單純, 因為不涉及他人, 完全由自己掌控, 所以先介紹, 後兩個方案則留在後文。

  33. 備份加密金鑰 • 先前曾提到, 初次加密後會出現備份您的檔案加密金鑰訊息, 之後縮小為通知區域的圖示, 若要備份加密金鑰時請點選該圖示:

  34. 備份加密金鑰 • 接著連按兩次下一步鈕, 會看到以下的交談窗: • 按下一步鈕

  35. 備份加密金鑰 • 按下一步鈕

  36. 備份加密金鑰 • 爾後萬一遇到解不開自己加密的檔案時, 請參考 16-22 頁, 匯入當初所備份的金鑰, 便能解決問題。

  37. 搬移或複製對加密資料的影響 • 由於『加密』是存在於 NTFS 檔案系統的一種屬性, 所以若將加密的檔案搬移到非 NTFS 檔案系統的儲存媒體, 該檔案就會自動被解密。 • 例如:磁碟片、光碟、磁帶和 USB 隨身碟等等。 • 同理, 複製到 FAT / FAT32 檔案系統的硬磁時, 複製過去的檔案也是未加密。 • 當檔案要以非加密狀態儲存時, 系統會顯示以下的交談窗提醒使用者。

  38. 搬移或複製對加密資料的影響 • 至於複製或搬移到其它 NTFS 資料夾, 檔案仍保持加密屬性。

  39. 16 - 2 允許他人解密 • 如果檔案需要加密, 卻又得提供給非加密者讀取, 該怎麼辦呢? • 以企業來說, 兩位副總經理互為職務代理人, 因此必須能互相讀取對方加密過的檔案。 • 此時加密者本人即可指定讓誰也能解開特定的檔案, 換言之, 等於是設定誰能與自己『共享加密檔案』。

  40. 允許他人解密 • 請加密者對自己加密的檔案按右鈕, 執行『內容』命令:

  41. 允許他人解密

  42. 允許他人解密

  43. 允許他人解密

  44. 允許他人解密

  45. 允許他人解密 • 接著再按 2 次確定鈕完成設定。 • 爾後 Brave 帳戶登入網域後, 就會發現也可以對 CH14.txt 這個檔案解密, 讀到正確的內容。 • 不過以上的方式只能針對個別的檔案來設定, 不能對於資料夾來設定。

  46. 允許他人解密 • 而且在選擇誰也能解密時, 可能會遇到除了加密者本人外, 無其它帳戶可選的情形, 如下圖:

  47. 允許他人解密 • 這是因為若要有解密能力, 必須擁有公開金鑰和私密金鑰-可是 EFS 只會對於『曾使用過』加密功能的使用者產生這對金鑰。 • 因此, 必須先請使用者登入並加密任意一個檔案, EFS 便會產生他的一對金鑰, 之後他的帳戶名稱就會出現在加密檔案系統交談窗以供選取。

  48. 16 - 3 資料加密修復代理 • 雖然 EFS 提高了檔案的保密性, 但是卻可能衍生出問題, 例如:刪除了某個離職員工的帳戶後, 才發現還有重要的文件是以該帳戶加密。 • 或者因為硬碟損壞, 導致遺失某些帳戶的私密金鑰, 這些情形都會產生無人能解開的『孤兒檔案』。 • 所幸 EFS 還有留一扇『後門』, 這扇後門便是修復代理(Recovery Agent) 機制。

  49. 資料加密修復代理 • 利用此機制, 系統管理員可指定以特定帳戶為修復代理人, 而修復代理人可將任何使用者加密的檔案解密, 如此就能避免因刪除帳戶, 而無法解密的情形了。

  50. 修復代理的原理 • 先前說過 EFS 會將 FEK 以檔案加密者的公開金鑰加密後, 與檔案一起存放。 • 其實這只是說了一半, 另一半則是:『如果指定了修復代理人, EFS 也會將 FEK 以修復代理人的公開金鑰加密後, 與檔案一起存放』! • 換言之, 每個檔案伴隨著兩把加密過的 FEK, 一把以加密者的公開金鑰加密;另一把以修復代理人的公開金鑰加密。

More Related