efs ile şifrelenmiş dosyaları açabilmeniz için şifrelerken bir anahtar dosya oluşturmış olmanız lazım, anahtar dosya yoksa açamazsınız.
EFS: Verilerinizi Windows XP ile şifreleyin
Bedavaya veri güvenliği
Akıllı veri hırsızları, her şekilde bilgisayarınıza girebiliyorlar. CHIP, sadece Windows ile beraber gelen programları kullanarak verilerinizi nasıl bedavaya şifreleyebileceğiniz! gösteriyor.
HIRSIZLAR SADECE DİZÜSTÜ bilgisayarlarla yetinmeyip, arşivlerinizi ve çok değerli çalışmalarınızı da hedef alıyorlar. Kurban için ise bu iki kat zarar anlamına geliyor, çünkü bu sefer kaybedilenler hem pahalı donanımlar, hem de saatler süren çalışmalarınız olu¬yor. Verilerinizin yedeğini alsanız bile ye¬deği korumak zorunda kalıyorsunuz, çünkü bu sefer hırsız oraya yönelebiliyor. Bunu engellemek için de önemli verileri¬nizi şifrelemeniz şart. Microsoft'un dosya sislemi NTFS bu Özelliği, Encrypting File System (EFS) adı altında kullanıcılarına sunuyor.
> Dosya şifreleme için hazırlıklar
Microsoft'un dosya sistemi NTFS'e bir şifreleme Özelliği yerleştirilmiş. Kullanıcı¬lar için bu, aynı anda hem yüksek güven-
lik, hem de rahat kullanım anlamına geli¬yor. Encrypting File Syslem (EFS) ile şif¬releme yapmak isteyenler, öncelikle sabit disk üzerinde bir NTFS dosya sistemine sahip olmalılar. Çünkü EFS yeni bir dosya sislemi değil, sadece NTFS dosya sistemi¬nin yeni sürümlerinde bulunan bir özel¬lik. Bu bilgisayarınızda en az Windows 2000 ya da XP Professİonal işletim sistem¬lerinden birinin kurulu olması gerektiği anlamına geliyor. Dikkat: Microsoft, şifre¬leme özelliğini Windows XP'nin sadece Professİonal sürümüne koymuş, Home Edition bu özelliğe sahip degii. Bu nokta¬da Windows XP Professİonal, NTFS'in daha gelişmiş evcilikler sunan bir sürü¬müyle, NTFS 3.1 ile ön plana çıkıyor. Herhangi bir disk bölümüyle ilgili bilgi almak için komut satırına "fsutil fsinfo ntfsinfo c:" yazmalısınız. EFS, hem Home Edition'da hem de Professional'da mev¬cut ve kolay bir yükleme ile kullanıma ha¬zır hale geliyor, yani en azından NTFS dosya sistemine sahip bilgisayarlarda.
#9658; Dosya sistemini anlamak
Windows XP sadece NTFS dosya sistemi¬ne değil, aynı zamanda FAT32 dosya sistemine de yüklenebiliyor. Eğer sabit diskinizdeki dosya sisteminin hangisi olduğu¬nu bilmiyorsanız, Gezgin ile bu bilgiye ulaşabilirsiniz. Mesela C: sürücüsüne sağ tuşla tıklayın ve özellikler seçeneğine ge¬lin. Genel sekmesinden sürücünüzün dos¬ya sistemini öğrenebilirsiniz. Aynı bilgile¬re, komut satırına "fsutil fsinfo volumein-fo c:\" komutunu girerek de ulaşabilirsi¬niz. Sabit disk üzerinde birden fazla bölüm varsa, "diskpart" aracıyla bilgilere
hızlıca göz alabilirsiniz. Bunun için "disk-part" komutunun ardından "list volume" komutu girmelisiniz.
#9658; Bütün EFS bilgileri
EFS ile şifreleme yapacak herkes için "efsinfo" aracı son derece kullanışlı bir komut satırı aracı. Bu aracı Windows XP CD'sinin /Supporl/Tools bölümünden yükleyebilirsiniz. Yüklemeden sonra efsinfo aracı ile hangi dosyaların ve alt kla¬sörlerin şifrelenmiş olduğunu, hangileri¬nin de şifrelenmeye uygun olduğunu öğ¬renebilirsiniz.
#9658; FAT32'den NTFS'e
FAT32 dosya sistemine sahip olan fakat yine de şifrelemeyi kullanmak isteyenler, dosya sistemlerini NTFS dosya sistemine dönüştürmek zorundalar. Bunu yaparken ek bir araca İhtiyacınız yok, ayrıca veri kaybı da söz konusu değil. Windows XP'nin "convert" aracıyla bunu yapabilir¬siniz. Dikkat: convert aracı, FAT32'den
NTFS'e dönüştürme işlemini geri alamı¬yor. Komut satırına "convert c: /fs:ntfs /v" komutunu girerek C sürücünüzün dosya sistemini NTFS'e dönüştürebilirsiniz.
#9658; Verileri şifreleme
Şifrelenmiş dosyalarla çalışırken risk ala¬mazsınız, bu yüzden Windows şifrelemeyi gerçek zamanlı olarak yada komut satırı üzerinden yapabiliyor.
Bir dosya veya klasör şifrelemek İster¬seniz, sağ tuşla tıklayın ve Özellikler seçeneğine tıklayın. Açılan penceredeki Genel sekmesinden Gelişmiş bölümüne girin.
Veriyi korumak için içeriği şifrele yazısı¬nın yanındaki kontrol kutusuna tıklayın. Sonraki pencerelerde OK butonuna tıkla¬yarak bu isteğinizi onaylayın. Şifrelemeyi alt klasörler için de geçerli kılan seçeneği de işaretleyin. Böylece şifrelenmiş dosya¬lara daha kolay göz gezdirebilirsiniz.
Windows, dosyaları ve klasörleri şifre¬liyor. Bu dosya ve klasörler gezginde yeşil renk ile belirtiliyor. Bu renklendirmeyi sağlayan Kayıt Defteri değeri "HKEY_ CURRENT_USER\Software\Mİcro-so ft \Wi ndo ws \ C u rre n t Ve rs i o n\ Exp I o re r" altındaki AltEncryptionColor.
#9658; Komut satırı ile şifreleme
F.n kolay şifreleme \Vindows gezgini üze¬rinden yapılıyor. Buna rağmen komut sa¬tırı üzerinden çalışan cipher aracından da kısaca bahsetmekte fayda var. Bu prog¬ram, klasörlerin içeriklerini gösterirken "E" harfi ile şifrelenmiş (encrypted), "U" harfi ile de şifrelenmemiş (unencrypted) dosyaları belirtiyor. Bir klasörü şifrelemek için komut satırına girmeniz gereken ko¬mut: "cipher /E klasöradı"
#9658; Her şey gerçek zamanlı
EFS'nin en büyük avantajı ise, bilgisayarı¬nızı kullanırken şifrelemeyle ilgili hiçbir şeyi hissetmemeniz. Normal dosya ve kla¬sörlerle nasıl çalışıyorsanız, şifrelenmiş klasörlerle de aynı hız ve rahatlıkta çalışa-
bilirsiniz; şifrelemeyle ilgili bütün işlem¬leri Windows arka planda gerçek zamanlı olarak hallediyor. Bir başka ilginç özellik ise, şifrelenmemiş bir dosyayı şifrelenmiş bir klasöre koyduğunuzda, bu dosyanın da şifrelenmesi.
#9658; Şifre çözme
Verileri deşifre etmek için önünüzde iki yol var: Ya gezginin sag tuş menüsü ya da Cipher aracı. Bu aracı kullanmak için ih¬tiyacınız olan komutlara "cipher /?" yazarak ulaşabilirsiniz. Komut satırına "cipher /D klasöradı" yazarak bir klasörü deşifre edebilirsiniz.
#9658; Anahtarı sağlama almak
Şifrelediğiniz verilere ulaşmak için gere¬ken anahtar sadece sizde var. Bu anahta¬rın güvenliğini sağlayamazsanız, hırsızlar verilerinize ulaşabilirler.
Şifrelediğiniz veriler, bilgisayarınızdaki diğer kullanıcılara karşı koruma altında¬dır. Uygun anahtara sahip olmayan bîr kimse, verilerinize ulaşmaya çalışırsa, bu kişi kesinlikle EFS engeline takılacaktır. Kimliğini, sizin kimliğiniz altında gizleye-bilen bir kişi ise şifrelenmiş verilere ulaşa¬bilir. Bunu engellemek için, anahtarınızı bir USB-Stick'e aktarabilirsiniz. Verileri¬nize ulaşmak istediğinizde ise, bu anahta¬rı tekrar bilgisayarınıza aktarmalısınız.
#9658; Anahtarı aktarmak
Anahtarınızın aktarımını Microsoft Ma¬nagement Console ile gerçekleştirebilirsi-
nız. Başlat menüsündeki Çalıştır komut satırına "mmc" ya/ın ve programı çalıştı¬rın. Dosya menüsünden Ek Bileşen Ekle / Kaldır seçeneğine tıklayın. Açılan pence¬redeki Ekle butonuna tıklayın ve karşınız gelen listenin en sonuna inin. Listedeki Sertifikalar yazısına seçip Ekle butonuna tıklayın. Kendi kullanıcınızı seçtikten sonra Son ve Tamama tıklayın.
Microsoft Management Console pen¬ceresinin sol tarafındaki listeden Sertifi¬kalar / Geçerli Kullanıcı girişini bulun. Bu- -»
Gelişmiş MMC: Bir konsol yardımıyla bütün sertifikalan yönetebilirsiniz.
radaki Kişisel Sertifikalar kısmında Ser t ifi -kalar seçeneğine tıklayın. Burada EFS için en az bir adel sertifika buluması gereki¬yor. Buna sağ tuşla tıklayın, Tüm Görev¬leri seçin ve Vere basın.
Bir verme sihirbazı, devamında yapıla¬caklar konusunda size yol gösterecek, ile¬ri düğmesine tıklayın, Evet, özel anahtarı ver ve bir sonraki pencerede Verme işlemi başarılıysa, özel anahtarı si! seçeneğini işa¬retleyin. Kişisel ananlarınızın güvenliği için bir parola belirlemelisiniz. Anlamlı bir klasör İsmi belirleyin ve kayıt orlaını olarak da en iyisi bir USB stick'i tercih edin.
#9658; Anahtar Import Etmek
Anahtarları import etmek için tekrar Microsoft Management Console'a dönün ve Sertifikalar seçeneğini sağ tuş ile seçin. Tüm Görev/er menösünden Al seçeneğine tıklayın. Bu noktada karşınıza yine bir si¬hirbaz çıkacak, size düşen de bu sihirbazı sertifikanın kayıtlı olduğu yere yönlendir¬mek. Yukarıdaki örnekte bu yer USB stick idi. Bunu yaptıktan sonra, daha Önceden belirlediğiniz verme parolasını girerek iş¬lemi onaylayın.
#9658; Şifrelenmiş verileri paylaşmak
Veri şifrelemenin kötü yanlarından biri, bu verileri başkalarıyla paylaşarnamanız. Ama birkaç işlem ve Windows XP'nin de yardımıyla bunu yaymak mümkün.
Şifrelenmiş dosyalar ve klasörleri kul¬lanırken, bunları ağ üzerinde bir sürücü olarak tanılamazsınız. Bunun sebebi siz¬den başka hiç kimsenin şifrelenmiş verile¬re ulaşamaması. Çünkü bunun için gere¬ken anahtar sadece sizde var. Buna rağ¬men anahtarı e-posta veya CD yoluyla başka bir kullanıcıya göndermek de pek akıllıca değil. EFS bunun için, diğer kulla¬nıcıları tek tek belirleyebileceğiniz bir çö-züm sunuyor, yalnız sadece dosyalara eri¬şim hakkı sağlıyor, klasörlere değil. Şifre¬lenmiş bir dosyaya sag tuşla tıklayın ve Özellikler / Gelişmiş / Ayrıntılar seçenekle¬rini takip edin. Ekle sekmesinde, bu dos¬yaya erişmesini istediğiniz diğer kullanı-
cıları belirleyebilirsiniz,. EFS'nin bu özelli¬ği sadece XP altında çalışıyor.
#9658; EFS'nin kısıtlamaları
EFS'nin sunduğu bütün bu kolaylıklar sa¬yesinde Microsoft bu özelliği işin en ba¬şında etkin hale getirebilirdi. Ama bunu, işletim sisteminin sınırları ve diğer .sebep¬ler yüzünden yapmamış.
EFS ile bütün bir sabit diski şifreleme¬niz mümkün değil. Linux'taki gibi diğer şifreleme sistemlerinden farklı olarak EFS, hiçbir .sistem dosyasını şifreleyemi-
yor. Yani, Windows klasörünü şifreleme¬niz olanaksız, ayrıca EFS sistemin önyük-lenrnesi sırasında devre dışı kalıyor.
ikinci kısıtlama: Windows'taki verile¬rin aynı anda hem sıkıştırılıp hem de şif-relenmesi mümkün değil. Sıkıştırılmış ve¬riler şifrelenmeden önee açılıyor. EFS, NTFS dosya sisteminin özel bir bileşeni. Şifrelediğiniz verileri FAT32 dosya siste¬mine sahip bir sürücüye aktarmanı/ ha¬linde, bütün veriler deşifre ediliyor ve normal halleriyle aktarılıyor. Bütün bun¬lar olmadan önce karşınıza çıkan bir uya¬rı .sizi bu konuda bilgilendiriyor.
#9658; EFS şifrelemesini kırmak
EFS, güvenilir bir veri depolama vazifesi görüyor. CHIP olarak Microsoft'uri bu veri şifreleme sisteminin ne kadar güveni¬lir olduğunu test ettik. Şifreleme ile uğra¬şan herkesin, şifrenin nasıl kınlabilecegi konusunda da bilgisi olmalı, en azından geceleri rahat bir uyku uyuyabilmenin ilk şartı bu. EFS, şifreleme sırasında 128 bit uzunluğunda bir File Encrypîion Key (FEK) oluşturuyor, bu da kullanıcının be¬lirlediği bir anahtar ile şifreleniyor ve Da¬ta Decryption Field (DDF) denilen bir
alanda depolanıyor. Şifre-] nin çözülmesi sırasında bu alan, kişisel anahtar ile de¬şifre ediliyor ve FriK yeni- j den oluşturuluyor. Kişisel anahtarın olmaması duru¬munda Windows, girişi en¬gelliyor. Bunun dışında ve¬rilerin sahibi, bir veri kır-
tarma yazılımına, dosyalara erişim izni verebiliyor. Veri kurtarma yazılımları da, kullanıcı anahtarını kaybettiği zaman ön plana çıkıyor. Ama Windows XP hiçbir kurtarma yazılımının müdahale etmesine izin vermiyor. EFS'yi zorlamak için başka yollar başvurmak gerekiyor.
#9658; Kullanıcı kimliğini taklit etmek
EFS'yi kandırmanın en kolay olduğu za¬man, anahtarınızı export etmediğiniz za¬mandır. Doğru araçları kullanarak yöne¬tici parolası değiştirilebilir. Böylece sal¬dırgan, kayıtlı kullanıcının parolalarım da değiştirebilir. Bundan .sonra da kendine bir parola belirleyip kendi kulla¬nıcı adıyla giriş yapabilir. Sahte bir kullanıcı kimliği oluşturmanın bir başka yolu ise parolayı kırmaktır ki, bu doğrudan kullanıcı hesapla¬rına yönelik bir teknik.
#9658; Yönetici haklarını elde etmek
Normal kullanıcıların yerel yönetici hak¬larını ele geçirmesiyle de büyük bir tehli¬ke ortaya çıkıyor. Dosyalar üzerinde deği¬şiklik yapma yetkisi olmasa bile birisi bu hakları kullanarak, şifrelenmiş klasörler-deki dosyalan silebilir ve bugüne kadarki bütün çalışmalarınızı yok edebilir.
#9658; Geçici dosyaları incelemek
Birçok yazılını, üzerinde çalışılan dosya¬ların geçici kopyalarını oluşturur ve bu kopyalar genellikle şifrelenin emiştir. Eğer bu tip geçici dosyalar sabit diskte kalırsa, bunlar hırsız için kolay yemdir. Bu tip ye-cici dosyaların sabit diskte kalmasına, programlar hata verdikten veya çöktük¬ten sonra sık sık rastlanabilir.
#9658; Sonuç: Verileri şifrelemeye değer
Her şeye rağmen di/üstü bilgisayar kulla maları, Windows XP'nin şifrelemesinin sunduğu bütün nimetlerden yararlanma¬lı, değerli ve hassas bilgilerini EFS ile ko¬rumalı.
JG / Mete Pınar, mete@chip.com.tr
CHIP | EYLÜL 2004