Bedavaya veri güvenliği

Akıllı veri hırsızları, her şekilde bilgisayarınıza girebiliyorlar. CHIP, sadece Windows ile beraber gelen programları kullanarak verilerinizi nasıl bedavaya şifreleyebileceğinizi gösteriyor.

Hırsızlar sadece dizüstü bilgisayarlarla yetinmeyip, arşivlerinizi ve çok değerli çalışmalarınızı da hedef alıyorlar. Kurban için ise bu iki kat zarar anlamına geliyor, çünkü bu sefer kaybedilenler hem pahalı donanımlar, hem de saatler süren çalışmalarınız oluyor. Verilerinizin yedeğini alsanız bile yedeği korumak zorunda kalıyorsunuz, çünkü bu sefer hırsız oraya yönelebiliyor. Bunu engellemek için de önemli verilerinizi şifrelemeniz şart. Microsoft’un dosya sistemi NTFS bu özelliği, Encrypting File System (EFS) adı altında kullanıcılarına sunuyor.

Dosya şifreleme için hazırlıklar

Microsoft’un dosya sistemi NTFS’e bir şifreleme özelliği yerleştirilmiş. Kullanıcılar için bu, aynı anda hem yüksek güvenlik, hem de rahat kullanım anlamına geliyor. Encrypting File System (EFS) ile şifreleme yapmak isteyenler, öncelikle sabit disk üzerinde bir NTFS dosya sistemine sahip olmalılar. Çünkü EFS yeni bir dosya sistemi değil, sadece NTFS dosya sisteminin yeni sürümlerinde bulunan bir özellik. Bu bilgisayarınızda en az Windows 2000 ya da XP Professional işletim sistemlerinden birinin kurulu olması gerektiği anlamına geliyor. Dikkat:Microsoft, şifreleme özelliğini Windows XP’nin sadece Professional sürümüne koymuş, Home Edition bu özelliğe sahip değil. Bu noktada Windows XP Professional, NTFS’in daha gelişmiş özellikler sunan bir sürümüyle, NTFS 3.1 ile ön plana çıkıyor. Herhangi bir disk bölümüyle ilgili bilgi almak için komut satırına “fsutil fsinfo ntfsinfo c:” yazmalısınız. EFS, hem Home Edition’da hem de Professional’da mevcut ve kolay bir yükleme ile kullanıma hazır hale geliyor, yani en azından NTFS dosya sistemine sahip bilgisayarlarda.

Dosya sistemini anlamak

Windows XP sadece NTFS dosya sistemine değil, aynı zamanda FAT32 dosya sistemine de yüklenebiliyor. Eğer sabit diskinizdeki dosya sisteminin hangisi olduğunu bilmiyorsanız, Gezgin ile bu bilgiye ulaşabilirsiniz. Mesela C: sürücüsüne sağ tuşla tıklayın ve Özellikler seçeneğine gelin. Genel sekmesinden sürücünüzün dosya sistemini öğrenebilirsiniz. Aynı bilgilere, komut satırına “fsutil fsinfo volumeinfo c:\” komutunu girerek de ulaşabilirsiniz. Sabit disk üzerinde birden fazla bölüm varsa, “diskpart” aracıyla bilgilere hızlıca göz atabilirsiniz. Bunun için “diskpart” komutunun ardından “list volume” komutu girmelisiniz.

Bütün EFS bilgileri

EFS ile şifreleme yapacak herkes için “efsinfo” aracı son derece kullanışlı bir komut satırı aracı. Bu aracı Windows XP CD’sinin /Support/Tools bölümünden yükleyebilirsiniz. Yüklemeden sonra efsinfo aracı ile hangi dosyaların ve alt klasörlerin şifrelenmiş olduğunu, hangilerinin de şifrelenmeye uygun olduğunu öğrenebilirsiniz.

FAT32’den NTFS’e

FAT32 dosya sistemine sahip olan fakat yine de şifrelemeyi kullanmak isteyenler, dosya sistemlerini NTFS dosya sistemine dönüştürmek zorundalar. Bunu yaparken ek bir araca ihtiyacınız yok, ayrıca veri kaybı da söz konusu değil. Windows XP’nin “convert” aracıyla bunu yapabilirsiniz. Dikkat: convert aracı, FAT32’den NTFS’e dönüştürme işlemini geri alamıyor. Komut satırına “convert c: /fs:ntfs /v” komutunu girerek C sürücünüzün dosya sistemini NTFS’e dönüştürebilirsiniz.

Verileri şifreleme

Şifrelenmiş dosyalarla çalışırken risk alamazsınız, bu yüzden Windows şifrelemeyi gerçek zamanlı olarak ya da komut satırı üzerinden yapabiliyor.

Bir dosya veya klasör şifrelemek isterseniz, sağ tuşla tıklayın ve Özellikler seçeneğine tıklayın. Açılan penceredeki Genel sekmesinden Gelişmiş bölümüne girin.

Veriyi korumak için içeriği şifrele yazısının yanındaki kontrol kutusuna tıklayın. Sonraki pencerelerde OK butonuna tıklayarak bu isteğinizi onaylayın. Şifrelemeyi alt klasörler için de geçerli kılan seçeneği de işaretleyin. Böylece şifrelenmiş dosyalara daha kolay göz gezdirebilirsiniz.

Windows, dosyaları ve klasörleri şifreliyor. Bu dosya ve klasörler gezginde yeşil renk ile belirtiliyor. Bu renklendirmeyi sağlayan Kayıt Defteri değeri “HKEY_ CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer” altındaki AltEncryptionColor.

Komut satırı ile şifreleme

En kolay şifreleme Windows gezgini üzerinden yapılıyor. Buna rağmen komut satırı üzerinden çalışan cipher aracından da kısaca bahsetmekte fayda var. Bu program, klasörlerin içeriklerini gösterirken “E” harfi ile şifrelenmiş (encrypted), “U” harfi ile de şifrelenmemiş (unencrypted) dosyaları belirtiyor. Bir klasörü şifrelemek için komut satırına girmeniz gereken komut: “cipher /E klasöradı”

Her şey gerçek zamanlı

EFS’nin en büyük avantajı ise, bilgisayarınızı kullanırken şifrelemeyle ilgili hiçbir şeyi hissetmemeniz. Normal dosya ve klasörlerle nasıl çalışıyorsanız, şifrelenmiş klasörlerle de aynı hız ve rahatlıkta çalışabilirsiniz; şifrelemeyle ilgili bütün işlemleri Windows arka planda gerçek zamanlı olarak hallediyor. Bir başka ilginç özellik ise, şifrelenmemiş bir dosyayı şifrelenmiş bir klasöre koyduğunuzda, bu dosyanın da şifrelenmesi.

Şifre çözme

Verileri deşifre etmek için önünüzde iki yol var: Ya gezginin sağ tuş menüsü ya da Cipher aracı. Bu aracı kullanmak için ihtiyacınız olan komutlara “cipher /?” yazarak ulaşabilirsiniz. Komut satırına “cipher /D klasöradı” yazarak bir klasörü deşifre edebilirsiniz.

Anahtarı sağlama almak

Şifrelediğiniz verilere ulaşmak için gereken anahtar sadece sizde var. Bu anahtarın güvenliğini sağlayamazsanız, hırsızlar verilerinize ulaşabilirler.

Şifrelediğiniz veriler, bilgisayarınızdaki diğer kullanıcılara karşı koruma altındadır. Uygun anahtara sahip olmayan bir kimse, verilerinize ulaşmaya çalışırsa, bu kişi kesinlikle EFS engeline takılacaktır. Kimliğini, sizin kimliğiniz altında gizleyebilen bir kişi ise şifrelenmiş verilere ulaşabilir. Bunu engellemek için, anahtarınızı bir USB-Stick’e aktarabilirsiniz. Verilerinize ulaşmak istediğinizde ise, bu anahtarı tekrar bilgisayarınıza aktarmalısınız.

Anahtarı aktarmak

Anahtarınızın aktarımını Microsoft Management Console ile gerçekleştirebilirsiniz. Başlat menüsündeki Çalıştır komut satırına “mmc” yazın ve programı çalıştırın. Dosya menüsünden Ek Bileşen Ekle / Kaldır seçeneğine tıklayın. Açılan penceredeki Ekle butonuna tıklayın ve karşınız gelen listenin en sonuna inin. Listedeki Sertifikalar yazısına seçip Ekle butonuna tıklayın. Kendi kullanıcınızı seçtikten sonra Son ve Tamam’a tıklayın.

Microsoft Management Console penceresinin sol tarafındaki listeden Sertifikalar / Geçerli Kullanıcı girişini bulun. Buradaki Kişisel Sertifikalar kısmında Sertifikalar seçeneğine tıklayın. Burada EFS için en az bir adet sertifika buluması gerekiyor. Buna sağ tuşla tıklayın, Tüm Görevler’i seçin ve Ver’e basın. Bir verme sihirbazı, devamında yapılacaklar konusunda size yol gösterecek. İleri düğmesine tıklayın, Evet, özel anahtarı ver ve bir sonraki pencerede Verme işlemi başarılıysa, özel anahtarı sil seçeneğini işaretleyin. Kişisel anahtarınızın güvenliği için bir parola belirlemelisiniz. Anlamlı bir klasör ismi belirleyin ve kayıt ortamı olarak da en iyisi bir USB stick’i tercih edin.

Anahtar Import Etmek

Anahtarları import etmek için tekrar Microsoft Management Console’a dönün ve Sertifikalar seçeneğini sağ tuş ile seçin. Tüm Görevler menüsünden Al seçeneğine tıklayın. Bu noktada karşınıza yine bir sihirbaz çıkacak, size düşen de bu sihirbazı sertifikanın kayıtlı olduğu yere yönlendirmek. Yukarıdaki örnekte bu yer USB stick idi. Bunu yaptıktan sonra, daha önceden belirlediğiniz verme parolasını girerek işlemi onaylayın.

Şifrelenmiş verileri paylaşmak

Veri şifrelemenin kötü yanlarından biri, bu verileri başkalarıyla paylaşamamanız. Ama birkaç işlem ve Windows XP’nin de yardımıyla bunu yapmak mümkün.

Şifrelenmiş dosyalar ve klasörleri kullanırken, bunları ağ üzerinde bir sürücü olarak tanıtamazsınız. Bunun sebebi sizden başka hiç kimsenin şifrelenmiş verilere ulaşamaması. Çünkü bunun için gereken anahtar sadece sizde var. Buna rağmen anahtarı e-posta veya CD yoluyla başka bir kullanıcıya göndermek de pek akıllıca değil. EFS bunun için, diğer kullanıcıları tek tek belirleyebileceğiniz bir çözüm sunuyor, yalnız sadece dosyalara erişim hakkı sağlıyor, klasörlere değil. Şifrelenmiş bir dosyaya sağ tuşla tıklayın ve Özellikler / Gelişmiş / Ayrıntılar seçeneklerini takip edin. Ekle sekmesinde, bu dosyaya erişmesini istediğiniz diğer kullanıcıları belirleyebilirsiniz. EFS’nin bu özelliği sadece XP altında çalışıyor.

EFS’nin kısıtlamaları

EFS’nin sunduğu bütün bu kolaylıklar sayesinde Microsoft bu özelliği işin en başında etkin hale getirebilirdi. Ama bunu, işletim sisteminin sınırları ve diğer sebepler yüzünden yapmamış.

EFS ile bütün bir sabit diski şifrelemeniz mümkün değil. Linux’taki gibi diğer şifreleme sistemlerinden farklı olarak EFS, hiçbir sistem dosyasını şifreleyemiyor. Yani, Windows klasörünü şifrelemeniz olanaksız, ayrıca EFS sistemin önyüklenmesi sırasında devre dışı kalıyor.

İkinci kısıtlama: Windows’taki verilerin aynı anda hem sıkıştırılıp hem de şifrelenmesi mümkün değil. Sıkıştırılmış veriler şifrelenmeden önce açılıyor. EFS, NTFS dosya sisteminin özel bir bileşeni. Şifrelediğiniz verileri FAT32 dosya sistemine sahip bir sürücüye aktarmanız halinde, bütün veriler deşifre ediliyor ve normal halleriyle aktarılıyor. Bütün bunlar olmadan önce karşınıza çıkan bir uyarı sizi bu konuda bilgilendiriyor.

EFS şifrelemesini kırmak

EFS, güvenilir bir veri depolama vazifesi görüyor. CHIP olarak Microsoft’un bu veri şifreleme sisteminin ne kadar güvenilir olduğunu test ettik. Şifreleme ile uğraşan herkesin, şifrenin nasıl kırılabileceği konusunda da bilgisi olmalı, en azından geceleri rahat bir uyku uyuyabilmenin ilk şartı bu. EFS, şifreleme sırasında 128 bit uzunluğunda bir File Encryption Key (FEK) oluşturuyor, bu da kullanıcının belirlediği bir anahtar ile şifreleniyor ve Data Decryption Field (DDF) denilen bir alanda depolanıyor. Şifrenin çözülmesi sırasında bu alan, kişisel anahtar ile deşifre ediliyor ve FEK yeniden oluşturuluyor. Kişisel anahtarın olmaması durumunda Windows, girişi engelliyor. Bunun dışında verilerin sahibi, bir veri kurtarma yazılımına, dosyalara erişim izni verebiliyor. Veri kurtarma yazılımları da, kullanıcı anahtarını kaybettiği zaman ön plana çıkıyor. Ama Windows XP hiç bir kurtarma yazılımının müdahale etmesine izin vermiyor. EFS’yi zorlamak için başka yollar başvurmak gerekiyor.

Kullanıcı kimliğini taklit etmek

EFS’yi kandırmanın en kolay olduğu zaman, anahtarınızı export etmediğiniz zamandır. Doğru araçları kullanarak yönetici parolası değiştirilebilir. Böylece saldırgan, kayıtlı kullanıcının parolalarını da değiştirebilir. Bundan sonra da kendine bir parola belirleyip kendi kullanıcı adıyla giriş yapabilir. Sahte bir kullanıcı kimliği oluşturmanın bir başka yolu ise parolayı kırmaktır ki, bu doğrudan kullanıcı hesaplarına yönelik bir teknik.

Yönetici haklarını elde etmek

Normal kullanıcıların yerel yönetici haklarını ele geçirmesiyle de büyük bir tehlike ortaya çıkıyor. Dosyalar üzerinde değişiklik yapma yetkisi olmasa bile birisi bu hakları kullanarak, şifrelenmiş klasörlerdeki dosyaları silebilir ve bugüne kadarki bütün çalışmalarınızı yok edebilir.

Geçici dosyaları incelemek

Birçok yazılım, üzerinde çalışılan dosyaların geçici kopyalarını oluşturur ve bu kopyalar genellikle şifrelenmemiştir. Eğer bu tip geçici dosyalar sabit diskte kalırsa, bunlar hırsız için kolay yemdir. Bu tip geçici dosyaların sabit diskte kalmasına, programlar hata verdikten veya çöktükten sonra sık sık rastlanabilir.

Sonuç: Verileri şifrelemeye değer

Her şeye rağmen dizüstü bilgisayar kullanıcıları, Windows XP’nin şifrelemesinin sunduğu bütün nimetlerden yararlanmalı, değerli ve hassas bilgilerini EFS ile korumalı.

JG / Mete Pınar
mete@chip.com.tr

Okuyucu Yorumları

Toplam 1 Yorum

nereden iniyo

Sen de yorum yaz

 

CHIP'i Takip edin
E-Posta listemize katılın
CHIP Dergi Mobil Cihazınızda

İlginizi çekebilir