Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Data Encryption Toolkit for Mobile PCs - Análise de Segurança

Capítulo 3: EFS (Sistema de arquivos criptografados)

Publicado em: 4 de abril de 2007

O Microsoft® Windows® XP e o Windows Vista™ incluem os recursos de proteção de dados e recuperação protegida dos dados por meio do EFS (Sistema de arquivos criptografados). O EFS é uma tecnologia de criptografia de dados que pode ser aplicada a arquivos individuais ou a todos os arquivos que residem em uma pasta específica. Os arquivos do EFS não podem ser descriptografados sem o material de chaves correspondente. Além disso, é importante observar que, ao contrário da Criptografia de Unidade de Disco BitLocker™ da Microsoft (BitLocker), o EFS não pode ser aplicado a nenhum arquivo necessário à inicialização do sistema operacional.

Embora o BitLocker garanta a criptografia de todos os dados em todo o volume do sistema, o EFS tem a vantagem da maior precisão e flexibilidade quando se configura a criptografia para um ou vários usuários em um único computador. Por exemplo, o EFS pode ser usado para criptografar arquivos de dados em uma rede acessada por muitos usuários diferentes, um cenário que está além da capacidade do BitLocker.

O EFS proporciona criptografia por usuário, por meio da proteção de arquivos com uma chave acessível somente ao usuário, assim como aos agentes de recuperação autorizados. Um invasor que obtenha cópias dos arquivos não conseguirá lê-los, a menos que também obtenha o material de chaves ou copie os arquivos diretamente do local original para outro local enquanto conectado como o usuário que criptografou os arquivos.

Nesta página

EFS no Windows XP
EFS no Windows Vista
Opção do EFS: EFS com armazenamento de chaves no software
Opção do EFS: EFS com cartões inteligentes
Resumo da análise de riscos do EFS
Mais informações

EFS no Windows XP

Embora o EFS estivesse disponível no Windows 2000, a implementação no Windows XP e no Windows Server® 2003 ofereceu recursos adicionais significativos, como:

  • Recursos avançados de recuperação.

  • Suporte total à verificação de revogação de certificados usados no compartilhamento de arquivos criptografados.

  • Alterações à interface de usuário no Windows Explorer para fácil localização e verificação de arquivos protegidos.

  • Suporte a pastas offline criptografadas no Windows XP.

  • Suporte multiusuário a arquivos criptografados.

  • Suporte a provedores de serviços de criptografia (CSPs) avançados e de alta segurança da Microsoft.

  • Criptografia de ponto a ponto usando EFS por WebDAV.

Informações detalhadas sobre esses aprimoramentos ao EFS para Windows XP estão disponíveis no artigo sobre "EFS no Windows XP e Windows Server 2003" (pode estar em inglês).

Nos cenários restritos ao EFS descritos neste capítulo, um usuário conectado pode ativar a criptografia em arquivos e pastas usando a interface Atributos Avançados no Windows Explorer.

Caixa de diálogo Atributos Avançados do Windows XP

Figura 3.1. Caixa de diálogo Atributos Avançados do Windows XP

Quando um arquivo é criptografado em uma pasta pela primeira vez, um aviso pergunta ao usuário se ele deseja criptografar somente o arquivo selecionado ou toda a pasta.

Para as organizações que exigem maior controle do escopo da diretiva de criptografia do EFS, o EFS também pode ser gerenciado centralmente por meio de objetos de Diretiva de Grupo (GPOs) para distribuir automaticamente scripts que usam o utilitário Cipher.exe para configurar a criptografia em toda a organização.

Cc162818.note(pt-br,TechNet.10).gif Observação:

Tanto o modo baseado em software quanto o baseado em cartão inteligente do EFS requerem a presença do certificado associado para cada operação. Por exemplo, o EFS baseado em cartão inteligente requer que o cartão esteja presente para cada criptografia ou descriptografia. Essa funcionalidade impede que os usuários criptografem arquivos acidentalmente usando um certificado cuja chave particular associada não possuam, visto que o certificado não pode ser usado para criptografia se a chave particular não estiver disponível.

EFS no Windows Vista

O EFS está disponível nas edições Business, Enterprise e Ultimate do Windows Vista, e estará disponível na versão “Longhorn” do Windows Server. O Windows Vista oferece importantes aprimoramentos adicionais ao EFS, inclusive:

  • Uso de chaves criptográficas armazenadas diretamente em cartões inteligentes para criptografia pelo EFS.

  • Criação e seleção, baseada em assistente, de certificados usados para o EFS.

  • Migração baseada em assistente dos arquivos de um cartão inteligente antigo para um novo.

  • Criptografia do arquivo de paginação do sistema quando o EFS é ativado.

  • Novas opções de Diretiva de Grupo que ajudam os administradores a definir e implementar diretivas organizacionais para o EFS. Elas incluem a capacidade de exigir cartões inteligentes para o EFS, aplicar a criptografia aos arquivos de paginação, estipular o tamanho mínimo da chave do EFS e aplicar a criptografia da pasta Meus Documentos do usuário.

  • A funcionalidade expandida e a capacidade de gerenciar com precisão os recursos do EFS no Windows Vista são mostradas na nova interface do usuário:

Caixa de diálogo Atributos Avançados do Windows Vista

Figura 3.2. Interface de gerenciamento do EFS no Windows Vista

O restante deste capítulo discute duas opções do EFS e descreve o nível de proteção que proporcionam.

Opção do EFS: EFS com armazenamento de chaves no software

Esta opção do EFS requer somente um computador baseado no Windows XP ou no Windows Vista.

A seqüência lógica do processo de criptografia do EFS nesta opção é mostrado na figura a seguir:

O processo de criptografia do EFS

Figura 3.3. O processo de criptografia do EFS

As etapas na seqüência de criptografia ilustrada são as seguintes:

  1. O usuário cria um novo arquivo na pasta criptografada.

  2. Uma chave simétrica de criptografia de arquivo (FEK) é gerada aleatoriamente.

  3. O sistema operacional verifica o armazenamento de certificados do usuário em busca de um certificado que tenha os sinalizadores de utilização de chave apropriados. Se já não existir, um certificado apropriado será gerado automaticamente.

  4. A DPAPI (Data Protection Application Programming Interface) é usada para criptografar e armazenar a chave particular associada ao certificado do usuário.

  5. A FEK é criptografada com a chave pública do certificado e armazenada nos metadados do arquivo.

  6. A FEK é usada para criptografar cada bloco de dados.

  7. Os blocos criptografados são gravados em disco.

A seqüência lógica do processo de descriptografia do EFS nesta opção é mostrada na figura a seguir:

O processo de descriptografia do EFS

Figura 3.4. O processo de descriptografia do EFS

As etapas na seqüência de descriptografia ilustrada são as seguintes:

  1. O logon do usuário é validado localmente ou por um controlador de domínio.

  2. O usuário tenta acessar um arquivo criptografado.

  3. A DPAPI é usada para recuperar a chave particular associada ao certificado X.509 do usuário e descriptografá-lo, usando uma chave derivada da credencial de logon do usuário.

  4. A FEK é recuperada do arquivo e descriptografada com a chave particular obtida na etapa anterior.

  5. A FEK é usada para descriptografar cada bloco do arquivo à medida que é solicitado.

  6. Os dados descriptografados são passados para o aplicativo que os solicita.

Informações adicionais sobre o comportamento da implementação do EFS estão disponíveis na Encrypting File System Technical Reference.

Riscos atenuados: EFS com armazenamento de chaves no software

Esta opção do EFS atenua os seguintes riscos a que os dados estão susceptíveis:

  • Pessoas de dentro da organização podem ler dados criptografados. Uma vantagem específica do EFS em relação ao BitLocker é que as chaves de criptografia são armazenadas em um armazenamento de chaves seguro protegido pelas credenciais do usuário. Nessa configuração, a credencial é uma senha. Portanto, outros usuários autorizados do computador podem fazer logon no computador interativamente ou pela rede, mas não conseguirão acessar arquivos confidenciais no computador que outro usuário tenha protegido com o EFS, a menos que esse usuário lhes conceda acesso aos arquivos.

  • Descoberta de chaves por meio de um ataque offline. Supondo-se que o invasor tenha como meta uma chave como a FEK ou a chave mestra da DPAPI em vez da senha do usuário, a chave de recuperação do EFS (que é a chave particular dos certificados usados pelo EFS) ou a chave mestra da DPAPI podem estar sujeitas a um ataque de força bruta. Isso não deve ser uma grande preocupação para muitas organizações, devido à pouca probabilidade de sucesso desse tipo de ataque contra os tipos de chave de alta segurança usados pelo EFS.

  • Vazamento de dados em texto simples pelo arquivo de paginação do sistema (somente Windows Vista). O Windows Vista fornece a capacidade de criptografar o conteúdo do arquivo de paginação do sistema, o que elimina uma possível fonte de vazamento de dados. Esse recurso foi implementado especificamente para proteger as chaves do EFS no Windows Vista, como a chave mestra da DPAPI (consulte o tópico a seguir) durante seu uso pelo computador. O recurso também ajuda a eliminar o risco, nessa opção do EFS, em que dados em texto simples podem ficar disponíveis no arquivo de paginação se este estiver sendo usado por um aplicativo. As chaves de criptografia usadas para criptografar o arquivo de paginação são efêmeras e são geradas na autoridade de segurança local (LSA). Elas não são derivadas da credencial de logon do usuário nem do certificado X.509. Depois que o computador é desligado (ou se trava), os dados criptografados do arquivo de paginação não podem ser recuperados ou lidos por nenhum outro método conhecido, senão por um ataque de força bruta.

Riscos residuais e suas atenuações: EFS com armazenamento de chaves no software

Esta opção do EFS, sem controles e uma diretiva adicionais, não atenua os seguintes riscos:

  • Computador deixado em estado de hibernação. Como acontece com as opções do BitLocker, se um usuário não configurar o computador para solicitar a senha ao retomar a partir dos modos de suspensão ou de hibernação, o sistema operacional não poderá discernir se o usuário atual é o usuário autorizado. Em tal situação, o invasor pode usar o laptop como se fosse o usuário autorizado. Um ataque provável seria copiar dados interessantes em um dispositivo removível ou em um local na rede. No entanto, se o computador estiver configurado para solicitar as credenciais do usuário ao retomar as atividades a partir dos modos de suspensão ou de hibernação, o risco será atenuado.

  • Computador deixado no modo de suspensão (em espera). Mesma explicação que a da atenuação do risco anterior.

  • Computador deixado conectado com a área de trabalho desbloqueada. Depois que o usuário faz logon no computador, as credenciais ficam disponíveis para descriptografar os certificados usados pelo EFS. Daí em diante, dados não criptografados podem ser acessados por qualquer pessoa com acesso ao teclado. A atenuação mais útil para esse risco é o treinamento em conscientização de segurança para os usuários que possam ter informações confidenciais em seus computadores.

  • Descoberta de senha local ou de domínio. Nesta configuração, as chaves do EFS são descriptografadas em uma seqüência que começa com uma chave derivada da senha do usuário. Portanto, a criptografia do EFS ficará comprometida se a senha do usuário estiver comprometida. Esse risco pode ser atenuado por meio da implementação de uma diretiva de senha de alta segurança, para impedir ataques como ataques de dicionário, e do treinamento do usuário quanto à importância da proteção de suas senhas.

  • Ataques offline contra o sistema operacional. O EFS não oferece nenhuma proteção para o sistema operacional no computador nem a nenhum arquivo de configuração do sistema operacional em um cenário de ataque offline.

  • Ataques online contra o sistema operacional. Ataques online contra o sistema operacional não são atenuados por esta opção. O invasor que conseguir executar códigos à sua escolha no sistema operacional poderá roubar as chaves criptográficas.

  • Vazamento de dados em texto simples pelo arquivo de hibernação. O EFS não oferece nenhuma proteção ao arquivo de hibernação do sistema. Esse risco pode ser atenuado com a atualização para o Windows Vista e o uso do BitLocker ou pela desativação da hibernação.

    Cc162818.important(pt-br,TechNet.10).gif Importante:

    A desativação da hibernação reduz a utilização prática dos PCs móveis. Essa atenuação pode ser apropriada para computadores que armazenam ativos extremamente valiosos, mas as outras atenuações costumam ser mais apropriadas.

  • Vazamento de dados em texto simples pelo arquivo de paginação do sistema (somente Windows XP). No Windows XP, o EFS não pode ser usado para criptografar nenhum arquivo do sistema, inclusive o arquivo de paginação do sistema. Essa restrição significa que se dados confidenciais forem acessados através de um aplicativo, os dados poderão ser gravados em disco como uma parte normal da operação de paginação da memória. Esse risco pode ser atenuado com a atualização para o Windows Vista ou pela configuração do computador para não usar a paginação da memória.

    Cc162818.important(pt-br,TechNet.10).gif Importante:

    A desativação da paginação da memória normalmente reduz o desempenho do computador, algumas vezes de maneira significativa.

  • Ataques à plataforma. Um computador configurado para usar EFS com armazenamento de chaves no software manterá as chaves do EFS em disco ou na memória. Um ataque à plataforma que use o acesso direto à memória ou outras técnicas de manipulação de hardware pode conseguir recuperar o material de chaves.

  • Fator de autenticação obrigatória deixado com o computador. Nesta opção, não há nenhum outro fator de autenticação. O único fator de autenticação é a senha do computador do usuário ou da rede.

  • Erro do usuário. O usuário precisa tomar cuidado para não salvar arquivos que contêm dados confidenciais em um local onde o EFS não esteja ativado. No Windows Vista, esse risco é parcialmente atenuado porque existe uma opção de configuração do EFS que permite que todos os arquivos na pasta Documentos do usuário sejam criptografados. Essa funcionalidade torna mais fácil para os usuários garantir que os arquivos e diretórios apropriados sejam criptografados. Esse risco também pode ser atenuado pelo uso da ferramenta Microsoft Encrypting File System Assistant (o Assistente do EFS faz parte deste Solution Accelerator) para ajudar a automatizar o processo de proteção dos arquivos do usuário com o EFS.

Opção do EFS: EFS com cartões inteligentes

Diferentes versões do Windows fornecem diferentes recursos para reforçar as características de segurança do EFS. As subseções a seguir fornecem informações sobre esses diferentes recursos.

Windows XP e logon com cartão inteligente

É necessário um cartão inteligente para se conectar à rede é uma configuração de usuário de domínio, definida através do serviço de diretório do Active Directory®, que exige que os usuários usem um cartão inteligente para fazer logon em suas contas de domínio. O principal risco a que o EFS está exposto é que, se a senha de um usuário for comprometida, um invasor poderá fazer logon no computador usando essa conta e acessar qualquer dado no computador, inclusive dados protegidos pelo EFS.

A configuração de diretiva do Active Directory que exige um cartão inteligente para o logon reforça consideravelmente a segurança da conta e, assim, a segurança dos dados protegidos pelo EFS. Essa configuração também ajuda a proteger dados criptografados contra ataques offline, por fortalecer a chave usada pelo EFS para criptografia da DPAPI. A DPAPI funciona derivando uma chave das credenciais do usuário.

O logon com cartão inteligente pode ser necessário de duas maneiras diferentes: por usuário ou por computador. Ele pode ser ativado ou aplicado em cada um dos modos. Há algumas diferenças importantes entre os modos em termos de segurança, inclusive:

  • Com a aplicação do logon com cartão inteligente por usuário, a chave inicial é consideravelmente mais segura do que uma senha comum. Em vez de poder montar um ataque de dicionário à senha, o invasor provavelmente montará um ataque de força bruta a uma chave particular, que pode ser longa o suficiente para tornar-se praticamente inviolável usando as tecnologias atuais.

  • De certo modo, a aplicação do logon com cartão inteligente por computador fornece maior segurança do que o logon apenas com senha por adicionar um segundo fator de autenticação. No entanto, o logon com cartão inteligente por computador usa o cartão inteligente somente para autenticação do logon. Um invasor que obtenha a chave mestra criptografada da DPAPI ainda pode montar um ataque de força bruta em menos tempo do que levaria para montar tal ataque com êxito a uma chave mestra de DPAPI protegida pelo logon com cartão inteligente por usuário.

A ativação, mas não a aplicação, de qualquer um dos tipos de logon com cartão inteligente não acrescenta nenhuma proteção eficaz à segurança, visto que deixa a opção de usar ou não o logon com cartão inteligente nas mãos do usuário.

Mais informações sobre a DPAPI e sobre como o logon com cartão inteligente afeta as chaves da DPAPI podem ser encontradas no artigo do MSDN "Windows Data Protection".

Cc162818.note(pt-br,TechNet.10).gif Observação:

Esta discussão sobre riscos parte do pressuposto de que os cartões inteligentes são usados em combinação com um PIN que não seja trivial e de que o cartão inteligente implementa o bloqueio do PIN para proteger contra sua decifração.

A criptografia do EFS no Windows XP com a opção de logon com cartão inteligente é ilustrada na figura a seguir.

Criptografia do EFS no Windows XP com logon com cartão inteligente

Figura 3.5. Seqüência da criptografia do EFS para Windows XP com logon com cartão inteligente

As etapas na seqüência de criptografia ilustrada são as seguintes:

  1. O usuário cria um novo arquivo na pasta criptografada.

  2. Uma FEK simétrica é gerada aleatoriamente.

  3. O sistema operacional verifica o armazenamento de certificados do usuário em busca de um certificado que tenha os sinalizadores de utilização de chave apropriados. Se já não existir, um certificado apropriado será gerado automaticamente.

  4. A DPAPI é usada para criptografar e armazenar a chave particular associada ao certificado do usuário. Essa criptografia é muito mais segura do que a opção anterior, graças à senha muito mais segura usada quando o logon com cartão inteligente é obrigatório.

  5. A FEK é criptografada com a chave pública do certificado e armazenada nos metadados do arquivo.

  6. A FEK é usada para criptografar cada bloco de dados.

  7. Os blocos criptografados são gravados em disco.

A descriptografia do EFS no Windows XP com a opção de logon com cartão inteligente é ilustrada na figura a seguir.

Descriptografia do EFS no Windows XP com logon com cartão inteligente

Figura 3.6. Seqüência da descriptografia do EFS para Windows XP com logon com cartão inteligente

As etapas na seqüência de descriptografia ilustrada são as seguintes:

  1. O logon com cartão inteligente do usuário é validado localmente ou por um controlador de domínio.

  2. O usuário tenta acessar um arquivo criptografado.

  3. A chave particular correta é recuperada do armazenamento DPAPI do usuário e a DPAPI a descriptografa usando uma chave derivada da senha de usuário, aleatória e de alta segurança, que é aplicada à conta do usuário quando Exigir logon com cartão inteligente é ativado na conta.

  4. A FEK é recuperada do arquivo e descriptografada com a chave particular recuperada na etapa anterior.

  5. À medida que o aplicativo lê cada bloco do arquivo, a FEK é usada para descriptografar o bloco antes que este seja passado para o aplicativo que o solicitou.

Windows Vista e EFS com cartão inteligente

O Windows Vista oferece novos e poderosos recursos que aumentam tanto a segurança quanto a utilização prática do EFS por meio da maior integração com a tecnologia de cartão inteligente. No Windows XP, o logon com cartão inteligente é aproveitado indiretamente, devido ao modo como ele melhora as características das chaves da DPAPI. Entretanto, no Windows Vista os cartões inteligentes podem ser usados diretamente para criptografar arquivos com o EFS. Os novos recursos não requerem que o usuário esteja conectado com o cartão inteligente, embora esse cenário também funcione. Em vez disso, o usuário é solicitado a inserir o cartão inteligente e fornecer um PIN se o EFS estiver configurado para exigir cartões inteligentes.

A implementação óbvia do EFS e dos cartões inteligentes é criptografar a FEK diretamente com a chave pública e descriptografá-la usando a chave particular correspondente ao certificado no cartão inteligente. Ainda que essa opção seja bastante objetiva e segura, pode prejudicar o desempenho quando cada arquivo acessado é descriptografado, porque cada operação de descriptografia com chave particular envolve uma comunicação com o cartão inteligente, e a CPU de cartões inteligentes é muito lenta quando comparada à CPU do computador host.

Outro problema da implementação óbvia é que o cartão inteligente precisa estar presente todo o tempo, visto que cada tentativa de descriptografar um arquivo requer que a chave particular descriptografe a FEK com êxito. A fim de aumentar o desempenho, além de aprimorar a utilização prática do EFS com a opção de cartão inteligente, o EFS é configurado por padrão para derivar uma chave simétrica da chave particular no cartão inteligente e usar essa chave para descriptografar e criptografar as FEKs associadas aos arquivos criptografados. Na configuração padrão, a chave simétrica derivada será armazenada em cache pelo sistema operacional, de forma que as operações subseqüentes de criptografia ou descriptografia de arquivos não exija o uso do cartão inteligente e de suas chaves particular e pública associadas.

A capacidade de configurar se a chave simétrica é ou não derivada e armazenada em cache está representada na Figura 3.2. Interface de gerenciamento do EFS no Windows Vista como a opção Criar chave de usuário com capacidade para armazenamento em cache por meio do cartão inteligente. Se essa opção for desmarcada, a chave simétrica não é derivada nem armazenada em cache, e a FEK é criptografada e descriptografada diretamente com as chaves do cartão inteligente. Este guia usa os termos modo de chave armazenada em cache e modo de chave não armazenada em cache para descrever esses dois modos operacionais diferentes, que têm características de segurança específicas.

Modo de chave armazenada em cache

No modo de chave armazenada em cache, a chave simétrica derivada é armazenada em cache pelo sistema operacional na memória protegida por LSA, até a expiração do tempo limite do cache, que pode ser configurado. O tempo limite padrão do cache é oito horas de tempo ocioso do sistema. Qualquer operação que use a chave derivada redefinirá o período do tempo limite para liberação. A liberação do cache de chaves do EFS também pode ser configurada para ocorrer quando o usuário bloqueia o computador ou quando remove o cartão inteligente. O modo de chave armazenada em cache melhora o desempenho significativamente e permite ao administrador configurar o EFS de forma que os arquivos criptografados possam ser criptografados e descriptografados sem a necessidade da presença constante do cartão inteligente no leitor.

Cc162818.note(pt-br,TechNet.10).gif Observação:

Para obter mais detalhes sobre como o modo armazenado em cache é implementado no Windows Vista, consulte o Guia de Segurança do Windows Vista.

A criptografia do EFS no modo de chave armazenada em cache é ilustrada na figura a seguir:

Criptografia do EFS no Vista com cartão inteligente - armazenada em cache

Figura 3.7. Seqüência de criptografia do EFS para Windows Vista com cartão inteligente - modo de chave armazenada em cache

As etapas na seqüência de criptografia ilustrada são as seguintes:

  1. O usuário cria um novo arquivo na pasta criptografada.

  2. Se alguma das condições a seguir for verdadeira, o usuário será solicitado a inserir o cartão inteligente e o PIN:

    • O usuário não fez logon no computador com seu cartão inteligente.

    • O usuário não usou seu cartão inteligente recentemente para acessar um arquivo do EFS.

    • O PIN do cartão não foi armazenado no cache em uma operação recente do EFS ou o cache do PIN foi limpo devido a inatividade.

  3. Uma FEK é gerada aleatoriamente.

  4. Uma chave simétrica é derivada da chave particular do cartão inteligente se uma destas duas condições for verdadeira:

    • Quando o primeiro arquivo é criptografado.

    • Quando a chave derivada não está presente no cache.

  5. A FEK é criptografada com a chave simétrica derivada e armazenada nos metadados do arquivo.

  6. A chave simétrica derivada é armazenada em cache na memória protegida por LSA.

  7. A FEK é usada para criptografar cada bloco de dados.

  8. Os blocos criptografados são gravados em disco.

A descriptografia do EFS no modo de chave armazenada em cache é ilustrada na figura a seguir:

Descriptografia do EFS no Vista com cartão inteligente - armazenada em cache

Figura 3.8. Seqüência de descriptografia do EFS para Windows Vista com cartão inteligente - modo de chave armazenada em cache

As etapas na seqüência de descriptografia ilustrada são as seguintes:

  1. O usuário tenta acessar um arquivo criptografado.

  2. Se alguma das condições a seguir for verdadeira, o usuário será solicitado a inserir o cartão inteligente e o PIN:

    • O usuário não fez logon no computador com seu cartão inteligente.

    • O usuário não usou seu cartão inteligente recentemente para acessar um arquivo do EFS.

    • O PIN do cartão não foi armazenado no cache em uma operação recente do EFS ou o cache do PIN foi limpo devido a inatividade.

  3. Uma chave simétrica é derivada da chave particular baseada no cartão inteligente caso já não esteja armazenada no cache. Após o primeiro uso, a chave derivada é armazenada em cache na memória protegida por LSA.

  4. A FEK é recuperada do arquivo e descriptografada com a chave simétrica derivada.

  5. À medida que o aplicativo lê cada bloco do arquivo, a FEK é usada para descriptografar o bloco antes que este seja passado para o aplicativo que o solicitou.

Modo de chave não armazenada em cache

A criptografia do EFS no Windows Vista com operação do EFS no modo de chave não armazenada em cache é ilustrada na figura a seguir.

Criptografia do EFS no Vista com cartão inteligente - não armazenada em cache

Figura 3.9. Seqüência de criptografia do EFS para Windows Vista com cartão inteligente - modo de chave não armazenada em cache

As etapas na seqüência de criptografia ilustrada são as seguintes:

  1. O usuário cria um novo arquivo na pasta criptografada.

  2. Se o cartão inteligente do usuário não estiver presente, o usuário será solicitado a inseri-lo.

  3. Uma FEK simétrica é gerada aleatoriamente.

  4. A FEK é criptografada com a chave pública do certificado e armazenada nos metadados do arquivo.

  5. À medida que o aplicativo grava cada bloco de dados, o bloco é criptografado com a FEK.

  6. O bloco criptografado é gravado em disco.

A descriptografia do EFS no modo de chave não armazenada em cache é ilustrada na figura a seguir:

Descriptografia do EFS no Vista com cartão inteligente - não armazenada em cache

Figura 3.10. Seqüência de descriptografia do EFS para Windows Vista com cartão inteligente - modo de chave não armazenada em cache

As etapas na seqüência de descriptografia ilustrada são as seguintes:

  1. O usuário tenta acessar um arquivo criptografado.

  2. Se o cartão inteligente do usuário não estiver presente, o usuário será solicitado a inseri-lo. Se alguma das seguintes condições for verdadeira, o usuário será solicitado a inserir seu PIN:

    • O usuário não fez logon no computador com seu cartão inteligente.

    • O usuário não usou seu cartão inteligente recentemente para acessar um arquivo do EFS.

    • O PIN do cartão não foi armazenado no cache em uma operação recente do EFS ou o cache do PIN foi limpo devido a inatividade.

  3. Os metadados do EFS para o arquivo são recuperados do arquivo, e a FEK criptografada é passada para o cartão inteligente.

  4. O cartão inteligente descriptografa os metadados para obter a FEK, que é então retornada ao sistema operacional.

  5. À medida que o aplicativo lê cada bloco do arquivo, a FEK é usada para descriptografar o bloco antes que este seja passado para o aplicativo que o solicitou.

Riscos atenuados: EFS com cartão inteligente

O EFS com a opção de cartão inteligente atenua os seguintes riscos a que os dados estão sujeitos:

  • Computador deixado em estado de hibernação (somente modo de chave não armazenada em cache no Windows Vista). O Windows Vista pode exigir a autenticação do cartão inteligente toda vez que um arquivo protegido pelo EFS for acessado. Esse modo de operação atenua eficazmente esse risco, embora o modo padrão de cartão inteligente com chave armazenada em cache não funcione.

  • Computador deixado no modo de suspensão (em espera) (somente modo de chave não armazenada em cache no Windows Vista). Mesma explicação que a da atenuação do risco anterior (modo de hibernação).

  • Computador deixado conectado com a área de trabalho desbloqueada (somente modo de chave não armazenada em cache no Windows Vista). O Windows Vista pode exigir a autenticação do cartão inteligente toda vez que um arquivo protegido pelo EFS for acessado. Essa funcionalidade, conhecida como modo de chave não armazenada em cache, foi discutida anteriormente neste capítulo e atenua esse risco com eficácia por exigir a presença do cartão inteligente para todos os acessos a arquivos do EFS. Embora este cenário apresente problemas potenciais sérios relativos à utilização prática, ele continua sendo uma opção válida para as organizações que precisam da solução de criptografia mais segura para seus dados confidenciais e críticos.

  • Descoberta de senha local ou de domínio. Conforme mencionado na seção "Riscos à segurança dos dados", no Capítulo 1, um invasor esperto sempre explora o elo mais fraco. Infelizmente para os responsáveis pela segurança dos sistemas de TI, o elo mais fraco costuma ser o usuário que escolhe senhas muito triviais ou que anota uma senha segura em um pedaço de papel e a afixa em seu monitor. Depois que sua organização implementar a autenticação de dois fatores baseada em cartão inteligente para segurança da rede, você deverá conseguir reforçar a segurança do EFS por meio do uso da diretiva “O cartão inteligente é necessário para o logon interativo”. No Windows Vista, a autenticação de dois fatores pode ser obrigatória para o acesso de dados confidenciais, mesmo em situações em que o logon com cartão inteligente não possa ser aplicado, por meio da ativação da configuração Exigir cartões inteligentes para o EFS.

  • Pessoas de dentro da organização podem ler dados criptografados. O EFS com a opção de cartão inteligente fornece uma atenuação eficaz desse risco por adicionar um fator de autenticação extra.

  • Descoberta de chaves por meio de um ataque offline. Supondo-se que o invasor tenha como meta uma chave como a FEK ou a chave mestra da DPAPI em vez da senha do usuário, a chave de recuperação do EFS (que é a chave particular dos certificados usados pelo EFS) ou a chave mestra da DPAPI podem estar sujeitas a um ataque de força bruta. Isso não deve ser uma grande preocupação para muitas organizações, devido à pouca probabilidade de sucesso desse tipo de ataque contra os tipos de chave de alta segurança usados pelo EFS.

  • Vazamento de dados em texto simples pelo arquivo de paginação do sistema (somente Windows Vista). O Windows Vista pode ser configurado para criptografar o arquivo de paginação do sistema, o que atenua eficazmente este risco.

  • Ataques à plataforma (somente modo de chave não armazenada em cache no Windows Vista). No modo de chave armazenada em cache, um computador configurado para usar EFS com armazenamento de chave em cartão inteligente manterá as chaves do EFS na memória, e um ataque à plataforma para recuperá-las pode ser bem-sucedido. O EFS usado com o armazenamento de chaves no cartão inteligente e no modo sem cache atenua esse ataque com eficácia por exigir que um ataque direto contra o cartão inteligente recupere o material de chaves.

  • Fator de autenticação obrigatória deixado com o computador. Nesta opção, o usuário precisa fornecer o PIN, além do fator de autenticação físico, o que proporciona a verdadeira atenuação multifator deste risco.

Riscos residuais e suas atenuações: EFS com cartão inteligente

O EFS com opção de cartão inteligente não atenua os seguintes riscos sem controles e uma diretiva adicionais:

  • Computador deixado em estado de hibernação (somente modo de chave armazenada em cache no Windows XP e no Windows Vista). Se um usuário não configurar o computador para solicitar a senha ao retomar a partir dos modos de suspensão ou de hibernação, o sistema operacional não poderá discernir se o usuário atual é o usuário autorizado. Em tal situação, o invasor pode usar o laptop como se fosse o usuário autorizado. Um ataque provável seria copiar dados interessantes em um dispositivo removível ou em um local na rede. No entanto, se o computador estiver configurado para solicitar as credenciais do usuário ao retomar as atividades a partir dos modos de suspensão ou de hibernação, o risco será atenuado. No EFS com opção de cartão inteligente, este risco pode ser atenuado conforme descrito anteriormente para o Windows Vista.

  • Computador deixado no modo de suspensão (em espera) (somente modo de chave armazenada em cache no Windows XP e no Windows Vista). Mesma explicação que a do risco residual anterior (modo de hibernação).

  • Computador deixado conectado com a área de trabalho desbloqueada (somente modo de chave armazenada em cache no Windows XP e no Windows Vista). Depois que o usuário faz logon no computador, as credenciais ficam disponíveis para descriptografar os certificados usados pelo EFS. Daí em diante, dados não criptografados podem ser acessados por qualquer pessoa com acesso ao teclado. A atenuação mais útil para esse risco é o treinamento em conscientização de segurança para os usuários que possam ter informações confidenciais em seus computadores. No EFS com opção de cartão inteligente, este risco pode ser atenuado conforme descrito anteriormente para o Windows Vista.

  • Ataques offline contra o sistema operacional. O EFS não oferece nenhuma proteção para o sistema operacional no computador nem a nenhum arquivo de configuração do sistema operacional em um cenário de ataque offline.

  • Ataques online contra o sistema operacional (somente modo de chave armazenada em cache no Windows XP e no Windows Vista). Ataques online contra o sistema operacional não são atenuados por esta opção. Entretanto, o uso do Windows Vista com cartões inteligentes no modo de chave não armazenada em cache atenua parcialmente esse risco por impossibilitar a recuperação das chaves do EFS por um invasor, visto que as chaves não são acessíveis a programas executados no sistema operacional do host.

  • Vazamento de dados em texto simples pelo arquivo de hibernação. O EFS não oferece nenhuma proteção ao arquivo de hibernação do sistema. Esse risco pode ser atenuado com a atualização para o Windows Vista e o uso do BitLocker ou pela desativação da hibernação.

    Cc162818.important(pt-br,TechNet.10).gif Importante

    A desativação da hibernação reduz a utilização prática dos PCs móveis. Essa atenuação pode ser apropriada para computadores que armazenam ativos extremamente valiosos, mas as outras atenuações costumam ser mais apropriadas.

  • Vazamento de dados em texto simples pelo arquivo de paginação do sistema (somente Windows XP). No Windows XP, o EFS não pode ser usado para criptografar nenhum arquivo do sistema, inclusive o arquivo de paginação do sistema. Essa restrição significa que se dados confidenciais forem acessados através de um aplicativo, os dados poderão ser gravados em disco como uma parte normal da operação de paginação da memória. Esse risco pode ser atenuado com a atualização para o Windows Vista ou pela configuração do computador para não usar a paginação da memória.

    Cc162818.important(pt-br,TechNet.10).gif Importante

    A desativação da paginação da memória normalmente reduz o desempenho do computador, algumas vezes de maneira significativa.

  • Ataques à plataforma (somente modo de chave armazenada em cache no Windows XP e no Windows Vista). No modo de chave armazenada em cache, o computador manterá as chaves do EFS na memória e um ataque à plataforma para recuperá-las poderá ser bem-sucedido.

  • Erro do usuário. Os usuários precisam tomar cuidado para não salvar arquivos que contêm dados confidenciais em locais onde o EFS não esteja ativado. No Windows Vista, esse risco é parcialmente atenuado porque existe uma opção de configuração do EFS que permite que todos os arquivos na pasta Documentos do usuário sejam criptografados. Essa funcionalidade torna mais fácil para os usuários garantir que os arquivos e diretórios apropriados sejam criptografados. Esse risco também pode ser atenuado pelo uso da ferramenta Assistente do EFS (que faz parte deste Solution Accelerator) para ajudar a automatizar o processo de proteção dos arquivos do usuário com o EFS.

Resumo da análise de riscos do EFS

A tabela a seguir lista os riscos aos dados e indica se as diferentes opções do EFS atenuam cada risco. Para computadores baseados no Windows XP, a configuração de usuário de domínio Exigir logon com cartão inteligente fica ativada. Para computadores baseados no Windows Vista, as configurações do EFS Exigir um cartão inteligente para EFS e Ativar a criptografia do arquivo de paginação ficam ativadas.

Os riscos atenuados por opções específicas estão assinalados com a letra S. Hífens - indicam riscos para os quais a opção específica proporciona pouca ou nenhuma atenuação.

Tabela 3.1. Atenuação de riscos do EFS

Atenuações de riscos do EFS

Mais informações


Download

Obtenha o Data Encryption Toolkit for Mobile PCs

Participe

Inscreva-se para participar do programa beta do Data Encryption Toolkit

Notificações de atualizações

Inscreva-se para obter informações sobre atualizações e novos lançamentos

Comentários

Envie-nos seus comentários e sugestões



Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site do MSDN. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site do MSDN.

Deseja participar?
Mostrar:
© 2014 Microsoft