Thursday, February 28th, 2008...12:27 am

Szyfrowanie pliku wymiany

Jump to Comments

Ostatnio głośno było o możliwości ataku na zaszyfrowane dyski poprzez dane dostępne w pamięci komputera. W ramach jednej z dyskusji poświęconych temu tematowi poruszono temat nowej opcji dostępnej na WIndows Vista pozwalającej na zaszyfrowanie pliku wymiany na dysku. Pewnie już znane, ale ja dopiero się o tym dowiedziałem.

Plik wymiany używany jest do przechowywania chwilowo niepotrzebnych obszarów pamięci aby udostępnić więcej zasobów innym procesom. Pamięć systemu może zawierać dosyć ciekawe rzeczy, w końcu przedstawione metody ataku na zaszyfrowane dyski opierają się na dostępie do kluczy przechowywanych w pamięci komputera. Zdarzyć się może, że w pliku wymiany komputera w stanie hibernacji mogą znajdować się ciekawe dane. Po wyłączeniu komputera, jeżeli nie mamy ustawionej opcji czyszczenia pliku wymiany przy zamknięciu systemu również mogą w nim pozostać interesujące dla potencjalnego intruza dane. Może warto się więc zabezpieczyć

Opcja ta dostępna jest w następującej ścieżce:

Computer Configuration\Windows Settings\Security Settings\Public Key Policies \Encrypting File System \ Enable pagefile encryption

 

Co ciekawe, pomimo że opcja ta została umieszczona w opcjach EFS nie ma z samym EFS za dużo wspólnego (ech ta konsekwencja). Szyfrowanie wykonywane jest przy użyciu AES z 256-bitowym  kluczem generowanym przy każdym starcie systemu. Przy zamknięciu systemu klucz nie jest nigdzie zapisywany, co efektywnie oznacza zaszyfrowanie pliku wymiany bez możliwości odzyskania jego zawartości.

Jeżeli więc ktoś nie odczuwa potrzeby szyfrowania całego dysku a korzysta z opcji  może warto pomyśleć chociażby o włączeniu szyfrowania dla pliku wymiany. Zawsze to utrudni zadanie intruzowi a może i ochroni jakieś ważne dla nas dane.

Ja zostaję jednak przy BitLocker.

2 Comments

  • BitLocker jest dobry i dla normalnego uzytkownika wystarczajacy. Ostatnio prowadze istna walke z Dell by uruchomic na nim Viste i znow cieszyc sie BL 🙂

  • Cóż .. jak dla mnie podstawową rzeczą jeżeli chodzi o BitLocker jest wygoda używania i względne bezpieczeństwo danych.

    Ostatnio widziałem dwa ciekawe zastosowania BitLocker:
    – dystrybucja obrazu komputera z dodatkowym wolumenem “serwisowym” zabezpieczonym przy pomocy BitLocker. Dostęp do niego był możliwy po podaniu klucza z poziom Explorera.
    – Własny credentail provider do Visty, po okreslonej liczbie nieudanych logowań usuwał klucze Bitlocker i restartował maszynę wymuszając tryb “recovery” . Dobre dla maszyn które zostają włączone na chwilę bez opieki … ale tak nie zalecamy robić.

Leave a Reply