Підтримка алгоритму ECC в файлової системі EFS
В ОС Windows 7 в архітектуру файлової системи EFS впроваджена підтримка алгоритму шифрування ECC. Це дозволяє забезпечити відповідність файлової системи EFS вимогам до шифрування стандарту Suite B, певним Агентством національної безпеки США для захисту секретної інформації в урядових установах США. Відповідно до вимог стандарту Suite B для захисту даних необхідно використовувати алгоритми шифрування AES, SHA і ECC. Алгоритм RSA не підтримує стандартом Suite B.
Файлова система EFS в ОС Windows 7 підтримує роботу в змішаному режимі з одночасним використанням алгоритмів ECC і RSA. Це дозволяє забезпечити сумісність з файлами EFS, створеними з використанням алгоритмів, підтримуваних в попередніх версіях Windows. Такий режим може застосовуватися в організаціях, що використовують алгоритм RSA і планують перехід на алгоритм ECC, щоб забезпечити відповідність стандарту Suite B.
Використання самозаверяющіх сертифікатів
В політиках відкритого ключа файлової системи EFS за замовчуванням дозволено створення самозаверяющіх сертифікатів в тому випадку, якщо недоступний центр сертифікації (ЦС). У деяких організаціях застосування самозаверяющіх сертифікатів не допускається через ризики, пов'язані з безпекою інформації. Якщо цей параметр відключений, користувачі можуть працювати з файлової системою EFS тільки після отримання відповідного сертифікату з довіреної ЦС.
Якщо дозволено застосування самозаверяющіх сертифікатів, можна задати довжину ключа, який буде використовуватися для шифрування файлів і папок. За замовчуванням в файлової системі EFS використовується 2048-розрядний ключ для самозаверяющіх сертифікатів RSA і 256-розрядний ключ для сертифікатів ECC. Підтримуються наступні ключі RSA і ECC:
Зміни в груповій політиці для файлової системи EFS
Після включення і налаштування параметрів політики для файлової системи EFS за допомогою параметрів групової політики можна визначити параметри підтримки алгоритму ECC. У розділі Політики відкритого ключа відкрийте властивості розділу Шифрована файлова система (EFS). На вкладці Загальні в розділі Шифрування на основі еліптичних кривих виберіть відповідний параметр: Дозволити - одночасне використання алгоритмів ECC і RSA; Вимагати - використання тільки алгоритму ECC; Заборонити - використання тільки алгоритму RSA.
Ці параметри політики застосовуються тільки до спочатку зашифрованих файлів і папок. Якщо файл або папка були зашифровані до настройки цього параметра, користувачі як і раніше будуть мати доступ до їх вмісту, а самі вони як і раніше будуть зашифровані за допомогою алгоритму, який використовувався в момент їх шифрування.
При виборі параметра Вимагати до ключу шифрування файлу не застосовується алгоритм AES. У цьому випадку застосовується тільки алгоритм ECC. Не всі алгоритми ECC відповідають вимогам стандарту Suite B.
Зміни в засобі командного рядка Cipher.exe
До параметрів / K і / R засоби Cipher.exe доданий необов'язковий параметр / ECC: довжина. який дозволяє створювати ключі ECC. Для алгоритму ECC підтримується довжина ключа 256, 384 або 521. Цей параметр ігнорується, якщо не створюється самозаверяющій сертифікат.