В этой статье я расскажу о штатных средствах шифрования в операционных системах Windows на примере Windows 7.

Как происходит шифрование

Шифрование это наиболее действенный способ защиты файлов и каталогов от несанкционированного доступа. Шифрование используется не только в организациях. Возможно, вы имеете несколько криптовалютных кошельков и хотите зашифровать ключи к ним.

В Windows для шифрования используется шифрованная файловая система (Encrypting File System — EFS). Исключение составляют базовые домашние версии операционной системы.

EFS является частью файловой системы NTSF и не доступна для дисков с FAT32. EFS использует симметричный алгоритм шифрования, для шифрования генерируется случайный ключ. В свою очередь секретность этого ключа обеспечивает ассиметричное шифрование по алгоритму RSA (открытый ключ пользователя содержится в цифровом сертификате).

Схема доступа к зашифрованному содержимому следующая. Когда пользователю необходимо получить доступ к содержимому зашифрованного файла, драйвер шифрованной файловой системы прозрачно для него расшифровывает FEK, используя закрытый ключ пользователя, а затем с помощью соответствующего симметричного алгоритма на расшифрованном ключе

Схема 1: шифрование файла.

Схема 2: расшифрования файла.

Когда пользователь, который зашифровал файлы, заходит в Windows под своей учетной записью, он может работать с файлами. Другой пользователь, вошедший в систему, не сможет работать с зашифрованными файлами.

При шифровании каталога шифруются все файлы, находящиеся в нем.

Шифрование первого файла

Все изображения и описания процесса шифрования сделаны для Windows 7 Ultimate. Но частично вы можете видеть скрины с Windows 10. Так получилось, что пришлось доделывать на ПК. Но сути это не меняет. Для примера я создал два текстовых файла File1.txt и File2.txt.

Что бы зашифровать файл File1.txtнужно щелкнуть по нему правой кнопкой мыши и выбрать меню «Свойства», перейти на вкладку «Общие» и нажать кнопку «Другие», что приведет к открытию окна «Дополнительные атрибуты». Затем выбрать параметр «Шифровать содержимое для защиты данных».

Я создал файл в корне диска D, если ваш файл находится не в корне, а в какой-либо папке, то операционная система спросит у вас нужно ли шифровать только этот файл или зашифровать всю папку.

После шифрования название файла изменит цвет на зеленый.

Зашифровать второй файл можно аналогичным способом, под другой учетной записью для примера.

Создание архивной копии сертификата

После шифрования нужно создать архивную копию сертификата и ключа шифрования. Это необходимо для того, чтобы не потерять доступ к зашифрованным файлам.

Для этого нужно зайти в свойства файла, перейти дополнительные атрибуты и нажать кнопку «Подробности». Выбрать пользователя и нажать кнопку «Архивация ключа». Появится мастер экспорта сертификатов.

Далее следуйте указаниям мастера и делайте все как на изображениях.

После завершения работы мастера экспорт будет выполнен.

Для проверки того, что файл зашифрован вам нужно создать вторую учетную запись с обычным доступом и зайти под ней в операционную систему. После входа попробуйте открыть зашифрованный файл.

Вы получите ошибку доступа.

Если сертификат утерян

Мы сделали бекап, нам нужно сохранить его для дальнейшего использования, например переместим его на флешку. Представим, что по какой-то причине наш сертификат пропал из операционной системы. Давайте удалим сертификат вручную.

Для этого откроем сертификаты текущего пользователя — certmgr.msc.

В появившемся окне откройте раздел «Личное». Удалите сертификат текущего пользователя. После перезагрузки компьютера зашифрованный файл будет недоступен.

Для получения доступа нам нужно скопировать на компьютер сертификат с флешки. Затем запустить сертификаты текущего пользователя (certmgr.msc). Перейти в папку «Личное» и запустить мастер импорта сертификатов. С помощью подсказок мастера выполните импорт сертификата.

После этого доступ к зашифрованным файлам будет восстановлен.