مقایسه سیستمهای رمزگذاری BitLocker و EFS در ویندوز
ردموندیها تمامی نسخههای سیستم عامل ویندوز را به جز ویندوز XP، مجهز به قابلیت رمزگذاری بر روی درایو ذخیرهسازی، تحت عنوان بیتلاکر (BitLocker) کردند. همچنین قابلیت BitLocker To Go که از زیر مجموعهی سیستم رمزنگاری بیتلاکر محسوب شده و برای رمزگذاری بر روی حافظههای جانبی کاربرد دارد، همراه با ویندوز ۷ شرکت مایکروسافت به عموم معرفی شد که تاکنون همراه دائمی سیستم عاملهای ویندوز مایکروسافت بوده است. با این حال، بیتلاکر تنها سیستم امنیتی رمزنگاری در سیستم عاملهای ویندوز نبوده و این سیستم عاملها علاوهبر بیتلاکر، دارای سیستم رمزگذاری EFS که سر نام عبارت Encrypting File System است، هستند.
هر دو سیستم رمزنگاری یاد شده فقط در نسخههای حرفهای پرو و اینترپرایز سیستم عاملهای ویندوز، به طور کامل قابل دسترسی هستند. نسخههای خانگی (Home) ویندوز فقط از ویژگی بسیار محدود رمزگذاری دستگاه (device encryption) بهرهمند هستند و تنها در پیسیهای پیشرفتهای که از ویژگی InstantGo (بیدار شدن سریع رایانه از حالت Sleep) پشتیبانی میکنند، قابل استفاده خواهد بود.
بیتلاکر یک دیسک را به طور کامل رمزگذاری میکند
بیتلاکر راهکاری برای رمزگذاری کامل دیسک است که یک پارتیشن یا Volume را به طور کامل کدگذاری میکند. با راهاندازی و اعمال تنظیمات مربوط به بیتلاکر، میتوانید پارتیشن سیستم مربوط به ویندوز، پارتیشنهای دیگر موجود در دیسک سخت داخلی رایانه، پارتیشن دیگر رسانهی ذخیرهسازی خارجی و حتی پارتیشن یک یواسبی فلش درایو را همانطور که از نام روش رمزنگاری هم مشخص است، بیت به بیت رمزگذاری کنید.
همچنین، میتوان با بهرهمندی از بیتلاکر و ایجاد فایل کانتینر رمزگذاری شده با استفاده از ساخت دیسک سخت مجازی (VHD)، به جای رمزگذاری کل درایو، تعداد مشخصی از فایلها را رمزگذاری کرد. هرچند که همین دیسک مجازی هم به صورت کامل با بیتلاکر رمزگذاری خواهد شد!
در صورتی که قصد رمزگذاری دیسک سخت خود به منظور محافظت از دادههای بسیار حساس و عدم دسترسی افراد دیگر (به خصوص سارقان لپتاپ) به فایلهای شخصی و محرمانه را دارید، بدون شک بیتلاکر برترین گزینه برای شما است. پس از فعال کردن بیتلاکر، کل فضای درایو ذخیرهسازی رمزنگاری خواهد شد و هیچ لزومی ندارد که فکر خود را دربارهی فایلهای کدگذاری شده و کدگذاری نشده مشغول کنید.
بیتلاکر وابسته به حساب کاربری نبوده و هنگامی که مدیر سیستم (Administrator) آن را فعال کند، هر یک از حسابهای کاربری در صورت داشتن رمز عبور میتواند به درایو و فایل رمزگذاری شدهی داخل آن، دسترسی داشته باشد. بیتلاکر برای تامین امنیت سطح بالای خود، از ماژولی سختافزاری به نام پلتفرم مورد اعتماد (TPM) بهره میبرد. این چیپ سختافزاری کلید رمزنگاری بیتلاکر را در خود ذخیره میکند. با این حال میتوان در حالت ادمین، بدون وجود چیپ یاد شده در رایانه هم، بیتلاکر را فعال کرد اما در این حالت کلید رمزنگاری در دیسک سخت ذخیره خواهد شد.
با این که رمزگذاری درایو (drive encryption) در ویندوزهای ۱۰ و ۸.۱ بسیار محدود شده، اما در تمامی رایانههای دارای بیتلاکر، عملکرد مشابهی دارد.
EFS فقط فایلهای مشخصی را رمزگذاری میکند
شیوهی کارکرد EFS بسیار متفاوت است. ایاِفاِس به جای رمزگذاری روی کل درایو، فایلهای تکی و دایرکتوریها را به صورت یک به یک رمزنگاری میکند. در حالی که بیتلاکر فقط یک بار تنظیم میشود، ایافاس نیازمند انتخاب دستی فایل مورد نظر و اعمال تنظیمات مربوطه به صورت جداگانه است.
برای انجام چنین کاری، بایستی از مرورگر فایل ویندوز استفاده کنید. به این ترتیب که، پس از انتخاب پوشه یا پروندهی (فایل) مورد نظر، پنجرهی Properties را باز کرده و بر روی دکمهی Advanced موجود در تب General و بخش Attributes کلیک کنید. در نهایت گزینهی Encrypt contents to secure data را فعال کنید.
رمزگذاری با استفاده از ایافاس بر پایهی کاربر بوده و از User Certificate برای رمزنگاری استفاده می کند. یعنی فایلهای رمزنگاری شده فقط به وسیلهی حساب کاربری ویژهای که آن فایل یا پوشه را رمزگذاری کرده قابل دسترسی خواهد بود. رمزگذاری به این شیوه، شفاف و روشن است. اگر با حساب کاربری رمزگذاری کنندهی فایل، وارد سیستم شده باشید یا به اصطلاح فرنگی در سیستم لاگین (Log in) کرده باشید، بدون نیاز به هیچ تاییدیهای به فایل مورد نظر دسترسی خواهید داشت. اما در صورتی که با سایر حسابهای کاربری وارد سیستم شده باشید، فایل مورد نظر برای شما قابل دسترس نخواهد بود.
کلید رمزنگاری روش ایافاس به جای چیپ سختافزاری TPM، در خود سیستم عامل ذخیره میشود که همین امر باعث تنزل سطح امنیت و استخراج آسودهی کلید رمزنگاری به وسیلهی عامل نفوذی خواهد شد. در این روش، هیچگونه رمزگذاری بر روی کل درایو مربوط به فایل سیستم پروندهی رمزگذاری شده اعمال نمیشود؛ مگر این که بیتلاکر را هم فعال کرده باشید.
همچنین، امکان این که فایل رمزنگاری شده به محیط غیر رمزنگاری شده منتقل شود هم وجود دارد. به عنوان مثال، اگر یک نرمافزار، فایل کش موقتی را پس از بازگردن سندی رمزگذاری شده با روش EFS که دارای اطلاعات مالی حساسی است ایجاد کند، فایل کش مربوطه و دادههای حساس آن در پوشهای دیگر که رمزگذاری نشده، ذخیره خواهد شد.
بیتلاکر یکی از قابلیتهای اساسی سیستم عامل ویندوز به شمار رفته، قادر به رمزنگاری کل درایو ذخیرهسازی بوده و مستقل از فایل سیستم عمل میکند؛ در حالی که EFS، مزیتی از امکانات مربوط به فایل سیستم NTFS محسوب میشود.
چرا باید از بیتلاکر به جای ایافاس استفاده کنید؟
با توجه به این که بیتلاکر و ایافاس برای دو منظور مختلف طراحی شده و این دو، لایههای مختلفی از رمزگذاری به شمار میروند، در نتیجه امکان استفادهی همزمان از دو روش یاد شده هم وجود دارد. کاربرها میتوانند حتی پس از رمزگذاری روی کل درایو ذخیرهسازی، رمزنگاری ایافاس را هم برای فایلها و پوشههای درون آن فعال کنند. هرچند که دلیل زیاد محکمی برای انجام چنین کاری وجود نداشته و ممکن است در رایانههایی که از سختافزار قدرتمندی بینصیب هستند، باعث کاهش عملکرد سیستم شود.
اگر قصد رمزنگاری روی درایو ذخیرهسازی را دارید، بهتر است با استفاده از بیتلاکر کل فضای ذخیرهسازی را رمزگذاری کنید. نه تنها فقط یک بار نیاز به فعالسازی دارد، بلکه از سطح امنیت بسیار بالایی هم بهره میبرد. شما میتوانید با استفاده از الگوریتم امنیتی رمزنگاری ۱۲۸ یا ۲۵۶ بیتی AES اقدام به رمزگذاری روی درایو سیستم کنید.
همانطور که در این مقاله مطالعه کردید، چندین بار بیتلاکر به عنوان تنها راهکار امن مایکروسافت برای رمزگذاری در ویندوز معرفی شده که دلایل قانع کننده و محکمی برای آن وجود دارد. قابلیت رمزگذاری کامل دیسک با الگوریتم AES بیتلاکر و آسودگی استفاده از آن است که به کل روش رمزگذاری با ایافاس و ویژگیهای آن میچربد. بنابراین، اگر نیازمند رمزنگاری هستید بایستی از بیتلاکر استفاده کنید.
پس دلیل وجود EFS چیست؟ ایافاس یکی از ویژگیهای قدیمی ویندوز بوده و همراه با ویندوز ۲۰۰۰ معرفی شده است. بیتلاکر هم با ویندوز ویستا به وجود آمد.
ممکن است استفاده از بیتلاکر در رایانههایی که از لحاظ سختافزاری حرفی برای گفتن ندارند، باعث کاهش محسوس عملکرد سیستم شود درحالی که ایافاس تاثیر کمتری بر روی کاهش عملکرد رایانه دارد. اما خوشبختانه با وجود سختافزاری نسبتا پیشرفته، به هیچوجه کاهش عملکردی مشاهده نخواهد شد.
آیا تاکنون از روشهای رمزنگاری بیان شده در این مقاله استفاده کردهاید؟