مقایسه سیستم‌های رمزگذاری BitLocker و EFS در ویندوز

ردموندی‌ها تمامی نسخه‌های سیستم عامل ویندوز را به جز ویندوز XP، مجهز به قابلیت رمزگذاری بر روی درایو ذخیره‌سازی، تحت عنوان بیت‌لاکر (BitLocker) کردند. همچنین قابلیت BitLocker To Go که از زیر مجموعه‌ی سیستم رمزنگاری بیت‌لاکر محسوب شده و برای رمزگذاری بر روی حافظه‌های جانبی کاربرد دارد، همراه با ویندوز ۷ شرکت مایکروسافت به عموم معرفی شد که تاکنون همراه دائمی سیستم عامل‌های ویندوز مایکروسافت بوده است. با این حال، بیت‌لاکر تنها سیستم امنیتی رمزنگاری در سیستم عامل‌های ویندوز نبوده و این سیستم عامل‌ها علاوه‌بر بیت‌لاکر، دارای سیستم رمزگذاری EFS که سر نام عبارت Encrypting File System است، هستند.

هر دو سیستم رمزنگاری یاد شده فقط در نسخه‌های حرفه‌ای پرو و اینترپرایز سیستم عامل‌های ویندوز، به طور کامل قابل دسترسی هستند. نسخه‌های خانگی (Home) ویندوز فقط از ویژگی بسیار محدود رمزگذاری دستگاه (device encryption) بهره‌مند هستند و تنها در پی‌سی‌های پیشرفته‌ای که از ویژگی InstantGo (بیدار شدن سریع رایانه از حالت Sleep) پشتیبانی می‌کنند، قابل استفاده خواهد بود.

بیت‌لاکر راهکاری برای رمزگذاری کامل دیسک است که یک پارتیشن یا Volume را به طور کامل کدگذاری می‌کند. با راه‌اندازی و اعمال تنظیمات مربوط به بیت‌لاکر، می‌توانید پارتیشن سیستم مربوط به ویندوز، پارتیشن‌های دیگر موجود در دیسک سخت داخلی رایانه، پارتیشن دیگر رسانه‌ی ذخیره‌سازی خارجی و حتی پارتیشن یک یو‌اس‌بی فلش درایو را همان‌طور که از نام روش رمزنگاری هم مشخص است، بیت به بیت رمزگذاری کنید.

همچنین، می‌توان با بهره‌مندی از بیت‌لاکر و ایجاد فایل کانتینر رمزگذاری شده با استفاده از ساخت دیسک سخت مجازی (VHD)، به جای رمزگذاری کل درایو، تعداد مشخصی از فایل‌ها را رمزگذاری کرد. هرچند که همین دیسک مجازی هم به صورت کامل با بیت‌لاکر رمزگذاری خواهد شد!

در صورتی که قصد رمزگذاری دیسک سخت خود به منظور محافظت از داده‌های بسیار حساس و عدم دسترسی افراد دیگر (به خصوص سارقان لپ‌تاپ) به فایل‌های شخصی و محرمانه را دارید، بدون شک بیت‌لاکر برترین گزینه برای شما است. پس از فعال کردن بیت‌لاکر، کل فضای درایو ذخیره‌سازی رمزنگاری خواهد شد و هیچ لزومی ندارد که فکر خود را درباره‌ی فایل‌های کدگذاری شده و کدگذاری نشده مشغول کنید.

بیت‌لاکر وابسته به حساب کاربری نبوده و هنگامی که مدیر سیستم (Administrator) آن را فعال کند، هر یک از حساب‌های کاربری در صورت داشتن رمز عبور می‌تواند به درایو و فایل رمزگذاری شده‌ی داخل آن، دسترسی داشته باشد. بیت‌لاکر برای تامین امنیت سطح بالای خود، از ماژولی سخت‌افزاری به نام پلتفرم مورد اعتماد (TPM) بهره می‌برد. این چیپ سخت‌افزاری کلید رمزنگاری بیت‌لاکر را در خود ذخیره می‌کند. با این حال می‌توان در حالت ادمین، بدون وجود چیپ یاد شده در رایانه هم، بیت‌لاکر را فعال کرد اما در این حالت کلید رمزنگاری در دیسک سخت ذخیره خواهد شد.

با این که رمزگذاری درایو (drive encryption) در ویندوزهای ۱۰ و ۸.۱ بسیار محدود شده، اما در تمامی رایانه‌های دارای بیت‌لاکر، عملکرد مشابهی دارد.

شیوه‌ی کارکرد EFS بسیار متفاوت است. ای‌اِف‌اِس به جای رمزگذاری روی کل درایو، فایل‌های تکی و دایرکتوری‌ها را به صورت یک به یک رمزنگاری می‌کند. در حالی که بیت‌لاکر فقط یک بار تنظیم می‌شود، ای‌اف‌اس نیازمند انتخاب دستی فایل مورد نظر و اعمال تنظیمات مربوطه به صورت جداگانه است.

برای انجام چنین کاری، بایستی از مرورگر فایل ویندوز استفاده کنید. به این ترتیب که، پس از انتخاب پوشه یا پرونده‌ی (فایل) مورد نظر، پنجره‌ی Properties را باز کرده و بر روی دکمه‌ی Advanced موجود در تب General و بخش Attributes کلیک کنید. در نهایت گزینه‌ی Encrypt contents to secure data را فعال کنید.

رمزگذاری با استفاده از ای‌اف‌اس بر پایه‌ی کاربر بوده و از User Certificate برای رمزنگاری استفاده می کند. یعنی فایل‌های رمزنگاری شده فقط به وسیله‌ی حساب کاربری ویژه‌ای که آن فایل یا پوشه را رمزگذاری کرده قابل دسترسی خواهد بود. رمزگذاری به این شیوه، شفاف و روشن است. اگر با حساب کاربری رمزگذاری کننده‌ی فایل، وارد سیستم شده باشید یا به اصطلاح فرنگی در سیستم لاگین (Log in) کرده باشید، بدون نیاز به هیچ تاییدیه‌ای به فایل مورد نظر دسترسی خواهید داشت. اما در صورتی که با سایر حسا‌ب‌های کاربری وارد سیستم شده باشید، فایل مورد نظر برای شما قابل دسترس نخواهد بود.

کلید رمزنگاری روش ای‌اف‌اس به جای چیپ سخت‌افزاری TPM، در خود سیستم عامل ذخیره می‌شود که همین امر باعث تنزل سطح امنیت و استخراج آسوده‌ی کلید رمزنگاری به وسیله‌ی عامل نفوذی خواهد شد. در این روش، هیچ‌گونه رمزگذاری بر روی کل درایو مربوط به فایل سیستم پرونده‌ی رمزگذاری شده اعمال نمی‌شود؛ مگر این که بیت‌لاکر را هم فعال کرده باشید.

همچنین، امکان این که فایل رمزنگاری شده به محیط غیر رمزنگاری شده منتقل شود هم وجود دارد. به عنوان مثال، اگر یک نرم‌افزار، فایل کش موقتی را پس از بازگردن سندی رمزگذاری شده با روش EFS که دارای اطلاعات مالی حساسی است ایجاد کند، فایل کش مربوطه و داده‌های حساس آن در پوشه‌ای دیگر که رمزگذاری نشده، ذخیره خواهد شد.

بیت‌لاکر یکی از قابلیت‌های اساسی سیستم عامل ویندوز به شمار رفته، قادر به رمزنگاری کل درایو ذخیره‌سازی بوده و مستقل از فایل سیستم عمل می‌کند؛ در حالی که EFS، مزیتی از امکانات مربوط به فایل سیستم NTFS محسوب می‌شود.

با توجه به این که بیت‌لاکر و ای‌اف‌اس برای دو منظور مختلف طراحی شده و این دو، لایه‌های مختلفی از رمزگذاری به شمار می‌روند، در نتیجه امکان استفاده‌ی هم‌زمان از دو روش یاد شده هم وجود دارد. کاربرها می‌توانند حتی پس از رمزگذاری روی کل درایو ذخیره‌سازی، رمزنگاری ای‌اف‌اس را هم برای فایل‌ها و پوشه‌های درون آن فعال کنند. هرچند که دلیل زیاد محکمی برای انجام چنین کاری وجود نداشته و ممکن است در رایانه‌هایی که از سخت‌افزار قدرتمندی بی‌نصیب هستند، باعث کاهش عملکرد سیستم شود.

اگر قصد رمزنگاری روی درایو ذخیره‌سازی را دارید، بهتر است با استفاده از بیت‌لاکر کل فضای ذخیره‌سازی را رمزگذاری کنید. نه تنها فقط یک بار نیاز به فعال‌سازی دارد، بلکه از سطح امنیت بسیار بالایی هم بهره می‌برد. شما می‌توانید با استفاده از الگوریتم امنیتی رمزنگاری ۱۲۸ یا ۲۵۶ بیتی AES اقدام به رمزگذاری روی درایو سیستم کنید.

همان‌طور که در این مقاله مطالعه کردید، چندین بار بیت‌لاکر به عنوان تنها راهکار امن مایکروسافت برای رمزگذاری در ویندوز معرفی شده که دلایل قانع کننده و محکمی برای آن وجود دارد. قابلیت رمزگذاری کامل دیسک با الگوریتم AES بیت‌لاکر و آسودگی استفاده از آن است که به کل روش رمزگذاری با ای‌اف‌اس و ویژگی‌های آن می‌چربد. بنابراین، اگر نیازمند رمزنگاری هستید بایستی از بیت‌لاکر استفاده کنید.

پس دلیل وجود EFS چیست؟ ای‌اف‌اس یکی از ویژگی‌های قدیمی ویندوز بوده و همراه با ویندوز ۲۰۰۰ معرفی شده است. بیت‌لاکر هم با ویندوز ویستا به وجود آمد.

ممکن است استفاده از بیت‌لاکر در رایانه‌هایی که از لحاظ سخت‌افزاری حرفی برای گفتن ندارند، باعث کاهش محسوس عملکرد سیستم شود درحالی که ای‌اف‌اس تاثیر کم‌تری بر روی کاهش عملکرد رایانه دارد. اما خوشبختانه با وجود سخت‌افزاری نسبتا پیشرفته، به هیچ‌وجه کاهش عملکردی مشاهده نخواهد شد.

 آیا تاکنون از روش‌های رمزنگاری بیان شده در این مقاله استفاده کرده‌اید؟