Cơ chế mã hóa tập tin trong hệ quản trị tập tin NTFS - Báo cáo học phần mật mã ứng dụng
MỤC LỤC DANH MỤC HÌNH ẢNH i LỜI MỞ ĐẦU Chương I Tổng quan hệ quản trị tập tin có hỗ trợ mật mã 1.1 Tổng quan hệ quản trị tập tin 1.1.1 Nguồn gốc đời 1.1.2 Khái niệm 1.1.3 Kiến trúc 1.2 Một số hệ quản trị tập tin có hỗ trợ mật mã 1.2.1 Hệ thống quản trị tập tin NTFS 1.2.2 Một số hệ quản trị tập tin Linux 1.2.3 Hệ quản trị tập tin AFS – Apple File System MacOS 10 Chương II Cơ chế mã hóa – giải mã file NTFS 12 2.1 Một số khái niệm liên quan đến hệ thống tệp NTFS 12 2.1.1 Luồng liệu 12 2.1.2 MFT – Master File Table 13 2.1.3 Thuộc tính – Attributes 14 2.2 Cơ chế mã hóa file 16 2.3 Cơ chế giải mã file 17 Chương III Minh họa trường hợp truy cập vào file NTFS 19 3.1 Chuẩn bị công cụ mô tả minh họa 19 3.2 Thực phân quyền Local User 19 3.2.1 Tạo người dùng nhóm người dùng để phân quyền truy cập 19 3.2.2 Tạo liệu để phân quyền truy cập 21 3.2.3 Thực phân quyền truy cập tới liệu tạo 22 3.2.4 Kiểm tra kết 27 3.3 Thực phân quyền với Remote User 28 3.4 Thực mã hóa thư mục phân vùng NTFS 30 KẾT LUẬN 33 TÀI LIỆU THAM KHẢO 34 DANH MỤC HÌNH ẢNH Hình 1.1 Phân vùng chia định dạng NTFS Windows Hình 2.1 Luồng liệu thay 12 Hình 2.2 Cấu trúc MFT entry 14 Hình 2.3 Cấu trúc Attribute 15 Hình 2.4 Q trình mã hóa tập tin 17 Hình 2.5 Quá trình giải mã tập tin 18 i LỜI MỞ ĐẦU Hệ thống NTFS - New Technology File System hệ thống quản trị tập tin đại, với tính hữu ích cho người dùng, có tính mã hóa mạnh mẽ thư mục, tài liệu giúp bảo vệ liệu người dùng, tránh việc truy cập bất hợp pháp Bài báo cáo sau em xin trình bày chế mã hóa hệ quản trị tập tin NTFS Bài báo cáo gồm phần sau đây: Chương 1: Tổng quan hệ quản trị tập tin có hỗ trợ mật mã Chương 2: Cơ chế mã hóa – giải mã hệ quản trị tập tin NTFS Chương 3: Minh họa trường hợp file truy cập người dùng nhiều người dùng Trong q trình nghiên cứu, tài liệu cịn hạn chế, nhiều nguyên nhân chủ quan khách quan nên báo cáo em không tránh khỏi sai sót Em mong thầy dẫn, đưa ý kiến quý báu giúp em hoàn thiện tốt báo cáo Em xin chân thành cảm ơn! Chương I Tổng quan hệ quản trị tập tin có hỗ trợ mật mã 1.1 Tổng quan hệ quản trị tập tin 1.1.1 Nguồn gốc đời Trước đời máy tính, hệ thống tập tin sử dụng để mô tả phương pháp lưu trữ lấy tài liệu giấy Đến năm 1961, thuật ngữ áp dụng cho việc quản lý máy vi tính với nghĩa gốc Đến năm 1964, sử dụng chung Nhiều hệ điều hành bao gồm hỗ trợ cho nhiều hệ thống file Đôi hệ điều hành hệ thống file đan xen chặt chẽ đến mức khó tách rời chức hệ thống file Cần phải có giao diện cung cấp phần mềm hệ điều hành người dùng hệ thống file Giao diện văn (như cung cấp giao diện dòng lệnh, chẳng hạn shell Unix OpenVMS DCL) đồ họa (như cung cấp giao diện người dùng đồ họa, trình duyệt file) 1.1.2 Khái niệm Trong máy tính, hệ thống quản trị tập tin – filesystem (hay gọi hệ thống tệp) phương pháp sử dụng hệ điều hành, quy định cách tệp đặt tên vị trí chúng đặt cho hợp lý để lưu trữ truy xuất Nếu khơng có hệ thống quản trị tập tin, thông tin lưu trữ không tách biệt thành tệp riêng lẻ khó xác định truy xuất Khi dung lượng liệu tăng lên, việc tổ chức khả truy cập tệp riêng lẻ trở nên quan trọng việc lưu trữ liệu Bằng cách tách liệu thành mảnh đặt tên cho mảnh, thông tin dễ dàng phân tách xác định Thuật ngữ sử dụng để phân vùng ổ đĩa sử dụng để lưu trữ tập tin loại hệ thống tập tin Có số loại hệ thống tệp, tất có cấu trúc thuộc tính logic khác nhau, chẳng hạn tốc độ kích thước Loại hệ thống tệp khác tùy theo hệ điều hành nhu cầu hệ điều hành đó, chẳng hạn Microsoft Windows, MacOS hệ thống dựa Linux hay hệ điều hành di động bao gồm Apple iOS Google Android Một số hệ thống tệp thiết kế cho ứng dụng cụ thể Các loại hệ thống tệp bao gồm hệ thống tệp phân tán, hệ thống tệp dựa đĩa hệ thống tệp mục đích đặc biệt Một số loại hệ thống quản trị tập tin đặc trưng hệ điều hành như: FAT32, exFAT, NTFS Windows; Minix, Xia, Ext3, Ext2 Linux; APFS – Apple File system MACOS,… hay đến loại hệ thống tệp đặc biệt ISO 9660 thiết kế dành riêng cho đĩa quang 1.1.3 Kiến trúc Một hệ thống quản trị tập tin bao gồm hai ba lớp Đôi lớp phân tách rõ ràng chức kết hợp, đan xen với Hệ thống file logic chịu trách nhiệm tương tác với ứng dụng người dùng Nó cung cấp giao diện chương trình ứng dụng (API) cho thao tác với file OPEN, CLOSE, READ, v.v chuyển thao tác yêu cầu đến lớp bên để xử lý Hệ thống file logic "quản lý mở mục bảng file mơ tả file theo quy trình." Lớp cung cấp "quyền truy cập file, hoạt động thư mục, bảo mật bảo vệ." Lớp tùy chọn thứ hai hệ thống file ảo "Giao diện cho phép hỗ trợ nhiều phiên đồng thời hệ thống file vật lý, phiên gọi triển khai hệ thống file." Lớp thứ ba hệ thống file vật lý Lớp liên quan đến hoạt động vật lý thiết bị lưu trữ (ví dụ: đĩa) Nó xử lý khối vật lý đọc ghi Nó xử lý đệm quản lý nhớ chịu trách nhiệm cho việc đặt khối vật lý vào vị trí cụ thể phương tiện lưu trữ Hệ thống tệp vật lý tương tác với trình điều khiển thiết bị với kênh để điều khiển thiết bị lưu trữ 1.2 Một số hệ quản trị tập tin có hỗ trợ mật mã 1.2.1 Hệ thống quản trị tập tin NTFS 1.2.1.1 Lịch sử đời Vào thập niên 1980, Microsoft IBM thành lập dự án hợp tác để hệ điều hành đồ họa hệ Kết dự án OS/2, cuối Microsoft IBM bất đồng nhiều vấn đề quan trọng sau chia rẽ OS/2 tiếp tục dự án IBM Còn Microsoft bắt đầu phát triển hệ điều hành Windows NT Hệ thống tập tin HPFS OS/2 có số tính quan trọng Khi Microsoft tạo hệ điều hành mới, họ vay mượn nhiều khái niệm cho NTFS Có lẽ có chung nhiều khái niệm nên HPFS NTFS có mã phân loại nhận dạng phân vùng ổ đĩa (07) Có số nhận dạng khơng bình thường có tới hàng chục mã có sẵn, hệ thống tập tin ổ đĩa lớn khác có mã riêng chúng FAT có mã (mỗi mã cho FAT12, FAT16, FAT32, vân vân) Các thuật tốn xác định hệ thống tập tin kiểu phân vùng 07 phải thực kiểm tra bổ sung Đây rõ ràng NTFS dùng chung thiết kế kiến trúc cho Files-11 sử dụng VMS Điều không đáng ngạc nhiên Dave Cutler người đứng đầu VMS Windows NT Từ đời nay, NTFS Microsoft phát hành thị trường với phiên bản, gồm có: + Giữa năm 1993, Microsoft phát hành phiên 1.0 (V1.0) với tên gọi NT3.1 + Cuối năm 1994, Microsoft phát hành phiên 1.1 (V1.1) với tên gọi NT3.5 + Giữa hai năm 1995 với 1996, Microsoft phát hành phiên 1.2 (V1.2) với tên gọi NT3.51 NT4 Hai phiên này, đơi cịn gọi với tên khác ―NTFS 4.0‖ phiên OS 4.0 + Phiên 3.0 (V3.0), Windows 2000 (NTFS V5.0) + Phiên 3.1 (V3.1), Windows XP (NTFS V5.1 – Mùa thu năm 2001); Windows Server 2003 (còn gọi NTFS V5.2 – mùa xuân 2003); Windows Vista (ra đời năm 2005 – gọi NTFS V6.0) Windows Server 2008 1.2.1.2 Khái niệm, đặc điểm NTFS (New Technology File System) hệ thống tập tin Windows, sử dụng để định dạng cho phân vùng, ổ cứng, thiết bị lưu trữ kết nối với máy tính Khi cài đặt Windows mặc định ổ đĩa cài Windows NTFS Kích thước file dung lượng tối đa phân dùng dùng NTFS lớn mặt lý thuyết NTFS lần đầu xuất Windows NT 3.1 đến với người dùng cá nhân phiên thương mại Windows XP Hình 1.1 Phân vùng chia định dạng NTFS Windows NTFS thay hệ thống tập tin FAT vốn hệ thống tập tin ưa thích cho hệ điều hành Windows Microsoft NTFS có nhiều cải tiến FAT HPFS (High Performance File System - Hệ thống tập tin hiệu cao) hỗ trợ cải tiến cho siêu liệu sử dụng cấu trúc liệu tiên tiến để cải thiện hiệu suất, độ tin cậy, sử dụng không gian ổ đĩa, cộng thêm phần mở rộng danh sách kiểm soát truy cập bảo mật (access control list-ACL) ghi hệ thống tập tin Một số tính đại NTFS kể đến tính bảo mật như: + Đặt quyền truy cập cho tập tin + Ghi nhận thay đổi liệu giúp dễ dàng phục hồi máy tính gặp cố + Tạo (copy) dành cho lưu (backup) + Mã hoá (encryption); đặt hạn ngạch đĩa (disk quota limit) số tính khác + Phần mở rộng ghi hệ thống tập tin, danh sách kiểm soát truy cập bảo mật – access control list-ACL + Chúng quan trọng cho phân vùng hệ thống, đặc biệt tính đặt quyền truy cập cho tập tin Bên cạnh tính năng, ưu điểm, NTFS tồn số hạn chế: Tên tập tin dành riêng: Mặc dù hệ thống tập tin hỗ trợ đường dẫn lên đến khoảng 32.767 ký tự Unicode với thành phần đường dẫn (thư mục tên tập tin) có tới 255 ký tự chiều dài, có tên khơng sử dụng được, NTFS lưu siêu liệu tập tin bình thường (mặc dù ẩn cho hầu hết phần khơng có); theo tập tin người dùng sử dụng tên Những tập tin tất có thư mục gốc ổ đĩa (và dành riêng cho thư mục đó) Các tên: $MFT, $MFTMirr, $LogFile, $Volume, $AttrDef, $Bitmap, $Boot, $BadClus, $Secure, $Upcase, $Extend; $Extend lưu thư mục tập tin khác Kích thước ổ đĩa tối đa: Theo lý thuyết, ổ đĩa NTFS tối đa có 264−1 cluster Tuy nhiên, kích thước ổ đĩa NTFS tối đa Windows XP Professional 232−1 cluster Ví dụ, cách sử dụng 64 KiB cluster, kích thước ổ đĩa NTFS tối đa 256 TiB trừ 64 KiB Sử dụng kích thước cluster mặc định KiB, kích thước ổ đĩa NTFS tối đa 16 TiB trừ KiB (cả hai lớn nhiều so với giới hạn 128 GiB tăng thêm Windows XP SP1) Bởi phân vùng ổ đĩa ghi khởi động chủ (MBR) hỗ trợc kích thước phân vùng lên tới TiB, ổ đĩa GPT hay động sử dụng để tạo ổ đĩa NTFS khởi động TiB Kích thước tập tin tối đa: Theo lý thuyết 16 EiB trừ KiB (264 − 210 hay 18.446.744.073.709.550.592 bytes) Thực tế: 16 TiB trừ 64 KiB (244 − 216 hay 17.592.185.978.880 bytes) Các dòng liệu luân phiên: lệnh hệ thống Windows xử lý dịng liệu ln phiên Tùy thuộc vào hệ điều hành, tiện ích hệ thống tập tin xa, chuyển giao tập tin âm thầm tách dịng liệu Một cách an toàn tập tin di chuyển hay chép sử dụng lệnh hệ thống BackupRead BackupWrite, cho phép chương trình đếm dịng, để xác minh xem dòng nên vào ổ đĩa đích hay chủ định bỏ qua dịng vi phạm Chiều dài đường tối đa: đường tuyệt đối lên đến 32.767 ký tự chiều dài; đường tương đối giới hạn 255 ký tự Trong trường hợp xấu có nghĩa độ sâu tối đa 128 thư mục, thực giới hạn thực Miền thời gian: NTFS sử dụng cách tính thời gian Windows NT: nhãn 64 bit với phạm vi từ tháng năm 1601 đến 28 tháng năm 60056 với độ xác 10 triệu tích tắc (107) giây (tức 100 nano giây cho tích tắc) Tuy nhiên thực tế, đồng hồ hệ thống khơng cung cấp độ xác vậy, có độ xác giữ (thường 10 giây mà không hỗ trợ phần cứng thêm vào cho đồng hồ hệ thống tốt hơn) Ngoài ra, khơng phải tất nhãn có độ xác này: thuộc tính tiêu chuẩn (tương thích với ứng dụng DOS Windows 95/98/ME), độ xác thấp nhiều, ngày truy cập cuối (nếu chưa vơ hiệu hóa thiết lập đăng ký hệ thống) luôn báo cáo cho hệ thống tập tin làm tròn khoảng lớn Thiếu độ dư thừa: NTFS khơng giữ dự phịng tập tin MFT có chứa tham chiếu đến tập tin lưu trữ phân vùng Nếu MFT bị hư hại, liệu khôi phục lại Kể từ lưu liệu này, ảnh MFT, không chứa tất mục MFT, khơng thể sử dụng thân để phục hồi liệu quan trọng Tuy nhiên, tảng hỗ trợ hạn chế NTFS (MAC OS đọc, khơng thể ghi, Linux số phiên đọc/ghi) 1.2.2 Một số hệ quản trị tập tin Linux 1.2.2.1 Hệ quản trị tập tin ZFS ZFS - Zettabyte File System Sun Microsystems giới thiệu lần vào năm 2005 hệ thống quản lý liệu kết hợp khả quản lý dung lượng cao linh hoạt Hoạt động tảng công nghệ RAID, ZFS cho phép người dùng tạo quản lý liệu theo phân cấp Định dạng tích hợp tính mức doanh nghiệp snapshot thuật toán checksum ZFS cung cấp khả lưu trữ liệu siêu liệu gần không giới hạn Nó quản lý tới tỷ terabyte liệu Để tổ chức liệu đó, ZFS sử dụng cấu trúc linh hoạt hệ thống tệp hệ thống trước ZFS cho phép người dùng di chuyển tệp nơi chí gắn chúng vào ZFS điểm bên ngồi điểm Người dùng tách tệp khỏi hệ thống cha, quản lý không gian đĩa theo thứ bậc xem toàn lệnh Về bản, ZFS cho phép nhà quản lý liệu tổ chức kiểm sốt lượng thơng tin khổng lồ cách dễ dàng Với lệnh, người dùng định vị lại con, lưu nhân chụp nhanh hệ thống tệp ZFS tất phần tử với Tính tự động gắn Trong danh sách thả xuống chọn Computer Management: Cửa sổ xuất chọn chức Local User and Groups hình đây: Trong mục Users tạo người dùng: giangvien1, giang vien2, sinhvien1, sinhvien2 Sau tạo xong xuất tài khoản 20 Trong mục Groups tiếp tục tạo group Giangvien Sinhvien: Sau tạo thành công xuất Group Hai group chứa member người dùng giangvien1, giangvien sinhvien1, sinhvien2 3.2.2 Tạo liệu để phân quyền truy cập Trong phân vùng ổ E, tạo thư mục Bai giang, Tai lieu, Thuc hanh cua sinh vien: Thư mục Bài giảng chứa giảng giáo viên Thư mục có thành viên nhóm Giáo viên truy cập vào Cịn thành viên nhóm sinh viên khơng phép truy cập vào thư mục Trong thư mục Bài giảng tạo thư mục tương ứng cho giáo viên, giáo viên phép truy cập vào thư mục tương ứng Tài khoản quản trị Administrator có tồn quyền Thư mục Tài liệu dùng chung cho giáo viên sinh viên Trong thư mục tất thành viên nhóm phép truy cập vào Nhưng thành viên nhóm Giáo viên có quyền tạo, xóa, chỉnh sửa, chép cịn thành viên nhóm sinh viên phép đọc, chép Thư mục Thực hành sinh viên chứa thực hành cho sinh viên Thư mục chứa thực hành sinh viên mà nhóm giáo viên có quyền tạo, xóa, chỉnh sửa, chép sinh viên quyền tạo, chép, đọc 21 3.2.3 Thực phân quyền truy cập tới liệu tạo - Thư mục Bài giảng: Chuột phải vào thư mục → Properties Chọn tab Security → chọn Advanced: 22 Tích vào tùy chọn Replace all child object permission entries…Và kích vào tùy chọn Disable inheritance để gỡ bỏ tồn quyền có sẵn thư mục này: Apply → OK Tiếp tục quay trở lại tab Security chọn Edit: Chọn nhóm Administrators → chọn Remove nhằm gỡ bỏ tất thành viên nhóm Administrators 23 Tiếp tục chọn Add để thêm người dùng cần phân quyền: Add → Advanced → Find now, chọn đối tượng: Administrator, group Giangvien, group Sinhvien: Nhấn OK để tiếp tục Lần lượt chọn đối tượng để chọn quyền tương ứng: Với tài khoản Administrator tích vào tùy chọn Full control Giangvien tích vào tùy chọn Full control Sinhvien tích vào tùy chọn Deny all 24 Trong thư mục Baigiang, tạo tiếp thư mục riêng cho giaovien1, giaovien Tiếp tục phân quyền cho tài khoản giangvien1, giangvien2 để truy cập vào Đối với tài khoản Administrator tích vào Full control, giang vien tích vào Deny all → Apply → OK Đối với thư mục giang vien phân quyền tương tự giang vien 1, tài khoản giang vien Full control giang vien Deny all Đến phân quyền xong cho thư mục Bài giảng - Thư mục Tài liệu: Tương tự thư mục Bài giảng gỡ bỏ quyền thừa kế Sau tiếp tục thêm đối tượng Administrator, group giảng viên, group sinh viên Với tài khoản Administrator tích vào tùy chọn Full control Group giảng viên với quyền: Modify, Read & execute, List forder contents, Read, Write 25 Group sinh viên với quyền: Read & execute, List forder contents, Read 26 Tương tự với thư mục Thuc hanh sinh vien, đó: Tài khoản Administrator tích vào Full Control Group giảng viên có quyền: Modify, Read & excute, List Folder content, Read, Write Group Sinh viên có quyền: Read & excute, List Folder content, Read, Write Như kết thúc phân quyền 3.2.4 Kiểm tra kết Sử dụng tài khoản Admin, truy cập vào thư mục Bài giảng, tạo thư mục Admin Tiếp tục truy cập vào thư mục Bài giảng 1, tạo thư mục Kết thành cơng Admin cấp Full control Sử dụng tài khoản Giangvien1, truy cập vào thư mục BG Giang vien 1, thành cơng có quyền cho thư mục Tuy nhiên truy cập vào BG Giang vien khơng có quyền Tương tự thư mục khác, user ngồi máy truy cập với tài khoản phân quyền 27 3.3 Thực phân quyền với Remote User Ta sử dụng thêm máy ảo Windows XP minh họa cho người dùng truy cập từ xa muốn truy cập tài liệu Winservers Lúc cần cấp quyền Share Permission thư mục Sử dụng máy ảo Winservers để cấp quyền sau: + Chuột phải vào Thư mục Bai giang, Properties chọn tab Sharing: 28 + Bấm chọn Advanced Sharing, hiển thị hộp thoại dưới: + Bấm vào Permissions, chọn Add để thêm nhóm người dùng, người dùng quyền truy cập từ xa: 29 Tiếp tục thực với thư mục lại, với quyền tương ứng phù hợp Mở máy ảo Windows XP lên kiểm tra Ở đây, ta login tài khoản Giang vien 1, truy cập vào thư mục BG Giang vien bị ngăn chặn 3.4 Thực mã hóa thư mục phân vùng NTFS Quay lại máy ảo Windows Server 2012, tiến hành mã hóa thư mục Thuc hanh sinh vien với tài khoản Sinhvien1 30 Trong tab General, chọn Advanced, tích chọn Encrypt contents to secure data Thư mục Thuc hanh sinh vien tài liệu tệp TH1 mã hóa, có màu xanh có người dùng Sinh vien có quyền mở tệp TH1, người dùng khác truy cập thư mục mở tệp Sinh viên cố gắng truy cập bị từ chối Sinh viên cấp quyền truy cập vào tệp cho sinh viên cách thêm quyền cho Sinh viên sau: 31 Chọn detail, folder User Access to TH1, tiến hành Add thêm người dùng Sinhvien2 vào Sau thêm quyền cho người dùng Sinhvien 2, lúc người dùng Sinhvien truy cập vào tệp TH1 32 KẾT LUẬN Trên báo cáo em trình bày nội dung chế mã hóa hệ quản trị tập tin NTFS Bài báo cáo trình bày trình bày nội dung liên quan đến hệ quản trị tập tin khái niệm, đặc điểm, chế mã hóa giải mã hệ thống Qua báo cáo, giúp em hiểu biết thêm cách thức mã hóa file hệ quản trị tập tin NTFS, giúp ích nhiều cho việc quản lý tài liệu cách an toàn sau 33 TÀI LIỆU THAM KHẢO - File System Forensic Analysis – by Brian Carrier 17 – - 2005 - https://en.wikipedia.org/wiki/List_of_cryptographic_file_systems - https://en.wikipedia.org/wiki/ZFS#Encryption - https://support.microsoft.com/vi-vn/help/100108/overview-of-fat-hpfs-andntfs-file-systems - http://account.myuc.one/docs/articles/alternate-streams.phtml 34 ... Bài báo cáo sau em xin trình bày chế mã hóa hệ quản trị tập tin NTFS Bài báo cáo gồm phần sau đây: Chương 1: Tổng quan hệ quản trị tập tin có hỗ trợ mật mã Chương 2: Cơ chế mã hóa – giải mã hệ quản. .. Trên báo cáo em trình bày nội dung chế mã hóa hệ quản trị tập tin NTFS Bài báo cáo trình bày trình bày nội dung liên quan đến hệ quản trị tập tin khái niệm, đặc điểm, chế mã hóa giải mã hệ thống... giải mã tập tin Một vài cơng cụ thực cơng, dị tìm mật người dùng, có mật khẩu, người cơng thực giải mã tập tin mã hóa Trong q trình thực mã hóa, NTFS tạo tập tin tạm có tên EFS0.TMP Tập tin EFSS0.TMP