Sistem Enkripsi Berkas: Perbedaan antara revisi

Mekanisme pengamanan data dengan menggunakan izin akses NTFS memang dapat melindungi berkas dari akses pihak-pihak yang tidak berhak ketika sistem operasi berjalan, tapi dapat dengan mudah dikelabui jika seorang penyerang memperoleh akses fisik terhadap komputer. Salah satu solusinya adalah dengan menyimpannya secara terenkripsi di dalam media penyimpanan. Microsoft mengimplementasikan hal serupa agar mengamankan berkas para pengguna Windows (versi-versi khusus, lihat di bawah), yakni dengan menggunakan gabungan [[kunci simetris|kriptografi kunci rahasia]] dengan [[kunci publik|kriptografi kunci publik]]. EFS memperkuat sistem keamanan berkas NTFS yang sebelumnya hanya berkisar pada [[NTFS|izin akses NTFS saja]], dengan beberapa teknologi [[kriptografi]], yakni algoritma DESX, 3DES, AES dan RSA. Orang yang tidak berhak tidak akan pernah dapat membuka berkas, meski ia memiliki izin akses NTFS. Meskipun demikian, EFS tidak dapat mencegah terhadap serangan ''[[Brute force|exhaustive key search]]'' untuk mencari ''[[password]]'' milik pengguna. Dengan kata lain, EFS tidak akan memberikan proteksi terhadap berkas, jika memang password milik pengguna gampang ditebak.

==Versi Windows yang mendukung EFS==

* [[Windows 2000|Keluarga Windows 2000]]: Windows 2000 Professional, Windows 2000 Server, Windows 2000 Advanced Server, dan Windows 2000 Datacenter Server

* [[Windows XP|Keluarga Windows XP]]: Windows XP Professional, Windows XP Professional 64-bit Edition, Windows XP Professional x64 Edition, dan Windows XP Professional for Legacy PC. Windows XP Home Edition, Windows XP Starter Edition tidak mendukung penggunaan EFS.

* [[Windows Server 2003|Keluarga Windows Server 2003]]: Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition, Windows Server 2003 Datacenter Edition, Windows Server 2003 Web Edition, Windows Server 2003 Small Business Server, Windows Server 2003 R2.

Sistem-sistem operasi di atas dapat menggunakan EFS jika dan hanya jika format sistem berkas media penyimpanan yang digunakan adalah NTFS. [[FAT16]], [[FAT32]] atau sistem berkas lainnya tidak dapat mendukung EFS.

==Algoritma kriptografi yang digunakan==

* [[Data Encryption Standard|Data Encryption Standard eXtended]] (DESX), yang digunakan pada Windows 2000 Professional, Windows 2000 Server, Windows 2000 Advanced Server, serta Windows 2000 Datacenter Server. Panjang kunci yang digunakan adalah 56 bit.

* [[3DES|Triple Data Encryption Standard]] (3DES), yang digunakan pada Windows 2000, Windows XP Professional, Windows Server 2003, dan Windows Vista. Panjang kunci yang digunakan adalah 112 bit, 168 bit atau 192 bit. Secara default tidak aktif, tapi dapat diaktifkan dengan menggunakan Group Policy atau menyunting Windows Registry pada:

Alamat Kunci: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS\<br>
Nama value: AlgorithmID<br>
Nilai value: 0x6603

* [[Advanced Encryption Standard]] (AES), yang digunakan pada Windows XP Service Pack 1, Windows Server 2003 dan Windows Vista. Panjang kunci ''default'' yang digunakan adalah 256 bit.

* [[RSA|Rivest, Shamir, Adleman]] (RSA), yang digunakan sebagai pengaman untuk kunci-kunci simetrik di atas. Panjang kunci yang digunakan adalah 1024 bit. Ini juga menjadi sebab mengapa EFS dapat diimplementasikan sebagai anggota [[Public Key Infrastructure]] (PKI).

==Cara kerja==

Berkas dan direktori yang akan dienkripsi oleh sistem berkas harus ditandai dengan atribut sistem khusus enkripsi. Seperti halnya izin akses berkas dalam NTFS, yang memberlakukan atribut terhadap objek-objek anak (berkas dan subdirektori) secara ''default'', hal tersebut juga terjadi dalam rangka enkripsi atau dekripsi EFS.

Ketika sebuah berkas disalin atau dipindahkan ke [[partisi (sistem berkas)|partisi]] (volume) lainnya yang memiliki format sistem berkas selain NTFS (sebagai contoh FAT atau CDFS), maka berkas atau direktori tersebut akan didekripsi terlebih dahulu sebelum melakukan operasi penyalinan atau pemindahan berkas dilakukan. Pengecualian terjadi pada saat proses backup dengan menggunakan program Windows Backup (NTBACKUP.EXE) atau program lainnya yang menggunakan fungsi [[Windows API]] ''OpenEncryptedFileRaw'', ''ReadEncryptedFileRaw'', ''WriteEncryptedFileRaw'', dan ''CloseEncryptedFileRaw'' yang akan menyalin dalam bentuk terenktipsi secara langsung.

EFS bekerja dengan melakukan enkripsi terhadap berkas atau direktori dengan menggunakan sebuah kunci simetris yang disebut sebagai ''File Encryption Key'' (FEK). Setiap kali EFS melakukan enkripsi terhadapnya, EFS akan membuat sebuah kunci enkripsi yang acak. EFS akan menyimpan kunci enkripsi ini di dalam memori kernel sistem operasi Windows (atau sering disebut sebagai [[manajemen memori Windows NT|''nonpaged pool'']]). Hal ini dilakukan karena memang kunci simetris dapat melakukan enkripsi terhadap data yang besar dalam waktu yang relatif lebih singkat dibandingkan dengan kriptografi kunci publik.