Sistem Enkripsi Berkas

Revisi sejak 4 April 2007 11.05 oleh Willysaef (bicara | kontrib) (←Membuat halaman berisi '{{rapikan|topik=teknologi informasi}} '''Encrypting File System''' atau '''EFS''' adalah sebuah teknologi inti dalam Windows 2000, [[Windows XP|Windows XP Professiona...')
(beda) ← Revisi sebelumnya | Revisi terkini (beda) | Revisi selanjutnya → (beda)

Encrypting File System atau EFS adalah sebuah teknologi inti dalam Windows 2000, Windows XP Professional, atau Windows Server 2003 yang mengizinkan penyimpanan berkas secara terenkripsi dalam sebuah volume yang diformat dengan menggunakan sistem berkas NTFS.

Mekanisme pengamanan data dengan menggunakan izin akses NTFS memang dapat melindungi berkas dari akses pihak-pihak yang tidak berhak ketika sistem operasi berjalan, tapi dapat dengan mudah dikelabui jika seorang penyerang memperoleh akses fisik terhadap komputer. Salah satu solusinya adalah dengan menyimpannya secara terenkripsi di dalam media penyimpanan. Microsoft mengimplementasikan hal serupa agar mengamankan berkas para pengguna Windows (versi-versi khusus), yakni dengan menggunakan gabungan kriptografi kunci rahasia dengan kriptografi kunci publik. EFS memperkuat sistem keamanan berkas NTFS yang sebelumnya hanya berkisar pada izin akses NTFS saja, dengan beberapa teknologi kriptografi, yakni algoritma DESX, 3DES, AES dan RSA. Orang yang tidak berhak tidak akan pernah dapat membuka berkas, meski ia memiliki izin akses NTFS. Meskipun demikian, EFS tidak dapat mencegah terhadap serangan exhaustive key search untuk mencari password milik pengguna. Dengan kata lain, EFS tidak akan memberikan proteksi terhadap berkas, jika memang password milik pengguna gampang ditebak.

Versi Windows yang mendukung EFS

  • Windows 2000 Professional, Windows 2000 Server, Windows 2000 Advanced Server, dan Windows 2000 Datacenter Server
  • Windows XP Professional, Windows XP Professional 64-bit Edition, Windows XP Professional x64 Edition, dan Windows XP Professional for Legacy PC
  • Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition, Windows Server 2003 Datacenter Edition, Windows Server 2003 Web Edition.
  • Windows Vista

Sistem-sistem operasi di atas dapat menggunakan EFS jika dan hanya jika format sistem berkas media penyimpanan yang digunakan adalah NTFS. FAT16, FAT32 atau sistem berkas lainnya tidak dapat mendukung EFS.

Algoritma kriptografi yang digunakan

EFS menggunakan beberapa algoritma kriptografi, yakni sebagai berikut:

  • Data Encryption Standard eXtended (DESX), yang digunakan pada Windows 2000 Professional, Windows 2000 Server, Windows 2000 Advanced Server, serta Windows 2000 Datacenter Server. Panjang kunci yang digunakan adalah 56 bit.
  • Triple Data Encryption Standard (3DES), yang digunakan pada Windows 2000, Windows XP Professional, Windows Server 2003, dan Windows Vista. Panjang kunci yang digunakan adalah 112 bit, 168 bit atau 192 bit. Secara default tidak aktif, tapi dapat diaktifkan dengan menggunakan Group Policy atau menyunting Windows Registry pada:
Alamat Kunci: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS\
Nama value: AlgorithmID
Nilai value: 0x6603
  • Advanced Encryption Standard (AES), yang digunakan pada Windows XP Service Pack 1, Windows Server 2003 dan Windows Vista. Panjang kunci yang digunakan adalah 256 bit.
  • Rivest, Shamir, Adleman (RSA), yang digunakan sebagai pengaman untuk kunci-kunci simetrik di atas. Panjang kunci yang digunakan adalah 1024 bit.

Cara kerja

Berkas dan direktori yang akan dienkripsi oleh sistem berkas harus ditandai dengan atribut sistem khusus enkripsi. Seperti halnya izin akses berkas dalam NTFS, yang memberlakukan atribut terhadap objek-objek anak (berkas dan subdirektori) secara default, hal tersebut juga terjadi dalam rangka enkripsi atau dekripsi EFS.

Ketika sebuah berkas disalin atau dipindahkan ke partisi (volume) lainnya yang memiliki format sistem berkas selain NTFS (sebagai contoh FAT atau CDFS), maka berkas atau direktori tersebut akan didekripsi terlebih dahulu sebelum melakukan operasi penyalinan atau pemindahan berkas dilakukan. Pengecualian terjadi pada saat proses backup dengan menggunakan program Windows Backup (NTBACKUP.EXE) atau program lainnya yang menggunakan fungsi Windows API OpenEncryptedFileRaw, ReadEncryptedFileRaw, WriteEncryptedFileRaw, dan CloseEncryptedFileRaw yang akan menyalin dalam bentuk terenktipsi secara langsung.

EFS bekerja dengan melakukan enkripsi terhadap berkas atau direktori dengan menggunakan sebuah kunci simetris yang disebut sebagai File Encryption Key (FEK). Setiap kali EFS melakukan enkripsi terhadapnya, EFS akan membuat sebuah kunci enkripsi yang acak. EFS akan menyimpan kunci enkripsi ini di dalam memori kernel sistem operasi Windows (atau sering disebut sebagai nonpaged pool). Hal ini dilakukan karena memang kunci simetris dapat melakukan enkripsi terhadap data yang besar dalam waktu yang relatif lebih singkat dibandingkan dengan kriptografi kunci publik.

Kunci simetrik yang digunakan untuk mengenkripsi berkas atau direktori, kemudian akan dienkripsi dengan kunci publik yang diasosiasikan dengan pengguna yang melakukan enkripsi terhadap berkas, dan data ini disimpan dalam header berkas terenkripsi yang bersangkutan.

Untuk melakukan dekripsi terhadap berkas, sistem akan menggunakan kunci privat yang menjadi pasangan kunci publik yang mengenkripsi kunci simetris yang disimpan dalam header. Jika kunci simetris berhasil dibuka, maka berkas akan langsung didekripsi oleh sistem. Karena hal ini dilakukan dalam level sistem berkas, proses ini tidak terlihat oleh pengguna, karena itulah mengapa EFS disebut sebagai transparan.