Aký je rozdiel medzi nástrojmi BitLocker a EFS (systém šifrovania súborov) v systéme Windows?
Windows 10, 8.1, 8 a 7 obsahujú šifrovanie jednotiek BitLocker, ale to nie je jediné šifrovacie riešenie, ktoré ponúkajú. Systém Windows tiež zahŕňa metódu šifrovania s názvom "systém šifrovania súborov" alebo systém EFS. Tu je návod, ako sa odlišuje od nástroja BitLocker.
Toto je k dispozícii iba v profesionálnych a podnikových vydaniach systému Windows. Domáce vydania môžu používať len obmedzenejšiu funkciu šifrovania zariadení a len vtedy, ak je moderný počítač dodávaný so šifrovaním zariadenia povolený.
BitLocker je šifrovanie celého disku
BitLocker je riešenie šifrovania s plným diskom, ktoré šifruje celý zväzok. Keď nastavíte nástroj BitLocker, šifrujete celý oddiel - napríklad systémový oddiel systému Windows, iný oddiel na internej jednotke alebo dokonca oblasť na jednotke USB flash alebo na inom externom médiu.
Je možné šifrovať iba niekoľko súborov pomocou nástroja BitLocker vytvorením šifrovaného súboru kontajnera. Avšak tento kontajnerový súbor je v podstate virtuálny diskový obraz a BitLocker pracuje tak, že ho spracováva ako disk a šifruje celú vec.
Ak sa chystáte zašifrovať pevný disk, aby ste chránili citlivé údaje pred spadnutím do nesprávnych rúk, hlavne ak je váš laptop odcudzený, BitLocker je spôsob, ako ísť. Bude šifrovať celý disk a nebudete musieť premýšľať o tom, ktoré súbory sú zašifrované a ktoré nie. Celý systém bude šifrovaný.
To nezávisí od používateľských účtov. Keď administrátor povolí BitLocker, každý jednotlivý používateľský účet v počítači bude mať šifrované súbory. BitLocker používa počítačový modul s dôveryhodnou platformou - alebo TPM - hardvér.
Zatiaľ čo "šifrovanie jednotiek" je v systéme Windows 10 a 8.1 obmedzenejšie, funguje podobne aj na počítačoch, kde je k dispozícii. Zašifruje celý disk, a nie jednotlivé súbory.
EFS šifruje jednotlivé súbory
EFS - "systém šifrovania súborov" - funguje inak. Namiesto šifrovania celej jednotky používate EFS na zašifrovanie jednotlivých súborov a adresárov jeden po druhom. Kde je systém BitLocker systémom nastavenia a zabudnutia, systém EFS vyžaduje, aby ste manuálne vybrali súbory, ktoré chcete zašifrovať, a zmeniť toto nastavenie.
Vykonáte to z okna File Explorer. Vyberte priečinok alebo jednotlivé súbory, otvorte okno Vlastnosti, kliknite na tlačidlo "Rozšírené" v časti Atribúty a aktivujte možnosť "Šifrovať obsah na zabezpečené údaje".
Toto šifrovanie je založené na používateľovi. K šifrovaným súborom je prístupný iba konkrétny používateľský účet, ktorý ich zašifroval. Šifrovanie je transparentné. Ak je prihlásený používateľský účet, ktorý zašifruje súbory, budú mať prístup k súborom bez akéhokoľvek ďalšieho overovania. Ak je prihlásený iný používateľský účet, súbory nebudú prístupné.
Šifrovací kľúč je uložený v samotnom operačnom systéme skôr ako pomocou hardvéru TPM počítača a je možné, že útočník ho môže extrahovať. Neexistuje šifrovanie s plnou jednotkou, ktoré chráni tieto konkrétne systémové súbory, ak takisto neumožníte BitLocker.
Je tiež možné, že šifrované súbory môžu "uniknúť" do nešifrovaných oblastí. Napríklad, ak program vytvorí dočasný súbor cache po otvorení EFS-šifrovaného dokumentu s citlivými finančnými informáciami, tento súbor vyrovnávacej pamäte a jeho citlivé údaje budú uložené nezašifrované v inom priečinku.
Kde je BitLocker v podstate funkcia systému Windows, ktorá môže zašifrovať celú jednotku, EFS využíva výhody vlastného súborového systému NTFS.
Prečo by ste mali používať BitLocker a nie EFS
V skutočnosti je možné používať BitLocker aj EFS naraz, pretože sú to rôzne vrstvy šifrovania. Môžete zašifrovať celý disk a dokonca aj po tom, že používatelia systému Windows budú môcť aktivovať atribút "Šifrovať" pre súbory a priečinky. Neexistuje však veľa dôvodov na to.
Ak chcete šifrovanie, je najlepšie šifrovať celý disk vo forme nástroja BitLocker. Nielenže je to riešenie "nastavte to a zabudnite", ktoré môžete raz povoliť a zabudnúť, je to tiež bezpečnejšie.
Máme tendenciu lesknúť EFS pri písaní o šifrovaní v systéme Windows a často spomínať BitLocker ako riešenie Microsoft pre šifrovanie v systéme Windows. Je to dôvod na to. Šifrovanie s plným diskom v službe BitLocker je len lepšie ako EFS a mali by ste používať BitLocker, ak potrebujete šifrovanie.
Prečo teda EFS dokonca existuje? Jedným z dôvodov je, že je to staršia funkcia systému Windows. BitLocker bol predstavený spoločne so systémom Windows Vista. EFS bol zavedený späť v systéme Windows 2000.
BitLocker môže naraz spomaliť celkový výkon operačného systému, zatiaľ čo systém EFS by bol o niečo ľahší. Ale s rozumne moderným hardvérom by to nemal byť vôbec.
Stačí používať nástroj BitLocker a zabudnúť na systém Windows aj ponúka EFS. Je to oveľa menej problémov, ako skutočne používať a je bezpečnejšie.