EDMS „Corporate Document Flow“ unterstützt den Einsatz elektronische digitale Signaturen (EDS) beim Arbeiten mit Systemdateien. EDS-Unterstützung wird auf der in die Plattform integrierten Ebene bereitgestellt „1C:Enterprise 8.3 / 8.2“ Kryptographie und Verschlüsselungsmechanismen sowie die Verwendung zusätzlicher Konfigurationsmetadatenobjekte.
Um die Möglichkeit zur Verwendung digitaler Signaturen im Dokumentenflusssystem zu aktivieren, öffnen Sie das Systemeinstellungsformular „Einstellungsparameter: System“ (im Subsystem „Systemverwaltung“).
Aktivieren Sie auf der Registerkarte „Allgemeine Einstellungen“ das Kontrollkästchen „Elektronische digitale Signaturen verwenden“ und klicken Sie dann auf die Schaltfläche „Kryptografieeinstellungen“.
Wählen Sie im sich öffnenden Fenster den Anbietertyp aus (für den Anbieter). CryptoPro der Wert sollte gleich 75 sein) und andere Parameter. Bei Verwendung des CryptoPro-Anbieters (Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider) werden folgende Werte automatisch eingetragen:
- Signaturalgorithmus: GOST R 34.10-2001
- Hash-Algorithmus: GOST R 34.11-94
- Verschlüsselungsalgorithmus: GOST 28147-89
Wenn die Überprüfung der digitalen Signatur auf einem Server durchgeführt wird und das Linux-Betriebssystem als Server verwendet wird, müssen Sie den Pfad zu dessen Kryptografiemodul angeben.
Ein Beispiel für die Einrichtung eines Kryptografiemoduls für CryptoPro ist in der folgenden Abbildung dargestellt.
Um mit elektronischen digitalen Signaturen im Dokumentenmanagementsystem arbeiten zu können, müssen Sie diese zunächst vom Anbieter digitaler Signaturen erhalten. Um den Betrieb zu testen und Benutzer zu schulen, können Sie digitale Testsignaturen vom Testzertifizierungszentrum CryptoPro erhalten. Der nächste Abschnitt zeigt ein schrittweises Beispiel für den Erhalt und die Installation einer elektronischen Signatur.
Empfangen und Installieren einer digitalen Signatur
Um eine elektronische Signatur zu erhalten und zu installieren, müssen Sie installieren Softwareprodukt„CryptoPro CSP 3.6“. Das Produkt kann auf der Website cryptopro.ru im Abschnitt „CIPF-Produkte CryptoPro CSP/TLS/JSP“, Punkt „Dateien herunterladen“ heruntergeladen werden.
Bevor Sie die Distribution herunterladen und mit der Erstellung einer elektronischen Signatur beginnen, müssen Sie sich auf der Website registrieren und sich bei Ihrem Konto anmelden.
Abhängig von Ihrem Betriebssystem können Sie die benötigte Distribution herunterladen, ein Beispiel ist in der Abbildung unten dargestellt.
Führen Sie nach dem Herunterladen die Installation aus dem Distributionspaket aus, warten Sie, bis die Installation abgeschlossen ist, und starten Sie Ihren Computer neu. Jetzt können Sie mit der Erstellung digitaler Signaturen für Mitarbeiter fortfahren.
Nachdem Sie sich mit Ihrem Konto auf der Website des Crypto-Pro-Anbieters angemeldet haben, gehen Sie zum Abschnitt „Support“ und wählen Sie „Zertifizierungsstelle testen“ oder nutzen Sie den kommerziellen Zugang zur digitalen Signaturgenerierung dieses Anbieters.
Die Erstellung einer elektronischen digitalen Signatur auf der Crypto-Pro-Website muss im InternetExplorer-Browser (vorzugsweise Version nicht niedriger als 9) erfolgen und Sie müssen die Arbeit mit ActiveX-Elementen zulassen.
Um mit der Generierung einer elektronischen digitalen Signatur zu beginnen, wählen Sie „Schlüssel generieren und eine Zertifikatsanforderung senden“.
An neue Seite Wählen Sie „Erstellen und stellen Sie eine Anfrage an diese Zertifizierungsstelle.“
Die Seite zur Eingabe der Mitarbeiterdaten wird geöffnet. Es ist notwendig, seinen vollständigen Namen anzugeben, E-Mail und andere Daten.
Geben Sie im Abschnitt „Typ des erforderlichen Zertifikats“ „Client-Authentifizierungszertifikat“ an. Geben Sie außerdem an, dass Sie einen neuen Satz von CSP Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider-Schlüsseln erstellen müssen.
Es ist notwendig, den Schlüssel als exportierbar zu markieren, in den zusätzlichen Parametern das PKCS10-Anforderungsformat und den GOST R 34.11-94-Hashing-Algorithmus auszuwählen. Um mit der Erstellung eines EDS-Zertifikats zu beginnen, klicken Sie auf die Schaltfläche „Ausstellen“.
Nachdem Sie auf die Schaltfläche „Ausgeben“ geklickt haben, öffnet sich ein Dialog, in dem Sie den Speicherort des exportierten Schlüssels auswählen können. Es wird empfohlen, auszuwählen Wechselmedien. In unserem Beispiel wählen wir ein Flash-Laufwerk mit dem Namen MyDrive aus.
Bei der Bildung einer elektronischen digitalen Signatur muss mit einem biologischen Sensor gearbeitet werden Zufallszahlen. Durch Mausbewegungen und Tastenanschläge werden Zufallszahlen ermittelt.
Wenn Sie die Maustasten drücken, führt dies ebenfalls zur Bildung von Zufallswerten, lassen Sie sich jedoch nicht mitreißen, da nach Abschluss der Erstellung eines Zufallszahlenpakets anstelle des angezeigten Fensters ein Fenster angezeigt wird, in dem Sie Sie müssen ein Passwort für die elektronische digitale Signatur erstellen und können versehentlich auf eine unnötige Schaltfläche im Fenster zur Passwortgenerierung klicken.
Nach erfolgreichem Abschluss der Zertifikatsgenerierung bietet das System die Installation auf Ihrem Betriebssystem an. Durch Klicken auf den Link „Dieses Zertifikat installieren“ wird Ihr digitales Signaturzertifikat installiert.
Zertifikate werden im Abschnitt „Zertifikate“ des aktuellen Benutzers im Verzeichnis „Persönliche Registrierungszertifikate“ installiert.
Offen diese Liste Zertifikate können über das Menü „Startprogramme“, Punkt „Crypto-Pro“ bezogen werden. Die folgende Abbildung zeigt ein Beispiel für Windows 7.
Nach der Erstellung der Zertifikate können Sie mit deren Verwendung im EDMS „Corporate Document Flow“ fortfahren.
Derzeit implementiert das System die folgenden Mechanismen im Zusammenhang mit der digitalen Signatur:
- Dokumente mit einer digitalen Signatur signieren
- Überprüfung von Dokumentensignaturen
- Hochladen von Dokumenten und Unterschriften in Dateien
- Hochladen von Dokumenten und Unterschriften aus Dateien
- Verschlüsselung von Dateien mit der Möglichkeit, sie für eine bestimmte Personenliste zu öffnen
Grundlegende Aktionen können über die Karteikarte ausgeführt werden. Die folgende Abbildung zeigt eine Karteikarte. Unten im Formular können Sie auf der Registerkarte „EDS“ das Dokument signieren. Um ein Dokument zu signieren, klicken Sie auf die Schaltfläche „Signieren“. Auf dem Bildschirm wird eine Liste der auf diesem Computer vorhandenen Mitarbeitersignaturen angezeigt. Wählen Sie die gewünschte Signatur aus, geben Sie das Passwort ein und klicken Sie auf die Schaltfläche „Signieren“. Die Datei wird signiert.
Im tabellarischen Abschnitt wird ein Datensatz angezeigt, der den vollständigen Namen des unterzeichnenden Mitarbeiters, das Datum und die Uhrzeit der Unterzeichnung sowie einen Kommentar enthält.
Eine signierte Datei kann eine oder mehrere Signaturen haben; wenn mindestens eine Signatur vorhanden ist, sind die Schaltflächen zum Bearbeiten der Datei nicht verfügbar.
Benutzer können den Signaturstatus jederzeit überprüfen, indem sie auf die Schaltfläche „Prüfen“ oder „Alle prüfen“ klicken. Wenn die Unterschrift des Mitarbeiters korrekt ist und das Dokument nicht verändert wurde, erscheint in der Spalte „Status“ der Eintrag „Richtig“.
Die Datei kann von der Karte auf die Festplatte Ihres Computers gespeichert werden; wählen Sie dazu aus dem Menü aus „EDS und Verschlüsselung“ Punkt „Mit digitaler Signatur speichern“.
Unter der Annahme, dass die gespeicherte Datei geändert wurde, können Sie zur Überprüfung ein Zeichen zum Inhalt der gespeicherten Datei hinzufügen. Nun laden wir die Datei in das Dokumentenmanagementsystem hoch und laden auch die damit gespeicherten digitalen Signaturen hoch.
Lassen Sie uns ein neues Unternehmensdokument im EDMS „Corporate Document Flow“ erstellen und die gespeicherte Datei hinzufügen. Sie können eine Datei hinzufügen, indem Sie die Datei in das Dokumentdateilistenfeld ziehen. Wir werden die p7s-Signaturdateien später hochladen.
Öffnen Sie nun die Karte der heruntergeladenen Datei und wählen Sie im Menü „EDS und Verschlüsselung“ „Digitale Signatur aus Datei hinzufügen“. Wählen Sie die gespeicherten Mitarbeitersignaturen von der Festplatte aus und klicken Sie auf die Schaltfläche „OK“. Ein Beispiel-Download ist in der folgenden Abbildung dargestellt.
Da unsere Datei von uns geändert wurde, ergibt die Überprüfung der Signaturen einen Fehler. In der Spalte „Status“ erscheint der Eintrag „Falsch, Hashwert ist falsch“.
Diese Meldung weist darauf hin, dass die digitale Signatur des Mitarbeiters kompromittiert wurde und nicht mehr zuverlässig ist. Hätten wir unsere Datei auf der Festplatte nicht verändert, hätte die Prüfung der digitalen Signatur das richtige Ergebnis geliefert.
Mit EDMS „Corporate Document Flow“ können Sie Dateien mithilfe digitaler Signaturen verschlüsseln.
Mit der Dateiverschlüsselung können Sie den Zugriff auf eine Datei nur auf diejenigen Mitarbeiter beschränken, die in der Benutzerliste aufgeführt sind. Andere Mitarbeiter können die Datei dann nicht lesen, selbst wenn sie physischen Zugriff darauf haben. Die Speicherung der Datei erfolgt gem. verschlüsselt GOST 28147-89.
Nach der Verschlüsselung befindet sich die Liste der Benutzer, die die Datei anzeigen können, auf der Registerkarte „Verschlüsselt für“ des Karteikartenformulars.
Der Versuch, eine Datei zu öffnen, um sie anzuzeigen, führt dazu, dass das Passwort für die elektronische digitale Signatur eingegeben werden muss.
Für die Arbeit mit elektronischen digitalen Signaturmechanismen ist die 1C:Enterprise-Plattformversion mindestens 8.2.14 erforderlich.
Verschlüsselndes Dateisystem
Verschlüsseln Dateisystem ist ein Dienst, der eng in NTFS integriert ist und sich in befindet Windows-Kernel 2000. Sein Zweck: Auf der Festplatte gespeicherte Daten durch Verschlüsselung vor unbefugtem Zugriff schützen. Das Erscheinen dieses Dienstes ist kein Zufall und wurde schon lange erwartet. Tatsache ist, dass die heute existierenden Dateisysteme nicht den notwendigen Schutz der Daten vor unbefugtem Zugriff bieten.
Ein aufmerksamer Leser könnte mir einwenden: Was ist mit Windows NT mit seinem NTFS? Schließlich bietet NTFS Zugriffskontrolle und Datenschutz vor unbefugtem Zugriff! Ja, das stimmt. Aber was ist, wenn der Zugriff auf NTFS-Partition Erfolgt dies nicht über das Betriebssystem Windows NT, sondern direkt auf der physischen Ebene? Dies lässt sich schließlich relativ einfach umsetzen, indem man beispielsweise von einer Diskette bootet und ausführt Sonderprogramm: zum Beispiel die sehr verbreiteten ntfsdos. Ein anspruchsvolleres Beispiel ist das NTFS98-Produkt. Natürlich können Sie diese Möglichkeit vorsehen und ein Passwort zum Starten des Systems festlegen, aber die Praxis zeigt, dass ein solcher Schutz wirkungslos ist, insbesondere wenn mehrere Benutzer am selben Computer arbeiten. Und wenn ein Angreifer extrahieren kann Festplatte vom Computer aus, dann helfen hier keine Passwörter. Durch Anschließen des Laufwerks an einen anderen Computer kann der Inhalt genauso einfach gelesen werden wie dieser Artikel. Somit kann ein Angreifer vertrauliche Informationen, die auf der Festplatte gespeichert sind, frei an sich reißen.
Der einzige Schutz vor dem physischen Auslesen von Daten besteht in der Verschlüsselung von Dateien. Der einfachste Fall einer solchen Verschlüsselung ist die Archivierung einer Datei mit einem Passwort. Es gibt jedoch eine Reihe gravierender Nachteile. Erstens muss der Benutzer die Daten jedes Mal vor Beginn und nach Abschluss der Arbeit manuell verschlüsseln und entschlüsseln (d. h. in unserem Fall archivieren und dearchivieren), was wiederum die Sicherheit der Daten verringert. Der Benutzer vergisst möglicherweise, die Datei nach Abschluss der Arbeit zu verschlüsseln (zu archivieren) oder (was noch häufiger vorkommt) einfach eine Kopie der Datei auf der Festplatte zu belassen. Zweitens sind von Benutzern erstellte Passwörter normalerweise leicht zu erraten. In jedem Fall gibt es eine ausreichende Anzahl von Dienstprogrammen, mit denen Sie passwortgeschützte Archive entpacken können. In der Regel führen solche Dienstprogramme das Erraten von Passwörtern durch, indem sie im Wörterbuch geschriebene Wörter durchsuchen.
Um diese Mängel zu beheben, wurde das EFS-System entwickelt. Im Folgenden werden wir uns detaillierter mit den Details der Verschlüsselungstechnologie, der EFS-Interaktion mit dem Benutzer und Datenwiederherstellungsmethoden befassen, uns mit der Theorie und Implementierung von EFS in Windows 2000 vertraut machen und uns auch ein Beispiel für die Verschlüsselung eines Verzeichnisses mit EFS ansehen.
Verschlüsselungstechnologie
EFS verwendet die Windows CryptoAPI-Architektur. Es basiert auf der Public-Key-Verschlüsselungstechnologie. Um jede Datei zu verschlüsseln, wird nach dem Zufallsprinzip ein Dateiverschlüsselungsschlüssel generiert. In diesem Fall kann jeder symmetrische Verschlüsselungsalgorithmus zum Verschlüsseln der Datei verwendet werden. Derzeit verwendet EFS einen Algorithmus, DESX, bei dem es sich um eine spezielle Modifikation des weit verbreiteten DES-Standards handelt.
Schlüssel EFS-Verschlüsselung werden in einem residenten Speicherpool gespeichert (EFS selbst befindet sich im Windows 2000-Kernel), wodurch ein unbefugter Zugriff auf sie über die Auslagerungsdatei verhindert wird.
Benutzerinteraktion
Standardmäßig ist EFS so konfiguriert, dass der Benutzer sofort mit der Dateiverschlüsselung beginnen kann. Verschlüsselungs- und Umkehrvorgänge werden für Dateien und Verzeichnisse unterstützt. Wenn ein Verzeichnis verschlüsselt ist, werden alle Dateien und Unterverzeichnisse dieses Verzeichnisses automatisch verschlüsselt. Es ist zu beachten, dass eine verschlüsselte Datei, wenn sie von einem verschlüsselten Verzeichnis in ein unverschlüsseltes Verzeichnis verschoben oder umbenannt wird, weiterhin verschlüsselt bleibt. Verschlüsselungs-/Entschlüsselungsvorgänge können auf zwei verschiedene Arten durchgeführt werden: mit Windows Explorer oder das Cipher-Konsolendienstprogramm.
Um ein Verzeichnis im Windows Explorer zu verschlüsseln, muss der Benutzer lediglich ein oder mehrere Verzeichnisse auswählen und das Verschlüsselungskästchen im Fenster mit den erweiterten Eigenschaften des Verzeichnisses aktivieren. Alle später in diesem Verzeichnis erstellten Dateien und Unterverzeichnisse werden ebenfalls verschlüsselt. So können Sie eine Datei verschlüsseln, indem Sie sie einfach in ein „verschlüsseltes“ Verzeichnis kopieren (oder verschieben).
Verschlüsselte Dateien werden in verschlüsselter Form auf der Festplatte gespeichert. Beim Lesen einer Datei werden die Daten automatisch entschlüsselt und beim Schreiben automatisch verschlüsselt. Der Benutzer kann mit verschlüsselten Dateien auf die gleiche Weise arbeiten wie mit reguläre Dateien, also öffnen und bearbeiten Texteditor Microsoft Word-Dokumente, Bilder bearbeiten in Adobe Photoshop oder Grafikeditor Malen und so weiter.
Es ist zu beachten, dass Sie auf keinen Fall Dateien verschlüsseln sollten, die beim Systemstart verwendet werden – zu diesem Zeitpunkt ist der persönliche Schlüssel des Benutzers, mit dem die Entschlüsselung durchgeführt wird, noch nicht verfügbar. Dies kann dazu führen, dass das System nicht gestartet werden kann! EFS bietet einen einfachen Schutz vor solchen Situationen: Dateien mit dem Attribut „System“ werden nicht verschlüsselt. Seien Sie jedoch vorsichtig: Dies kann zu einer Sicherheitslücke führen! Überprüfen Sie, ob das Dateiattribut auf „System“ gesetzt ist, um sicherzustellen, dass die Datei tatsächlich verschlüsselt wird.
Es ist auch wichtig zu bedenken, dass verschlüsselte Dateien nicht komprimiert werden können unter Verwendung von Windows 2000 und umgekehrt. Mit anderen Worten: Wenn ein Verzeichnis komprimiert ist, kann sein Inhalt nicht verschlüsselt werden, und wenn der Inhalt des Verzeichnisses verschlüsselt ist, kann er nicht komprimiert werden.
Falls eine Datenentschlüsselung erforderlich ist, müssen Sie lediglich die Verschlüsselungskästchen für die ausgewählten Verzeichnisse im Windows Explorer deaktivieren und die Dateien und Unterverzeichnisse werden automatisch entschlüsselt. Es ist zu beachten, dass dieser Vorgang normalerweise nicht erforderlich ist, da EFS dem Benutzer ein „transparentes“ Erlebnis mit verschlüsselten Daten bietet.
Datenwiederherstellung
EFS bietet integrierte Unterstützung für die Datenwiederherstellung für den Fall, dass Sie sie entschlüsseln müssen, aber aus irgendeinem Grund ist dies nicht normal möglich. Standardmäßig generiert EFS automatisch einen Wiederherstellungsschlüssel und installiert ein Zugriffszertifikat Konto Administrator ein und speichern Sie es bei der ersten Anmeldung. Somit wird der Administrator zum sogenannten Wiederherstellungsagenten und kann jede Datei auf dem System entschlüsseln. Selbstverständlich kann die Richtlinie zur Datenwiederherstellung geändert werden, und es können ein spezieller Verantwortlicher für die Datensicherheit oder sogar mehrere dieser Personen als Wiederherstellungsbeauftragter ernannt werden.
Eine kleine Theorie
EFS verschlüsselt Daten mithilfe eines Shared-Key-Schemas. Daten werden schnell verschlüsselt symmetrischer Algorithmus Verwendung des Dateiverschlüsselungsschlüssels FEK (Dateiverschlüsselungsschlüssel). FEK ist ein zufällig generierter Schlüssel einer bestimmten Länge. Die Schlüssellänge in der nordamerikanischen Version von EFS beträgt 128 Bit; die internationale Version von EFS verwendet eine reduzierte Schlüssellänge von 40 oder 56 Bit.
Der FEK wird mit einem oder mehreren gemeinsamen Verschlüsselungsschlüsseln verschlüsselt, was zu einer Liste verschlüsselter FEK-Schlüssel führt. Die Liste der verschlüsselten FEK-Schlüssel wird in einem speziellen EFS-Attribut namens DDF (Data Decryption Field) gespeichert. Die zur Verschlüsselung der Daten verwendeten Informationen sind eng mit dieser Datei verknüpft. Öffentliche Schlüssel werden aus X509-Zertifikat-Benutzerschlüsselpaaren mit extrahiert zusätzliche Möglichkeit mit „Dateiverschlüsselung“. Die privaten Schlüssel dieser Paare werden bei der Datenentschlüsselung und FEK verwendet. Der private Teil der Schlüssel wird entweder auf Smartcards oder an einem anderen sicheren Ort (z. B. im Speicher, dessen Sicherheit durch CryptoAPI gewährleistet wird) gespeichert.
Der FEK wird außerdem mit einem oder mehreren Wiederherstellungsschlüsseln verschlüsselt (abgeleitet von den X509-Zertifikaten, die in der Richtlinie zur verschlüsselten Datenwiederherstellung des Computers aufgezeichnet sind, mit der optionalen Option „Dateiwiederherstellung“).
Wie im vorherigen Fall wird der öffentliche Teil des Schlüssels zur Verschlüsselung der FEK-Liste verwendet. Eine Liste der verschlüsselten FEK-Schlüssel wird außerdem mit der Datei in einem speziellen Bereich von EFS namens DRF (Datenwiederherstellungsfeld) gespeichert. DRF verwendet nur den gemeinsamen Teil jedes Schlüsselpaares, um die FEK-Liste zu verschlüsseln. Für normale Dateivorgänge werden nur gemeinsam genutzte Wiederherstellungsschlüssel benötigt. Wiederherstellungsagenten können ihre privaten Schlüssel an einem sicheren Ort außerhalb des Systems speichern (z. B. auf Smartcards). Die Abbildung zeigt Diagramme der Prozesse der Verschlüsselung, Entschlüsselung und Datenwiederherstellung.
Verschlüsselungsprozess
Die unverschlüsselte Datei des Benutzers wird mit einem zufällig generierten FEK verschlüsselt. Dieser Schlüssel wird mit der Datei geschrieben und die Datei wird mit dem öffentlichen Schlüssel des Benutzers (in DDF gespeichert) sowie dem öffentlichen Schlüssel des Wiederherstellungsagenten (in DRF gespeichert) entschlüsselt.
Entschlüsselungsprozess
Zunächst wird der private Schlüssel des Benutzers zum Entschlüsseln des FEK verwendet. Dies geschieht mithilfe der verschlüsselten Version des FEK, die im DDF gespeichert ist. Der entschlüsselte FEK wird verwendet, um die Datei blockweise zu entschlüsseln. Wenn drin große Datei Da Blöcke nicht sequentiell gelesen werden, werden nur lesbare Blöcke entschlüsselt. Die Datei bleibt verschlüsselt.
Wiederherstellungsprozess
Dieser Vorgang ähnelt der Entschlüsselung, mit dem Unterschied, dass der private Schlüssel des Wiederherstellungsagenten zum Entschlüsseln des FEK verwendet wird und die verschlüsselte Version des FEK aus dem DRF entnommen wird.
Implementierung in Windows 2000
Die Abbildung zeigt die EFS-Architektur:
EFS besteht aus folgenden Komponenten:
EFS-Treiber
Diese Komponente liegt logischerweise über NTFS. Es interagiert mit dem EFS-Dienst, empfängt Dateiverschlüsselungsschlüssel, DDF-, DRF-Felder und andere Schlüsselverwaltungsdaten. Der Treiber übergibt diese Informationen an die FSRTL (Dateisystem-Laufzeitbibliothek), um verschiedene Dateien transparent auszuführen Systemoperationen(z. B. Öffnen einer Datei, Lesen, Schreiben, Anhängen von Daten am Ende der Datei).
EFS-Laufzeitbibliothek (FSRTL)
FSRTL ist ein Modul innerhalb des EFS-Treibers, das externe Aufrufe an NTFS durchführt, um verschiedene Dateisystemvorgänge wie Lesen, Schreiben, Öffnen verschlüsselter Dateien und Verzeichnisse sowie Verschlüsselungs-, Entschlüsselungs- und Datenwiederherstellungsvorgänge beim Schreiben auf die Festplatte und beim Lesen von der Festplatte durchzuführen . Obwohl der EFS-Treiber und FSRTL als einzelne Komponente implementiert sind, interagieren sie nie direkt. Sie nutzen den NTFS-Aufrufmechanismus, um Nachrichten untereinander auszutauschen. Dadurch wird sichergestellt, dass NTFS an allen Dateivorgängen beteiligt ist. Zu den mithilfe von Dateiverwaltungsmechanismen implementierten Vorgängen gehören das Schreiben von Daten in EFS-Dateiattribute (DDF und DRF) und die Übergabe von EFS-berechneten FEKs an die FSRTL-Bibliothek, da diese Schlüssel im Kontext des Öffnens der Datei festgelegt werden müssen. Dieser Datei-Öffnungskontext ermöglicht dann eine diskrete Dateiverschlüsselung und -entschlüsselung, während Dateien auf die Festplatte geschrieben und von dieser gelesen werden.
EFS-Dienst
Der EFS-Dienst ist Teil des Sicherheitssubsystems. Es nutzt den vorhandenen LPC-Kommunikationsport zwischen der LSA (Local Security Authority) und dem Kernel-Modus-Sicherheitsmonitor, um mit dem EFS-Treiber zu kommunizieren. Im Benutzermodus interagiert der EFS-Dienst mit der CryptoAPI, um Dateiverschlüsselungsschlüssel bereitzustellen und die DDF- und DRF-Generierung bereitzustellen. Darüber hinaus unterstützt der EFS-Dienst die Win32-API.
Win32-API
Stellt eine Programmierschnittstelle für die Verschlüsselung bereit Dateien öffnen, Entschlüsselung und Wiederherstellung geschlossener Dateien, Empfang und Übertragung geschlossener Dateien ohne vorherige Entschlüsselung. Als Standard implementiert Systembibliothek advapi32.dll.
Ein wenig Übung
Um eine Datei oder ein Verzeichnis zu verschlüsseln, gehen Sie folgendermaßen vor:
- Starten Sie den Windows Explorer, klicken Sie mit der rechten Maustaste auf das Verzeichnis und wählen Sie Eigenschaften.
- Klicken Sie auf der Registerkarte „Allgemein“ auf die Schaltfläche „Erweitert“.
- Aktivieren Sie das Kontrollkästchen neben „Inhalte verschlüsseln, um Daten zu sichern“. Klicken Sie auf „OK“ und dann im Dialogfeld „Eigenschaften“ auf „Übernehmen“. Wenn Sie sich für die Verschlüsselung einer einzelnen Datei entschieden haben, erscheint zusätzlich ein Dialogfeld, das wie folgt aussieht:
Das System bietet an, auch das Verzeichnis zu verschlüsseln, in dem sich die ausgewählte Datei befindet, da sonst die Verschlüsselung beim ersten Ändern einer solchen Datei automatisch aufgehoben wird. Beachten Sie dies immer, wenn Sie einzelne Dateien verschlüsseln!
An diesem Punkt kann der Datenverschlüsselungsprozess als abgeschlossen betrachtet werden.
Um Verzeichnisse zu entschlüsseln, deaktivieren Sie einfach die Option „Inhalte verschlüsseln, um Daten zu sichern“. In diesem Fall werden die Verzeichnisse sowie alle darin enthaltenen Unterverzeichnisse und Dateien entschlüsselt.
Schlussfolgerungen
- EFS in Windows 2000 bietet Benutzern die Möglichkeit, NTFS-Verzeichnisse mithilfe eines starken kryptografischen Schemas mit gemeinsam genutztem Schlüssel zu verschlüsseln, und alle Dateien in privaten Verzeichnissen werden verschlüsselt. Verschlüsselung separate Dateien unterstützt, aber aufgrund unvorhersehbaren Anwendungsverhaltens nicht empfohlen.
- EFS unterstützt auch Verschlüsselung gelöschte Dateien, auf die als gemeinsam genutzte Ressourcen zugegriffen wird. Wenn Benutzerprofile für die Verbindung vorhanden sind, werden die Schlüssel und Zertifikate der Remote-Profile verwendet. In anderen Fällen werden lokale Profile generiert und lokale Schlüssel verwendet.
- Mit dem EFS-System können Sie eine Dfestlegen, sodass verschlüsselte Daten bei Bedarf mithilfe von EFS wiederhergestellt werden können.
- Die Dist in die allgemeine Windows 2000-Sicherheitsrichtlinie integriert. Die Durchsetzung der Wiederherstellungsrichtlinie kann an autorisierte Personen delegiert werden. Für jede Organisationseinheit kann eine eigene Dkonfiguriert werden.
- Die Datenwiederherstellung in EFS ist ein geschlossener Vorgang. Der Wiederherstellungsprozess entschlüsselt die Daten, nicht jedoch den Benutzerschlüssel, mit dem die Daten verschlüsselt wurden.
- Das Arbeiten mit verschlüsselten Dateien in EFS erfordert keine besonderen Schritte des Benutzers zum Ver- und Entschlüsseln der Daten. Entschlüsselung und Verschlüsselung erfolgen für den Benutzer unbemerkt beim Lesen und Schreiben von Daten auf die Festplatte.
- EFS-System unterstützt Sicherung und Wiederherstellung verschlüsselter Dateien, ohne sie zu entschlüsseln. NtBackup unterstützt die Sicherung verschlüsselter Dateien.
- EFS ist so in das Betriebssystem integriert, dass ein Informationsverlust durch Auslagerungsdateien unmöglich ist und gleichzeitig sichergestellt wird, dass alles funktioniert Kopien erstellt wird verschlüsselt
- Es werden zahlreiche Vorkehrungen getroffen, um die Sicherheit der Datenwiederherstellung sowie den Schutz vor Datenlecks und -verlusten im Falle schwerwiegender Systemausfälle zu gewährleisten.
Grundvoraussetzungen für Chiffren
· Eine verschlüsselte Nachricht darf nur lesbar sein, wenn der Schlüssel verfügbar ist.
· Die Anzahl der Operationen, die erforderlich sind, um aus einem Fragment einer verschlüsselten Nachricht und dem entsprechenden Klartext den verwendeten Verschlüsselungsschlüssel zu ermitteln, muss mindestens betragen Gesamtzahl mögliche Schlüssel;
· Die Anzahl der Operationen, die zum Entschlüsseln von Informationen durch Durchsuchen aller möglichen Schlüssel erforderlich sind, muss eine strenge Untergrenze haben und über die Grenzen der Möglichkeiten hinausgehen moderne Computer(unter Berücksichtigung der Möglichkeit des Einsatzes von Network Computing);
· Die Kenntnis des Verschlüsselungsalgorithmus sollte die Zuverlässigkeit des Schutzes nicht beeinträchtigen
Eine geringfügige Änderung des Schlüssels sollte zu einer erheblichen Änderung der Art der verschlüsselten Nachricht führen, selbst wenn derselbe Quelltext verschlüsselt wird.
· Eine geringfügige Änderung des Quelltexts sollte zu einer erheblichen Änderung der Art der verschlüsselten Nachricht führen, selbst wenn derselbe Schlüssel verwendet wird.
· die Strukturelemente des Verschlüsselungsalgorithmus müssen unverändert bleiben;
· Zusätzliche Bits, die während des Verschlüsselungsprozesses in die Nachricht eingefügt werden, müssen vollständig und sicher im Chiffretext verborgen sein.
· die Länge des Chiffretextes muss der Länge des Originaltextes entsprechen;
· Es sollten keine einfachen und leicht herzustellenden Abhängigkeiten zwischen den im Verschlüsselungsprozess nacheinander verwendeten Schlüsseln bestehen.
· Jeder Schlüssel aus der Menge der möglichen Schlüssel muss bereitgestellt werden zuverlässiger Schutz Information;
· Der Algorithmus muss sowohl Software- als auch Hardware-Implementierung ermöglichen, wobei eine Änderung der Schlüssellänge nicht zu einer qualitativen Verschlechterung des Verschlüsselungsalgorithmus führen darf.
Softwareimplementierungen von Chiffren
Die Möglichkeit der Softwareimplementierung liegt darin begründet, dass alle kryptografischen Transformationsverfahren formal sind und in Form eines abschließenden algorithmischen Verfahrens dargestellt werden können.
Zu den Vorteilen Die Softwareimplementierung ist auf ihre Flexibilität und Portabilität zurückzuführen. Mit anderen Worten: Ein für ein Betriebssystem geschriebenes Programm kann für jeden Betriebssystemtyp geändert werden. Außerdem aktualisieren Software mit weniger Zeit- und Geldaufwand möglich. Darüber hinaus stehen viele moderne Fortschritte auf dem Gebiet der kryptografischen Protokolle nicht für die Implementierung in Hardware zur Verfügung.
Zu den Nachteilen Software kryptografischer Schutz Es sollte die Möglichkeit in Betracht gezogen werden, in Verschlüsselungsalgorithmen einzugreifen und Zugriff auf im öffentlichen Speicher gespeicherte Schlüsselinformationen zu erhalten. Diese Operationen werden normalerweise mit einem einfachen Satz ausgeführt Software-Tools. So zum Beispiel in vielen Betriebssysteme Es wird ein Notfall-Speicherauszug auf die Festplatte durchgeführt, und möglicherweise befinden sich Schlüssel im Speicher, die nicht schwer zu finden sind.
Daher ist die schwache physische Sicherheit der Software einer der Hauptnachteile solcher Methoden zur Implementierung von Verschlüsselungsalgorithmen.
Software- und Hardware-Implementierung
IN in letzter Zeit Es begannen kombinierte Verschlüsselungstools, die sogenannten, aufzutauchen. Software und Hardware. In diesem Fall verwendet der Computer eine Art „kryptografischer Coprozessor“ – ein Computergerät, das sich auf die Durchführung kryptografischer Operationen (Modulo-Addition, Verschiebung usw.) konzentriert. Durch Ändern der Software für ein solches Gerät können Sie die eine oder andere Verschlüsselungsmethode auswählen.
Die der Hardware des Software-Hardware-Komplexes für den kryptografischen Informationsschutz zugewiesenen Hauptfunktionen sind in der Regel die Generierung von Schlüsselinformationen und deren Speicherung in Geräten, die vor unbefugtem Zugriff eines Angreifers geschützt sind. Darüber hinaus ist es mit Techniken dieser Art möglich, Benutzer mithilfe von Passwörtern (statisch oder dynamisch ändernd, die auf verschiedenen Medien mit Schlüsselinformationen gespeichert werden können) oder anhand biometrischer Merkmale, die für jeden Benutzer einzigartig sind, zu authentifizieren. Ein Gerät zum Lesen solcher Informationen kann Teil der Software- und Hardware-Implementierung von Informationssicherheitstools sein.
Microsoft Office 2010 enthält Optionen, mit denen Sie steuern können, welche Daten bei der Verwendung von Microsoft Access 2010 verschlüsselt werden. Microsoft Excel 2010, Microsoft OneNote 2010, Microsoft PowerPoint 2010, Microsoft Project 2010 und Microsoft Word 2010. Dieser Artikel befasst sich mit Kryptografie und Verschlüsselung in Office 2010, beschreibt die Datenverschlüsselungsfunktionsoptionen und bietet Informationen zur Legacy-Kompatibilität Microsoft-Versionen Büro.
Berücksichtigen Sie bei der Planung Ihrer Verschlüsselungsoptionen die folgenden Richtlinien:
- Wir empfehlen Ihnen, keine Änderungen an den Standardverschlüsselungseinstellungen vorzunehmen, es sei denn, das Sicherheitsmodell Ihrer Organisation erfordert Verschlüsselungseinstellungen, die von den Standardeinstellungen abweichen.
- Wir empfehlen die Verwendung einer Passwortlänge und -komplexität, die sicherstellt, dass beim Verschlüsseln von Daten sichere Passwörter verwendet werden.
- Wir empfehlen Sie weiter Nicht Verwenden Sie die RC4-Verschlüsselung.
- Es gibt keine administrative Einstellung, mit der Sie Benutzer zwingen können, Dokumente zu verschlüsseln. Es gibt jedoch eine administrative Einstellung, mit der Sie die Möglichkeit zum Hinzufügen von Passwörtern für Dokumente entfernen und so die Dokumentverschlüsselung verhindern können.
- Das Speichern von Dokumenten an vertrauenswürdigen Orten hat keinen Einfluss auf die Verschlüsselungseinstellungen. Wenn das Dokument verschlüsselt und an einem sicheren Ort gespeichert ist, muss der Benutzer zum Öffnen des Dokuments ein Passwort angeben.
In diesem Artikel:
Informationen zu Kryptografie und Verschlüsselung in Office 2010
Die für die Verwendung mit Office verfügbaren Verschlüsselungsalgorithmen hängen von den Algorithmen ab, die möglicherweise über die API (Anwendungsprogrammierschnittstelle) im Windows-Betriebssystem verfügbar sind. Office 2010 bietet nicht nur Unterstützung für die CryptoAPI (CryptoAPI), sondern auch Unterstützung für CNG (CryptoAPI: Next Generation), das erstmals 2007 im Microsoft Office System SP2 eingeführt wurde.
CNG ermöglicht eine flexiblere Verschlüsselung, bei der Sie Algorithmen angeben können, die unterschiedliche Verschlüsselungen und Hashing auf dem Slave-Computer unterstützen und während des Dokumentenverschlüsselungsprozesses verwendet werden. CNG ermöglicht auch eine bessere Erweiterbarkeit der Verschlüsselung, wobei die Modulverschlüsselung von Drittanbietern verwendet werden kann.
Wenn die Behörde CryptoAPI verwendet, hängen die Verschlüsselungsalgorithmen von denen ab, die vom CSP (Cryptography Service Provider) bereitgestellt werden, der Teil des Windows-Betriebssystems ist. Der folgende Registrierungsschlüssel enthält eine Liste der auf dem Computer installierten CSPs:
HKEY_LOCAL_MACHINE/software/microsoft/encryption/default/vendor
Die folgenden CNG-Verschlüsselungsalgorithmen oder alle anderen auf dem System installierten CNG-Erweiterungsverschlüsselungsmethoden können mit Office 2010 oder Office 2007 Service Pack 2 verwendet werden:
AES, DES, DESX, 3DES, 3DES_112 und RC2
Die folgenden LNG-Hash-Algorithmen oder alle anderen Erweiterungen der auf dem System installierten LNG-Verschlüsselungen können mit dem 2010 Office System oder dem 2007 Office System SP2 verwendet werden:
MD2, MD4, MD5, RIPEMD-128, RIPEMD-160, SHA-1, SHA256, SHA384 und SHA512
Obwohl es in Office 2010 Optionen zum Ändern der Art der Verschlüsselung gibt, sind beim Verschlüsseln von Dateien im Open XML-Format (.docx, .xslx, .pptx usw.) die Standardwerte AES (Advanced Encryption Standard), 128-Bit-Schlüssellänge , SHA1 und CBC (Cipher Block Chain) – bieten eine starke Verschlüsselung und sollten für die meisten Organisationen geeignet sein. Die AES-Verschlüsselung ist der stärkste verfügbare Standardalgorithmus und wurde von der National Security Agency (NSA) als Standard für die Regierung der Vereinigten Staaten ausgewählt. Die AES-Verschlüsselung wird unter Windows XP SP2, Windows Vista, Windows 7 unterstützt. Windows-Server 2003 und Windows Server 2008.
Kryptografie- und Verschlüsselungsoptionen
In der folgenden Tabelle sind die verfügbaren Optionen zum Ändern von Verschlüsselungsalgorithmen aufgeführt, wenn Sie die für CryptoAPI verfügbare Version von Microsoft Office verwenden. Dies umfasst Versionen von Office bis einschließlich Office 2010.
|
Einstellungen |
Beschreibung |
| Verschlüsselungstyp für Office-Dateien Offenes XML, passwortgeschützt | Mit dieser Option können Sie den Verschlüsselungstyp für Open XML-Dateien von verfügbaren Kryptografiedienstanbietern (CSPs) festlegen. Diese Einstellung ist erforderlich, wenn Sie die benutzerdefinierte COM-Add-In-Verschlüsselung verwenden. Empfangen Weitere Informationen Weitere Informationen finden Sie im „2007 Office Encryption System Developers Guide“, das als Teil des Sharepoint Server 2007 SDK verfügbar ist. Diese Einstellung ist erforderlich, wenn Sie 2007 Office System SP1 oder eine Version des Compatibility Packs verwenden, die älter als das Microsoft Office Compatibility Pack für die Dateiformate Word, Excel und PowerPoint ist, und Sie den Verschlüsselungsalgorithmus ändern möchten anders als die Standardeinstellung. |
| Verschlüsselungstyp für kennwortgeschützte Office 97-2003-Dateien | Mit dieser Option können Sie den Verschlüsselungstyp für Office 97–2003-Dateien (binär) von verfügbaren Kryptografiedienstanbietern (CSPs) festlegen. Der einzige unterstützte Algorithmus bei Verwendung dieser Option ist RC4, den wir, wie bereits erwähnt, nicht empfehlen. |
In Office 2010, wenn Sie die Einstellung ändern müssen Verschlüsselungstyp für passwortgeschützte Office Open XML-Dateien, müssen Sie die Option zunächst aktivieren Verschlüsselungskompatibilität bitte angeben und wählen Sie eine Option aus Verwenden Sie das Legacy-Format. Parameter Geben Sie die Verschlüsselungskompatibilität an Verfügbar für den Zugriff in 2010, Excel 2010, PowerPoint 2010 und Word 2010.
In der folgenden Tabelle sind die verfügbaren Optionen zum Ändern der Verschlüsselungsalgorithmen aufgeführt, wenn Sie Office 2010 verwenden. Diese Optionen gelten für Access 2010, Excel 2010, OneNote 2010, PowerPoint 2010, Project 2010 und Word 2010.
|
Einstellungen |
Beschreibung |
| Konfigurieren des CNG-Verschlüsselungsalgorithmus | Mit dieser Option können Sie den verwendeten CNG-Verschlüsselungsalgorithmus konfigurieren. Der Standardwert ist AES. |
| CNG-Code-Kupplungsmodus einrichten | Mit dieser Option können Sie den verwendeten Verschlüsselungs- und Kettenmodus konfigurieren. Standard ist Chiffrierblockverkettung (CBC). |
| Legen Sie die Länge des LNG-Verschlüsselungsschlüssels fest | Mit dieser Option können Sie die Anzahl der Bits konfigurieren, die beim Erstellen des Verschlüsselungsschlüssels verwendet werden sollen. Der Standardwert beträgt 128 Bit. |
| Stellen Sie die Verschlüsselungskompatibilität ein | Mit dieser Option können Sie das Kompatibilitätsformat angeben. Standardwert - Verwendung des Formats der nächsten Generation. |
| Festlegen von Parametern für den LNG-Kontext | Mit diesem Parameter können Sie die Verschlüsselungsparameter angeben, die für den LNG-Kontext verwendet werden sollen. Um diese Option nutzen zu können, muss der CNG-Kontext zunächst mit CryptoAPI: Next Generation (CNG) erstellt werden. |
| Legen Sie den LNG-Hashing-Algorithmus fest | Mit dieser Option können Sie den verwendeten Hashing-Algorithmus festlegen. Der Standardwert ist SHA1. |
| LNG-Scroll-Passwort festlegen | Mit dieser Option können Sie angeben, wie oft das Passwort geändert (umformuliert) werden soll. Der Standardwert ist 100000. |
| Geben Sie den LNG-Algorithmus zur Generierung von Zufallszahlen an | Mit dieser Option können Sie den zu verwendenden LNG-Zufallszahlengenerator konfigurieren. Der Standardwert ist RNG (Zufallszahlengenerator). |
| Geben Sie die LNG-Salzlänge an | Mit diesem Parameter können Sie die Anzahl der Salt-Bytes angeben, die verwendet werden sollen. Der Standardwert ist 16. |
Zusätzlich zu den in der vorherigen Tabelle aufgeführten CNG-Einstellungen kann die in der folgenden Tabelle aufgeführte CNG-Einstellung in Excel 2010, PowerPoint 2010 und Word 2010 konfiguriert werden.
Mit den in der folgenden Tabelle aufgeführten Optionen können Sie die Möglichkeit zum Hinzufügen von Passwörtern zu Dokumenten entfernen und so verhindern, dass Dokumente verschlüsselt werden.
Kompatibilität mit früheren Office-Versionen
Wenn Sie Office-Dokumente verschlüsseln möchten, empfehlen wir, Dokumente im Open XML-Format (.docx, .xlsx, .pptx usw.) statt im Office 97-2003-Format (.doc, .xls, . ppt usw.) zu speichern. . Die für Binärdokumente (.doc, .xls, .ppt) verwendete Verschlüsselung verwendet RC4. Dies wird, wie in den Abschnitten 4.3.2 und 4.3.3 dargelegt, aus Sicherheitsgründen für die Spezifikation der Office-Dokumentkryptografiestruktur nicht empfohlen. In alten Binärdateien gespeicherte Dokumente Office-Formate kann nur mit RC4 verschlüsselt werden, um die Kompatibilität mit früheren Versionen von Microsoft Office aufrechtzuerhalten. AES ist der empfohlene und standardmäßige Algorithmus zum Verschlüsseln von Dateien im Open XML-Format.
Mit Office 2010 und dem Office System 2007 können Sie Dokumente im Open-Format speichern XML-Dateien. Wenn Sie über Microsoft Office XP oder Office 2003 verfügen, können Sie außerdem das Compatibility Pack verwenden, um Dokumente als Open XML-Dateien zu speichern.
Dokumente, die als Open XML-Dateien gespeichert und mit verschlüsselt werden mit Office 2010 kann nur von Office 2010, Office 2007 Service Pack 2 und Office 2003 mit dem Office 2007 Service Pack 2 Compatibility Pack gelesen werden, um die Kompatibilität mit allen zu gewährleisten frühere Versionen Office können Sie unter einen Registrierungsschlüssel erstellen (falls dieser nicht vorhanden ist). HKCU\Software\Microsoft\Office\14.0\
Wenn Ihre Organisation das Microsoft Office Compatibility Pack für Word-, Excel- und PowerPoint-Dateiformate zum Verschlüsseln von Dateien im Open XML-Format verwendet, sollten Sie die folgenden Informationen berücksichtigen:
- Standardmäßig verwendet das Compatibility Pack die folgenden Einstellungen zum Verschlüsseln von Dateien im Open XML-Format:
- VerlängerungMicrosoftRSAUndAESKrypto-Anbieter (Prototyp),AES 128,128 (auf dem Betriebssystem Windows XP Professional).
- VerlängerungMicrosoftRSAUndAESVerschlüsselungsdienstleisterAES 128,128 (in Operationssälen Windows-Systeme Server 2003 und Windows Vista).
- Benutzer werden nicht darüber informiert, dass das Compatibility Pack diese Verschlüsselungsoptionen verwendet.
- Grafische Benutzeroberfläche früher Office-Versionen Wenn das Compatibility Pack installiert ist, werden möglicherweise falsche Verschlüsselungsoptionen für Open XML-Dateiformate angezeigt.
- Benutzer können die GUI in früheren Versionen von Office nicht verwenden, um Verschlüsselungseinstellungen für Open XML-Dateiformate zu ändern.
3 Antworten
Kann jemand die echten Daten erhalten oder etwas unternehmen, wenn der Verschlüsselungsalgorithmus bekannt ist?
Wenn der Angreifer den Verschlüsselungsalgorithmus kennt, wird er ausgeführt, da er jetzt nur noch herausfinden muss, mit welchem Schlüssel er verschlüsselt wurde. Doch etablierte Verschlüsselungsalgorithmen wie AES weisen keine bekannten Schwächen auf. Daher wird der Angreifer es gewaltsam nutzen, um Zugriff auf die Daten zu erhalten.
Wenn Sie Schlüssel geeigneter Größe verwenden (z. B. AES 256 Bit oder größer), wird dies eine sehr schwierige Aufgabe sein. Auch DES weist keine bekannten Schwächen auf, aber seine geringe Schlüsselgröße (56 Bit) ermöglicht die Durchführung eines Brute-Force-Angriffs in angemessener Zeit (z. B. Tage). Aus diesem Grund wird DES nicht mehr verwendet.
auch wenn der Hacker nichts von den privaten Schlüsseln, öffentlichen Schlüsseln oder PV weiß?
Beachten Sie, dass öffentliche Schlüssel nur im Zusammenhang mit asymmetrischer Verschlüsselung anwendbar sind. In diesem Fall öffentlicher Schlüssel ist normalerweise öffentlich (daher der Name „öffentlicher Schlüssel“). Die asymmetrische Verschlüsselung ist jedoch so konzipiert, dass Sie den öffentlichen Schlüssel selbst dann nicht entschlüsseln können, wenn Sie ihn kennen privater Schlüssel.
Daher haben sich Verschlüsselungsalgorithmen wie AES bewährt und sind nachweislich recht sicher. Wie David Schwartz in seiner Antwort betont: Wenn Sie ein Problem haben, ist (normalerweise) Ihre Implementierung schuld, nicht der Verschlüsselungsalgorithmus.
Wenn die Verschlüsselung korrekt implementiert ist und Teil eines vernünftig konzipierten Systems ist, NEIN. Das ist der springende Punkt bei der Verschlüsselung.
Bitte beachten Sie, dass Verschlüsselung keine Zauberei ist. Es muss gezielt eingesetzt werden, um sinnvollen Schutz zu bieten. Es gibt viele Möglichkeiten, dies falsch zu machen.
Wenn Sie ein Produkt nicht mit großem Respekt verwenden (wie TrueCrypt, Firefox oder GPG) und es genau so verwenden, wie es verwendet werden soll, besteht eine sehr gute Chance, dass Sie keine wirkliche Sicherheit erhalten. Dropbox verwendete beispielsweise AES, aber eine Sicherheitslücke in einem anderen Teil ihres Systems ermöglichte es einem Benutzer, andere Benutzerdaten zu entschlüsseln. Es hat also nicht geholfen, dass es verschlüsselt war.
Ja, die Geheimhaltung des Algorithmus trägt ein wenig zur Sicherheit bei. Wenn ein Angreifer weiß, dass Sie DES verwendet haben (was nicht besonders schwer zu knacken ist), wird er möglicherweise eher versuchen, es zu knacken.
Ich denke, der Kern Ihrer Frage sind statistische Angriffe, die versuchen, die Verschlüsselung zu durchschauen, um die Natur der Daten zu entschlüsseln. Jeder einigermaßen moderne Algorithmus ist mathematisch darauf ausgelegt, jeden Versuch zu vereiteln, die Daten zu erraten.
Allerdings tut David sehr viel guter Punkt. Selbst eine perfekte Verschlüsselung (falls vorhanden) wäre anfällig für menschliches Versagen. Diese Algorithmen sind nutzlos, es sei denn, Sie geben sich selbst auf, kreuzen Ihr T-Shirt an und haben absolutes (und berechtigtes) Vertrauen in diejenigen, die die Daten entschlüsseln können.