Sistem Enkripsi Berkas

Sistem Enkripsi Berkas atau Encrypting File System (EFS) pada Microsoft Windows adalah sebuah fitur yang diperkenalkan di versi 3.0 dari NTFS^[1] yang menyediakan enkripsi tingkat berkas sistem. Teknologi ini memungkinkan berkas dienkripsi secara transparan untuk melindungi data rahasia dari penyerang dengan akses fisik ke komputer.

Mekanisme pengamanan data dengan menggunakan izin akses NTFS memang dapat melindungi berkas dari akses pihak-pihak yang tidak berhak ketika sistem operasi berjalan, tetapi dapat dengan mudah dikelabui jika seorang penyerang memperoleh akses fisik terhadap komputer. Salah satu solusinya adalah dengan menyimpannya secara terenkripsi di dalam media penyimpanan. Microsoft mengimplementasikan hal serupa agar mengamankan berkas para pengguna Windows (versi-versi khusus, lihat di bawah), yakni dengan menggunakan gabungan kriptografi kunci rahasia dengan kriptografi kunci publik. EFS memperkuat sistem keamanan berkas NTFS yang sebelumnya hanya berkisar pada izin akses NTFS saja, dengan beberapa teknologi kriptografi, yakni algoritme DESX, 3DES, AES dan RSA. Orang yang tidak berhak tidak akan pernah dapat membuka berkas, meski ia memiliki izin akses NTFS. Meskipun demikian, EFS tidak dapat mencegah terhadap serangan exhaustive key search

Cara kerja

Cara kerja dari Sistem Enkripsi Berkas

EFS bekerja dengan mengenkripsi berkas dengan kunci simetris massal, juga dikenal sebagai File Encryption Key, atau FEK. Ini menggunakan sebuah algoritma enkripsi simetris karena hal tersebut memakan waktu sebentar untuk mengenskripsi dan mendeskripsi jumlah data yang banyak dibandingkan jika sandi kunci asimetris digunakan. Algoritma enkripsi simetris yang digunakan akan bervariasi tergantung pada versi dan konfigurasi sistem operasi; lihat Algoritma yang digunakan oleh versi Windows di bawah. FEK (kunci simetris yang digunakan untuk mengenkripsi berkas) kemudian dienkripsi dengan kunci publik yang dikaitkan dengan pengguna yang mengenkripsi berkas tersebut, dan FEK terenkripsi ini disimpan dalam aliran data alternatif $EFS dari berkas terenkripsi.^[2] Untuk mendeskripsi berkas, komponen driver EFS menggunakan kunci pribadi yang cocok dengan sertifikat digital EFS (digunakan untuk mendeskripsi berkas) untuk mendeskripsi kunci simetris yang disimpan dalam aliran $EFS. Driver komponen EFS lalu menggunakan kunci simetris untuk mendeskripsi berkasnya. Karena operasi enkripsi & deskripsi dilakukan pada lapisan di bawah NTFS, itu transparan bagi pengguna dan semua aplikasi mereka.

Ketika sebuah berkas disalin atau dipindahkan ke partisi (volume) lainnya yang memiliki format sistem berkas selain NTFS (sebagai contoh FAT atau CDFS), maka berkas atau direktori tersebut akan didekripsi terlebih dahulu sebelum melakukan operasi penyalinan atau pemindahan berkas dilakukan. Pengecualian terjadi pada saat proses pencadangan dengan menggunakan program Windows Backup (NTBACKUP.EXE) atau program lainnya yang menggunakan fungsi API Windows yang akan menyalin dalam bentuk terenkripsi secara langsung.

Dimulai dengan Windows Vista, sebuah kunci pribadi pengguna dapat disimpan di sebuah kartu pintar; kunci Data Recovery Agent (DRA) juga dapat disimpan di sebuah kartu pintar.^[3]

Versi Windows yang mendukung EFS

• Keluarga Windows 2000: Windows 2000 Professional, Windows 2000 Server, Windows 2000 Advanced Server, dan Windows 2000 Datacenter Server
• Keluarga Windows XP: Windows XP Professional, Windows XP Professional 64-bit Edition, Windows XP Professional x64 Edition, dan Windows XP Professional for Legacy PC. Windows XP Home Edition, Windows XP Starter Edition tidak mendukung penggunaan EFS.
• Keluarga Windows Server 2003: Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition, Windows Server 2003 Datacenter Edition, Windows Server 2003 Web Edition, Windows Server 2003 Small Business Server, Windows Server 2003 R2.
• Keluarga Windows Vista: Windows Vista Business Edition, Windows Vista Enterprise Edition, Windows Vista Ultimate Editon. Windows Vista Ultimate Edition dan Windows Vista Enterprise juga menawarkan enkripsi terhadap keseluruhan drive, yang disebut dengan BitLocker Drive Encryption.
• Keluarga Windows Server codenamed Longhorn: Longhorn (semua versi beta, hingga bulan April 2007, mencapai versi Beta 3). BitLocker Drive Encryption juga disertakan di dalamnya.

Sistem-sistem operasi di atas dapat menggunakan EFS jika dan hanya jika format sistem berkas media penyimpanan yang digunakan adalah NTFS. FAT16, FAT32 atau sistem berkas lainnya tidak dapat mendukung EFS.

Algoritme kriptografi yang digunakan

EFS menggunakan beberapa algoritme kriptografi, yakni sebagai berikut:

• Data Encryption Standard eXtended (DESX), yang digunakan pada Windows 2000 Professional, Windows 2000 Server, Windows 2000 Advanced Server, serta Windows 2000 Datacenter Server. Panjang kunci yang digunakan adalah 56 bit.
• Triple Data Encryption Standard (3DES), yang digunakan pada Windows 2000, Windows XP Professional, Windows Server 2003, dan Windows Vista. Panjang kunci yang digunakan adalah 112 bit, 168 bit atau 192 bit. Secara default tidak aktif, tetapi dapat diaktifkan dengan menggunakan Group Policy atau menyunting registry pada:

Alamat Kunci: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS\
Nama value: AlgorithmID
Nilai value: 0x6603

• Advanced Encryption Standard (AES), yang digunakan pada Windows XP Service Pack 1, Windows Server 2003 dan Windows Vista. Panjang kunci default yang digunakan adalah 256 bit.
• Rivest, Shamir, Adleman (RSA), yang digunakan sebagai pengaman untuk kunci-kunci simetrik di atas. Panjang kunci yang digunakan adalah 1024 bit. Ini juga menjadi sebab mengapa EFS dapat diimplementasikan sebagai anggota Public Key Infrastructure (PKI).

Algoritma yang digunakan oleh versi Windows

Windows EFS mendukung berbagai algoritma enkripsi simetris, tergantung pada versi dari Windows yang digunakan saat berkas dienkripsi:

Sistem operasi	Algoritma bawaan	Algoritma lainnya
Windows 2000	DESX	(tidak ada)
Windows XP RTM	DESX	Triple DES
Windows XP SP1	AES	Triple DES, DESX
Windows Server 2003	AES	Triple DES, DESX[4]
Windows Vista	AES	Triple DES, DESX
Windows Server 2008	AES	Triple DES, DESX (?)
Windows 7 Windows Server 2008 R2	Campur (AES, SHA, dan ECC)	Triple DES, DESX

Referensi

1. "File Encryption (Windows)". Microsoft. Diakses tanggal 2010-01-11.
2. "Encrypting File System".
3. Chris Corio (May 2006). "First Look: New Security Features in Windows Vista". TechNet Magazine. Microsoft. Diarsipkan dari versi asli tanggal 2006-11-10. Diakses tanggal 2006-11-06. Parameter |url-status= yang tidak diketahui akan diabaikan (bantuan)
4. Muller, Randy (May 2006). "How IT Works: Encrypting File System". TechNet Magazine. Microsoft. Diakses tanggal 2009-05-22.

Bacaan lanjutan

• "Implementing the Encrypting File System in Windows 2000". Windows 2000 Evaluated Configuration Administrators Guide. Microsoft. Diakses tanggal 20 December 2014.
• Bragg, Roberta. "The Encrypting File System". TechNet. Microsoft.
• "Encrypting File System (Windows Server 2008, Windows Vista)". TechNet. Microsoft. February 25, 2009.
• "Encrypting File System in Windows XP and Windows Server 2003". TechNet. Microsoft. April 11, 2003.
• Network Associates Laboratories. "How to Use the Encrypting File System (Windows Server 2003, Windows XP Professional)". MSDN. Microsoft.
• "Menggunakan Enkripsi sistem berkas". Windows XP Resource Kit. Microsoft. November 3, 2005.
• "Mengenkripsi sistem berkas". Windows 2000 Resource Kit. Microsoft.
• "Bagaimana EFS Bekerja". Windows 2000 Resource Kit. Microsoft.