Windows XP: Crittografare files con EFS

Windows XP Professional integra EFS (Encrypting File System), un sistema che permette di crittografare file e cartelle in modo da proteggerli da occhi indiscreti (la versione Home di Windows XP è sprovvista di EFS).
Le cartelle e i file crittografati con EFS saranno evidenziati con il colore verde. L’utente che ha crittografato vari file e cartelle può continuare a lavorare in modo completamente trasparente su di essi: anche i file crittografati possono essere aperti, modificati, chiusi, eliminati come qualsiasi altro normale file.
Solo chi ha crittografato un file può quindi visualizzarlo ed operarvi senza problemi. Il sistema di crittografia integrato in Windows XP è infatti strettamente legato all’account dell’utente. Ciò significa che nessun’altro utente (nemmeno utilizzando uno degli account configurati sulla stessa macchina) può aver accesso ai file da voi crittografati. E’ tacito che l’utilizzo del vostro account deve essere necessariamente protetto mediante l’utilizzo di una password personale (possibilmente abbastanza complessa): fate riferimento, a tal proposito, all’icona “Account” all’interno del Pannello di controllo.
Il proprietario dell’account col quale si sono crittografati file e cartelle può comunque garantire l’accesso ad altri utenti autorizzati.

Ogni volta che crittografate un file, EFS genera un numero casuale per quello specifico file denominato File Encryption Key (FEK). EFS utilizza la chiave FEK per crittografare il contenuto del file utilizzando una variante (DESX) dell’algoritmo “Data Encryption Standard” (DES). Anche la chiave FEK viene a sua volta crittografata.
Per poter utilizzare EFS è necessario, comunque, che la partizione contenente i file da crittografare utilizzi il file system NTFS. Inoltre EFS non può crittografare file compressi, quelli memorizzati nella cartella di Windows e quelli marcati con l’attributo “System”.

Prima di utilizzare EFS è necessario ricordare i seguenti punti:
– quando si spostano o si copiano file non crittografati all’interno di una cartella crittografata (marcata con il colore verde), tali file verrano automaticamente crittografati;
– quando si spostano o si copiano file crittografati da una cartella crittografata in una cartella non crittografata, tali file resteranno crittografati;
– quando si spostano o si copiano file crittografati da una cartella crittografata su una partizione non formattata con il file system NTFS, tali file verranno automaticamente resi non crittografati. Verrà comunque prima visualizzato un messaggio di allerta;
– quando si crea una copia di backup di file crittografati usando l’utilità integrata in Windows XP, tali file resteranno crittografati;
– quando si rinomina un file crittografato, il file rimarrà crittografato;
– quando si elimina un file crittografato acconsentendone la memorizzazione nel “Cestino” di Windows XP, tale file rimarrà crittografato all’interno del “Cestino” stesso.

Per crittografare un file o una cartella, è sufficiente fare clic su di esso con il tasto destro del mouse, scegliere la voce “Proprietà”, cliccare sulla scheda “Generale” infine sul pulsante “Avanzate…”. A questo punto è necessario attivare l’opzione “Crittografa contenuto per la protezione dei dati” (il checkbox “Comprimi contenuto per risparmiare spazio su disco” deve essere in questo caso disattivato). Premendo il pulsante OK, quindi ancora OK, i file e le cartelle selezionati saranno automaticamente crittografati.
Se state crittografando un’intera cartella, verrà visualizzata una finestra di dialogo che vi richiederà se debbano essere o meno crittografate anche le eventuali sottocartelle insieme con tutti i file in esse contenuti.
Se state crittografando, invece, un file contenuto in una cartella non crittografata, comparirà un altro messaggio col quale Windows XP vi richiederà se debba essere crittografata o meno, a sua volta, anche la cartella-padre. C’è una spiegazione logica per questo avviso: alcuni programmi creano spesso una copia temporanea dei file sui quali si sta operando. Per un utente malintenzionato, interessato a visualizzare i vostri documenti, potrebbe così risultare possibile la visualizzazione della copia non crittografata del file sul quale avete lavorato. Crittografando l’intera cartella-padre si sarà sicuri, invece, di crittografare “al volo” anche eventuali copie di lavoro (file temporanei) creati dai vari software (per esempio, Word).

Per rendere nuovamente non crittografati file e cartelle, è sufficiente disattivare l’opzione “Crittografa contenuto per la protezione dei dati”.

Dopo aver crittografato dei file, è comunque possibile continuare a “condividerne” il contenuto con altri utenti. E’ necessario, tuttavia, che tali utenti (account locali o di rete) siano da poi preventivamente autorizzati. Per permettere ad utenti specifici di visionare i vostri file, fate clic con il tasto destro del mouse su uno o più file non crittografati, scegliete “Proprietà”, “Generale” infine cliccate su “Avanzate…”. L’elenco proposto mostra l’elenco degli utenti che sono autorizzati ad accedere ai file selezionati. Cliccate sul pulsante “Aggiungi…” per aggiungerne di nuovi. Tenete presente che solamente gli utenti che dispongono di un apposito certificato verranno visualizzati in lista. La via più semplice per crearsi il proprio certificato consiste nel crittografare almeno un file.

Gli utenti più evoluti che preferissero effettuare le varie operazioni da riga di comando (Prompt dei comandi), possono far riferimento al comando CIPHER. La lista delle varie possibilità è ottenibile digitando al prompt quando segue:
CIPHER /?