Stanisław Jankowski 2014-05-08

PCSS CryptoFS4Win 0.9.15 Instrukcja obsługi Stanisław Jankowski 2014-05-08 Instrukcja obsługi NDSCryptoFS dla użytkownika końcowego.

Spis treści 1. Wstęp....3 Opis.... 3 Kompatybilność.... 3 Wymagania.... 3 2. Instalacja....4 Przebieg instalacji.... 4 Deinstalacja... 6 3. Szybki start....7 Uruchomienie programu.... 7 Utworzenie nowego profilu sesji.... 7 Montowanie.... 9 4. Okno główne.... 12 5. Opcje Globalne.... 13 6. Opcje sesji... 14 Podstawowe.... 14 Szyfrowanie.... 15 Certyfikaty.... 16 Klucze Szyfrujące.... 17 Cache.... 17 System Plików.... 18 Wielowątkowość.... 19 SFTP.... 20 7. Uruchomienie NDSCryptoFS4WIN w trybie usługi.... 21 Zainstalować NDSCryptoFS4WIN... 21 OPCJONALNIE (jeśli chcemy korzystać z certyfikatów) Zainstalować certyfikaty w keyringu maszyny... 21 Uruchomić NDSCryptoFS4WIN w trybie graficznym i utworzyć sesję dla trybu usługi.... 24 Uruchomić usługę... 25 8. Instalacja certyfikatów.... 28 Tworzenie certyfikatu self signed z klucza prywatnego w formacie PEM.... 28 Instalacja certyfikatu w formacie p12 w systemie Windows.... 28 1

2

1. Wstęp. Opis. NdsCryptoFS jest wirtualnym systemem plików dla systemu Windows, który udostępnia jako dysk lokalny zasób, który znajduje się na serwerze SFTP. Narzędzie korzysta z kluczy w formacie.pem, certyfikatów składowanych w keyringu Windows lub hasła do uwierzytelniania użytkowników oraz z kluczy w formacie.pem, certyfikatów składowanych w keyringu Windows do szyfrowania danych i nazw plików oraz katalogów. NDSCryptoFS zapewnia przezroczyste dla użytkownika szyfrowanie danych składowanych w wyróżnionym folderze (domyślnie encrypted ). Kompatybilność. NdsCryptoFS4Win działa z systemami: Windows XP konieczna wersja kompilowana dla.net4.0 Windows Server 2003 Windows Vista Windows 2008 Server Windows 7 Windows 2008 server R2 Windows 8 oraz 8.1 Windows 2012 Server Dostępne są wersje zarówno dla systemów 32 jak i 64 bit. Wymagania. NDS CryptoFS do poprawnego działania wymaga: NET framework w wersji 4.5 (dla Windows XP -.NET 4.0) http://www.microsoft.com/pl-pl/download/details.aspx?id=30653 Visual C++ Redistributable for Visual Studio 2012 Update 3 http://www.microsoft.com/en-us/download/details.aspx?id=30679 3

2. Instalacja. NDSCryptoFS4WIN rozprowadzany jest jako pakiet instalacyjny MSI. Do przeprowadzenia instalacji konieczne są prawa administratora. UWAGA! Na niektórych komputerach konieczna jest ręczna instalacja Visual C++ Redistributable for Visual Studio 2012 Update 3 przed uruchomieniem pakietu instalatora. Przebieg instalacji. UWAGA! Podczas instalacji nowej wersji NDSCryptoFS zostaje automatycznie nadpisana starsza wersja NDSCryptoFS. 1. Ekran powitalny. 2. Licencja należy zapoznać się z licencją i ją zaakceptować. 3. Definicja folderu instalacyjnego. 4

4. Start instalacji. 5. Instalacja możliwe okienko z prośbą o zaakceptowanie instalacji oprogramowania firmy Eldos należy wyrazić zgodę. 6. Zakończenie instalacji. 5

7. Prośba o restart systemu restart jest konieczny ze względu na proces instalacji sterownika wirtualnego systemu plików. Deinstalacja Aby odinstalować NDSCryptoFS4WIN należy wybrać go z listy programów w Panel Sterowania -> Programy i Funkcje, a następnie postępować zgodnie ze wskazówkami. Podczas deinstalacji nie są usuwane profile sesji. Można je usunąć ręcznie, kasując folder C:\Users\[nazwa_użytkownika]\AppData\Local\PSNC. UWAGA! Proces deinstalacji kończy się dopiero po restarcie systemu. 6

3. Szybki start. Uruchomienie programu. Po uruchomieniu programu ukaże się główne okno. Utworzenie nowego profilu sesji. 1. Należy wybrać przycisk Add. Ukaże się okno konfiguracji sesji: 7 2. Należy wypełnić pola: Session Name unikalna nazwa sesji Adress Adres serwera KMD2 lub SFTP, z którym nawiązujemy połączenie Username nazwa użytkownika KMD2 lub użytkownika na serwerze SFTP Port port na którym ma się odbyć połączenie (domyślnie: 22) Mount point punkt montowania (litera w eksploratorze Windows pod którą zamontuje się zdalny udział) Login Method należy zdecydować, czy użyć certyfikatów do logowania zainstalowanych w keyringu systemu Windows, czy użyć kluczy do logowania w formacie PEM, czy też użyć hasła patrz niżej.

Enc. Method należy zdecydować, czy użyć certyfikatów do szyfrowania zainstalowanych w keyringu systemu Windows, czy użyć kluczy do szyfrowania w formacie PEM patrz niżej. 3. Przykładowo wypełniona formatka: 4. W NDSCryptoFS4WIN istnieją następujące sposoby podania kluczy do logowania i szyfrowania: Wskazanie certyfikatów dostępnych w keyringu systemu Windows Wskazanie ścieżki do kluczy prywatnych w formacie PEM; jeśli klucz chroniony jest hasłem, to należy wpisać je w odpowiednie pole Password Logowanie jest też możliwe za pomocą hasła. UWAGA! Jeśli nie posiadasz kluczy/certyfikatów do logowania, przejdź na zakładkę Encryption i wygeneruj klucze (patrz: Szyfrowanie ). NDSCryptoFS4WIN wymaga kluczy do szyfrowania o długości 4096 bitów. NDSCryptoFS4WIN może nie działać poprawnie z kluczami wygenerowanymi przy pomocy narzędzia grid-cert-request. 5. W zależności od wyboru z punktu 6 musimy: Wybrać odpowiednie certyfikaty do logowania i szyfrowania wybierając z listy Login Certificate oraz Encryption Certificate : 8

Wybrać ścieżki do kluczy w formacie PEM i podać hasła do kluczy w polach Password, o ile zostały one zaszyfrowane: Wpisane hasła mogą być zapamiętane w aplikacji (patrz: Szyfrowanie ). 6. Nacisnąć przycisk Save, aby zapisać ustawienia. Montowanie. Po powrocie do głównego okna aplikacji nowo utworzona sesja powinna być aktualnie wybrana: 9

Jeśli wybrano logowanie za pomocą hasła, w oknie głównym pojawi się pole Password, w które należy wpisać hasło do konta na serwerze. Wpisane hasło może być zapamiętane w aplikacji (patrz: Szyfrowanie ). Po naciśnięciu przycisku Mount system plików zostanie zamontowany i wyświetlone zostanie okno eksploratora Windows. 10

Od tej pory można korzystać z zasobu (na rysunku dysk F: ), jak z lokalnego systemu plików. Należy pamiętać, że dane składowane w katalogu encrypted (o ile nie ustawiono inaczej patrz rozdział Opcje ) są szyfrowane/deszyfrowane w locie. 11

4. Okno główne. Pole wyboru zapisanych sesji Password opcjonalne pole do wpisywania hasła, jeśli wybrano opcję użycia hasła do logowania. Wpisane hasło może być zapamiętane w aplikacji (patrz: Szyfrowanie ). Options otwiera okno z ustawieniami parametrów sesji Add dodaje nową sesję i otwiera okno z ustawieniami parametrów nowej sesji Delete usuwa sesję wybraną w polu wyboru sesji Global Options otwiera okno z globalnymi (niezależnymi od wybranej sesji) ustawieniami NdsCryptoFS Mount montuje wirtualny system plików wg parametrów dla wybranej sesji Unmount odmontowuje aktualnie zamontowany wirtualny system plików 12

5. Opcje Globalne. Path for NDSGUI file plik z parametrami montowania NDSCryptoFS potrzebny dla komunikacji z NDSGUI Automount włącza automatyczne montowanie wirtualnego systemu plików przy starcie NDSCryptoFS Autostart Application włącza automatyczny start NDSCryptoFS przy starcie systemu operacyjnego Show Explorer Window After Mount włącza automatyczne uruchamianie Exploratora Windows z zawartością zamontowanego wirtualnego systemu plików Session For Service umożliwia wybranie sesji NDSCryptoFS, która będzie używana w trybie usługi. About Formatka z informacjami aplikacji, linkiem do strony pobierania, linkiem do dokumentacji Documentation link do niniejszej dokumentacji. Download Site link do strony pobierania (tu będą publikowane nowe wersje programu) 13

6. Opcje sesji. Rozdział zawiera opis zaawansowanych opcji konfiguracyjnych dla sesji NDSCryptoFS4WIN. Jeśli nie jesteś pewien znaczenia danej opcji, pozostaw wartość domyślną. Nieuważna zmiana wartości parametrów może spowodować działanie programu niezgodne z oczekiwaniami użytkownika. W większości przypadków domyślne ustawienia zapewnią wydajne i bezproblemowe działanie aplikacji. Podstawowe. Session Name unikalna nazwa sesji Adress Adres serwera KMD2 lub SFTP, z którym nawiązujemy połączenie) Username nazwa użytkownika KMD2 lub użytkownika na serwerze SFTP Port port na którym ma się odbyć połączenie (domyślnie: 22) Mount point punkt montowania (litera w eksploratorze Windows pod którą zamontuje się zdalny udział) Login Method należy zdecydować, czy użyć certyfikatów do logowania zainstalowanych w keyringu systemu Windows, czy użyć kluczy do logowania w formacie PEM, czy też użyć hasła patrz: instalacja certyfikatów. Enc. Method należy zdecydować, czy użyć certyfikatów do szyfrowania zainstalowanych w keyringu systemu Windows, czy użyć kluczy do szyfrowania w formacie PEM patrz: instalacja certyfikatów. 14

Szyfrowanie. CryptoFingerprintPath ścieżka względna do pliku z fingerprintem klucza do szyfrowania składowanego na zdalnym serwerze Encrypted Path (Regex) wyrażenie regularne wskazujące na folder, w którym NDSCryptoFS4Win szyfruje dane i nazwy plików (domyślna wartość wskazuje folder encrypted, znajdujący się w głównym folderze montowania) Name Encryption włącza szyfrowanie nazw Data Encryption włącza szyfrowanie danych Check Crypto Fingerprint włącza sprawdzanie fingerprinta klucza do szyfrowania Rember passwords włącza opcję zapamiętywania haseł do kluczy i do serwera w pliku z opcjami sesji. Dzięki temu nie ma konieczności każdorazowo podawać haseł. Przechowywane hasła są zabezpieczone kryptograficznie. Encryption Kwy and Cert Generator Generate generuje klucz PEM i certyfikat P12 Password hasło, którym będą zabezpieczone generowane klucz i certyfikat UWAGA! Proces generowania klucza może trwać około minuty. Po pomyślnym wygenerowaniu klucza i certyfikatu otrzymamy komunikat 15

Wygenerowany klucz w formacie.pem zabezpieczony podanym hasłem, składowany jest w katalogu z ustawieniami profilu, dla którego został wygenerowany. Ścieżka do klucza jest automatycznie wpisana w pole na zakładce Keys. W tej samej ścieżce został wygenerowany certyfikat w formacie p12, zawierający również klucz prywatny zabezpieczony podanym hasłem. Certyfikat ten również został zainstalowany w keyringu systemu Windows i jest od razu dostępny do użycia w zakładce Certificates pod nazwą CN=nazwa_sesji_crypto. Certyfikaty. Certificate Store Wybór keyringa, z którego pobieraćcertyfikaty: Current User Keyring użytkownika Local Machine Keyring maszyny Aby użyć tego keyringa konieczne jest uruchomienie programu z prawami Administratora. Login Certificate Certyfikat do logowania Encryption Certificate Certyfikat do szyfrowania 16

Klucze Szyfrujące. Ścieżki do kluczy PEM do logowania i kluczy do szyfrowania. W pole Password należy wpisać hasła do kluczy, o ile klucze zostały zaszyfrowane. Cache. Encrypted Path Cache Size wielkość cache dla rozszyfrowanych ścieżek Metadata Cache włącza cache wirtualnego systemu plików dla metadanych Data Cache włącza cache wirtualnego systemu plików dla danych Nonexistent Files Cache włącza cache owanie informacji o tym, że szukany plik nie istnieje 17

Cache Policy Write Through włącza cache owanie tylko takich danych, które uprzednio zostały zapisane do serwera SFTP Cache Policy Purge On Close włącza czyszczenie cache dla pliku przy jego zamykaniu System Plików. Callback Timeout timeout dla pojedynczej operacji na systemie plików (np. open, write) Max File Name Length maksymalna dozwolona długość nazwy pliku/katalogu Max Path Length maksymalna dozwolona długość ścieżki Sector Size wielkość sektora wirtualnego systemu plików Storage Characteristics własności montowania dysku; dozwolone wartości (możliwa kombinacja kilku): Property CBFS_FLOPPY_DISKETTE = 1 CBFS_READ_ONLY_DEVICE = 2 CBFS_WRITE_ONCE_MEDIA = 8 CBFS_REMOVABLE_MEDIA = 16 CBFS_SHOW_IN_EJECTION_TRAY = 0x00004000 CBFS_ALLOW_EJECTION = 0x00008000 Meaning The mounted media is a floppy disk. The mounted media is read-only. The mounted media can be written to only once. The mounted media can be removed by the user at any time. The media can be ejected by the user by using Disconnect Device icon in system notification area (tray) of Explorer. Works only for PnP storages. If the flag is set, ejection commands are handled and the storage is destroyed. Works only for PnP storages. 18

Storage Type typ wirtualnego dysku; dozwolone wartości: Property Value Meaning stdisk 0 The mounted media is a regular disk. stcdrom 1 The mounted media is a CD-ROM or DVD. stvirtualdisk 2 The mounted media is an in-memory storage. stdiskpnp 3 The mounted media is a plug-n-play device. Case Sensitive File Names Włącza obsługę wielkich liter w nazwach plików Delete Target Before Rename usuwa plik docelowy przed wykonaniem operacji zmiany nazwy Short File Names Support wsparcie dla krótkich (8.3) nazw plików Wielowątkowość. Threads liczba wątków aplikacji determinuje liczbę połączeń SFTP z serwerem oraz liczbę równoległych operacji, które można wykonywać na wirtualnym systemie plików Load Balance Counter Time czas w milisekundach po którym kasowany jest jeden z liczników dla mechanizmu rozkładającego ruch na liczbę dostępnych wątków Serializable Callbacks włącza globalne uporządkowanie wszystkich odwołań do wirtualnego dysku (wyłącza wielowątkowość) Parallel Reads włącza współbieżność dostępu dla operacji odczytu pliku 19

SFTP. Timeout timeout dla operacji SFTP Remote Mount Folder ścieżka na zdalnym serwerze, która zostanie zamontowana jako główny folder wirtualnego systemu plików (domyślnie jest to katalog domowy użytkownika) 20

7. Uruchomienie NDSCryptoFS4WIN w trybie usługi. NdsCryptoFS4WIN umożliwia uruchomienie w trybie usługi. Tryb ten jest przeznaczony szczególnie dla zastosowań serwerowych. NdsCryptoFS4WIN w trybie usługi nie wyświetla formatki i nie wykonuje żadnej interakcji z użytkownikiem. Może on działać bez zalogowanego użytkownika w systemie operacyjnym. Tryb usługi nie działa dla sesji z logowaniem za pomocą hasła. Aby uruchomić NdsCryptoFS4WIN w trybie usługi należy: Zainstalować NDSCryptoFS4WIN Procedura instalacji jest identyczna jak w punkcie 2. OPCJONALNIE (jeśli chcemy korzystać z certyfikatów) Zainstalować certyfikaty w keyringu maszyny 1. Uruchomić program mmc.exe z prawami Administratora: 2. Uruchomiony program: 21 3. Wybrać: Plik->Dodaj/Usuń Przystawkę. Ukaże się ekran wyboru przystawek.

4. Wybrać przystawkę Certyfikaty i kliknąć dodaj : 5. Wybrać opcję Konto komputera i nacisnąć Dalej : 22

6. Wybrać opcję Komputer lokalny i nacisnąć Zakończ : 7. Ukaże się ekran wyboru przystawek (należy zwrócić uwagę czy przystawka Certyfikaty znajduje się w prawym panelu) - nacisnąć OK : 8. Rozwinąć listę Certyfikaty. Kliknąć prawym klawiszem na Osobisty i wybrać Wszystkie zadania -> Importuj : 23

9. Pojawi się okno Kreatora importu certyfikatów. Postępować dalej zgodnie z krokami wymienionymi w punkcie 6 dla instalacji certyfikatów osobistych. 10. Kroki 1 do 9 wykonać zarówno dla certyfikatu do logowania jak i dla certyfikatu do szyfrowania. Uruchomić NDSCryptoFS4WIN w trybie graficznym i utworzyć sesję dla trybu usługi. 1. Uruchomić NDSCryptoFS4WIN i utworzyć nową sesję, zgodnie ze wskazówkami z rozdziału 3, oraz opcjonalnie dostosować jej opcje opisane w rozdziale 6. UWAGA! Jeśli wybrano opcję użycia certyfikatów do logowani i szyfrowania, to konieczne jest wybranie certyfikatów z keyringa Local Machine. NDSCyrptoFS w trybie usługi nie ma dostępu do keyringa użytkownika. 24

2. Uruchomić Opcje Globalne z poziomu okna głównego i wybrać nowo utworzoną sesję w polu Session For Service i wybrać przycisk Save. Następnie wyłączyć NDSCryptoFS. Uruchomić usługę 1. Kliknąć prawym przyciskiem na Komputer i wybrać Zarządzaj : 25

2. Po lewej stronie wybrać: Usługi i aplikacje -> Usługi. Następnie z listy wybrać CryptoFS service, kliknąć na nim prawym klawiszem i wybrać Uruchom 3. Pojawi się okno postępu uruchamiania aplikacji. Po jego zniknięciu, usługa działa. 4. Usługę należy wyłączyć poprzez wybór Zatrzymaj. Po jego zniknięciu, usługa zostaje wyłączona. 26

27

8. Instalacja certyfikatów. Możliwe jest użycie w NDSCryptoFS4WIN certyfikatów do logowania oraz szyfrowania, które składowane są w keyringu systemu Windows. Niniejszy rozdział przedstawia sposób na utworzenie certyfikatu (self signed) w formacie p12 z klucza prywatnego w formacie PEM oraz jego instalację w systemie Windows. Tworzenie certyfikatu self signed z klucza prywatnego w formacie PEM. Wymienione procedury wymagają pakietu OpenSSL. Generowanie klucza PEM (opcjonalne jeśli nie posiadamy jeszcze klucza): openssl genrsa -out user.key 4096 Generowanie requesta: openssl req -new -key user.key -out user.csr Podpisanie requesta: Konwersja do p12: openssl x509 -req -days 365 -in user.csr -signkey user.key -out user.crt openssl pkcs12 -export -out user.p12 -inkey user.key -in user.crt W wyniku powyższej procedury otrzymujemy certyfikat self signed w formacie p12 o nazwie user.p12. Instalacja certyfikatu w formacie p12 w systemie Windows. 1. Kliknij 2 razy na pliku z certyfikatem w formacie p12. 2. Ekran powitalny. 28

3. Ścieżka do certyfikatu, który będzie importowany powinna wskazywać na wybrany wcześniej plik p12. 4. Upewnij się, że zaznaczona jest opcja Mark this key as exportable ( oznacz ten klucz jako eksportowalny ). Jeśli klucz jest chroniony hasłem, wpisz je w pole Password. 29

5. Wybór kontenera do importu pozostaw wartości domyślne. 6. Informacja zbiorcza o certyfikacie, który zostanie zaimportowany. 30

31 7. Komunikat o poprawnym imporcie certyfikatu. Certyfikat jest gotowy do użycia z NDSCryptoFS4WIN.