Meniul
AcasăWindows 7

Tipuri de criptare wi fi. AES: criptarea datelor

Accesul la Internet în bandă largă a încetat de mult să fie un lux nu numai în orașele mari, ci și în regiunile îndepărtate. În același timp, mulți achiziționează imediat routere wireless pentru a economisi pe internetul mobil și pentru a conecta smartphone-uri, tablete și alte echipamente portabile la linia de mare viteză. În plus, furnizorii instalează din ce în ce mai mult routere cu un punct de acces wireless încorporat pentru clienții lor.

Între timp, consumatorii nu înțeleg întotdeauna cum funcționează efectiv echipamentele de rețea și ce pericole poate prezenta. Principala concepție greșită este că clientul privat pur și simplu nu realizează că comunicațiile fără fir îi pot provoca vreun rău - la urma urmei, el nu este o bancă, nici Serviciul Secret și nu este proprietarul depozitelor pornografice. Dar odată ce începeți să vă dați seama, veți dori imediat să vă întoarceți la vechiul cablu bun.

1. Nimeni nu-mi va sparge rețeaua de acasă

Aceasta este principala concepție greșită a utilizatorilor casnici, ceea ce duce la neglijarea standardelor de bază de securitate a rețelei. Este general acceptat că dacă nu ești o vedetă, nu ești o bancă sau nu un magazin online, atunci nimeni nu va pierde timpul cu tine, deoarece rezultatele vor fi inadecvate eforturilor depuse.

Mai mult, dintr-un motiv oarecare circulă în mod persistent părerea că rețelele wireless presupuse mici sunt mai greu de piratat decât cele mari, ceea ce are un sâmbure de adevăr, dar în general este și un mit. Evident, această afirmație se bazează pe faptul că rețelele locale mici au o gamă limitată de propagare a semnalului, deci este suficient să-i scadă nivelul, iar un hacker pur și simplu nu va putea detecta o astfel de rețea dintr-o mașină parcata în apropiere sau dintr-un cafenea din cartier.

Poate că acest lucru a fost odată adevărat, dar hoții de astăzi sunt echipați cu antene foarte sensibile care pot capta chiar și cel mai slab semnal. Și faptul că tableta ta din bucătărie își pierde constant conexiunea nu înseamnă că un hacker care stă într-o mașină la două case distanță de tine nu va putea pătrunde în rețeaua ta wireless.

În ceea ce privește opinia că piratarea rețelei dvs. nu merită efortul, acest lucru nu este deloc adevărat: gadgeturile dvs. stochează o mulțime de tot felul de informații personale, care, cel puțin, vor permite unui atacator să comande achiziții pe dvs. în numele, obțineți un împrumut sau, folosind metode de social media, inginerie, atingeți obiective și mai neevidente, cum ar fi pătrunderea în rețeaua angajatorului dvs. sau chiar a partenerilor acestuia. În același timp, atitudinea față de securitatea rețelei în rândul utilizatorilor obișnuiți de astăzi este atât de disprețuitoare încât piratarea unei rețele de acasă nu va fi dificilă nici măcar pentru începători.

2. Nu aveți nevoie de un router dual sau tri-band acasă

Se crede că routerele cu mai multe benzi sunt necesare numai proprietarilor deosebit de pretențioși ai unui număr mare de gadget-uri care doresc să stoarce viteza maximă disponibilă din comunicațiile wireless. Între timp, oricare dintre noi ar putea folosi cel puțin un router dual-band.

Principalul avantaj al unui router cu mai multe benzi este că diferite dispozitive pot fi „împrăștiate” pe diferite benzi, crescând astfel viteza potențială a transferului de date și, desigur, fiabilitatea comunicării. De exemplu, ar fi destul de recomandabil să conectați laptopurile la o bandă, set-top box-urile la o a doua și gadgeturile mobile la o a treia.

3. Banda de 5 GHz este mai bună decât banda de 2,4 GHz

Cei care apreciază beneficiile gamei de frecvență de 5 GHz recomandă de obicei ca toată lumea să treacă la acesta și să renunțe cu totul la utilizarea frecvenței de 2,4 GHz. Dar, ca de obicei, nu totul este atât de simplu.

Da, 5 GHz este fizic mai puțin „populat” decât cel mai răspândit 2,4 GHz – și pentru că majoritatea dispozitivelor bazate pe standarde vechi funcționează la 2,4 GHz. Cu toate acestea, 5 GHz este inferioară în domeniul de comunicare, în special în ceea ce privește penetrarea prin pereții de beton și alte obstacole.

În general, nu există un răspuns clar aici; putem doar să vă sfătuim să utilizați gama în care recepția dvs. specifică este mai bună. La urma urmei, se poate dovedi că într-un anumit loc banda de 5 GHz este supraîncărcată cu dispozitive - deși acest lucru este foarte puțin probabil.

4. Nu este nevoie să atingeți setările routerului

Se presupune că este mai bine să lăsați configurarea echipamentelor pe seama profesioniștilor, iar intervenția dumneavoastră nu poate decât să dăuneze performanței rețelei. O modalitate comună pentru reprezentanții furnizorilor (și administratorii de sistem) de a intimida utilizatorul pentru a reduce probabilitatea setărilor incorecte și a apelurilor la domiciliu ulterioare.

Este clar că, dacă habar n-ai despre ce este vorba, este mai bine să nu atingi nimic, dar chiar și un neprofesionist este destul de capabil să schimbe unele setări, crescând securitatea, fiabilitatea și performanța rețelei. Măcar accesați interfața web și familiarizați-vă cu ceea ce puteți schimba acolo - dar dacă nu știți ce va face, este mai bine să lăsați totul așa cum este.

În orice caz, este logic să faceți patru ajustări dacă nu au fost deja făcute în setările routerului:

1) Treceți la un nou standard ori de câte ori este posibil– dacă atât routerul, cât și dispozitivele dumneavoastră îl acceptă. Trecerea de la 802.11n la 802.11ac va da o creștere semnificativă a vitezei, la fel ca trecerea de la 802.11b/g mai vechi la 802.11n.

2) Schimbați tipul de criptare. Unii instalatori încă lasă rețelele wireless de acasă fie complet deschise, fie cu standardul de criptare WEP învechit. Cu siguranță trebuie să schimbați tipul la WPA2 cu criptare AES și o parolă lungă și complexă.

3) Schimbați numele de utilizator și parola implicite. Aproape toți furnizorii lasă aceste date în mod implicit atunci când instalează echipamente noi - cu excepția cazului în care le ceri în mod expres să le schimbe. Aceasta este o „gaură” binecunoscută în rețelele de acasă și orice hacker va încerca cu siguranță să profite de ea mai întâi.

4) Dezactivați WPS (Configurare protejată prin Wi-Fi). Tehnologia WPS este de obicei activată în mod implicit în routere - este concepută pentru a conecta rapid dispozitivele mobile compatibile la rețea fără a introduce parole lungi. În același timp, WPS vă face rețeaua locală foarte vulnerabilă la hacking prin metoda „forței brute” - pur și simplu ghicind codul PIN WPS din 8 cifre, după care atacatorul poate obține cu ușurință acces la cheia WPA/WPA2 PSK. În același timp, din cauza unei erori în standard, este suficient să determinați doar 4 cifre, iar aceasta este doar 11.000 de combinații, iar pentru a o sparge nu va trebui să le parcurgeți pe toate.

5. Ascunderea SSID-ului vă va ascunde rețeaua de hackeri

SSID este un identificator de serviciu de rețea sau pur și simplu numele rețelei dvs., care este folosit pentru a stabili o conexiune de către diverse dispozitive care s-au conectat vreodată la aceasta. Prin dezactivarea difuzării SSID-ului, nu veți apărea în lista de rețele disponibile a vecinului dvs., dar asta nu înseamnă că hackerii nu îl vor putea găsi: demascarea unui SSID ascuns este o sarcină pentru un începător.

În același timp, prin ascunderea SSID-ului, le vei face chiar viața mai ușoară hackerilor: toate dispozitivele care încearcă să se conecteze la rețeaua ta vor încerca cele mai apropiate puncte de acces și se pot conecta la rețele „capcană” special create de atacatori. Puteți implementa o astfel de rețea deschisă substitutivă sub propriul dvs. SSID dezvăluit, la care dispozitivele dvs. se vor conecta automat.

Prin urmare, recomandarea generală este următoarea: dați rețelei dvs. un nume care să nu menționeze nici furnizorul, nici producătorul routerului, nici informații personale care vă permit să vă identificați și să efectuați atacuri direcționate asupra punctelor slabe.

6. Criptarea nu este necesară dacă aveți un antivirus și un firewall

Un exemplu tipic de când cald este confundat cu moale. Programele protejează împotriva amenințărilor software online sau aflate deja în rețeaua dvs.; ele nu vă protejează de interceptarea datelor în sine transmise între router și computer.

Pentru a asigura securitatea rețelei, aveți nevoie de un set de instrumente, care includ protocoale de criptare, firewall-uri hardware sau software și pachete antivirus.

7. Criptarea WEP este suficientă pentru rețeaua dvs. de domiciliu

WEP nu este sigur în niciun fel și poate fi spart în câteva minute folosind un smartphone. În ceea ce privește securitatea, diferă puțin de o rețea complet deschisă, iar aceasta este principala sa problemă. Dacă sunteți interesat de istoria problemei, puteți găsi o mulțime de materiale pe Internet despre care WEP a fost ușor rupt la începutul anilor 2000. Ai nevoie de acest tip de „securitate”?

8. Un router cu criptare WPA2-AES nu poate fi piratat

Dacă luăm „un router sferic cu criptare WPA2-AES în vid”, atunci acest lucru este adevărat: conform estimărilor recente, cu puterea de calcul actuală, cracarea AES folosind metode de forță brută va dura miliarde de ani. Da, miliarde.

Dar asta nu înseamnă că AES nu va permite unui hacker să ajungă la datele tale. Ca întotdeauna, principala problemă este factorul uman. În acest caz, multe depind de cât de complexă și de bine scrisă va fi parola ta. Cu o abordare „de zi cu zi” pentru a veni cu parole, metodele de inginerie socială vor fi suficiente pentru a sparge WPA2-AES într-un timp destul de scurt.

Despre regulile de creare a parolelor bune am vorbit în detaliu nu cu mult timp în urmă, așa că trimitem pe toți cei interesați la acest articol.

9. Criptarea WPA2-AES reduce vitezele de transfer de date

Din punct de vedere tehnic, acest lucru este adevărat, dar routerele moderne au hardware pentru a menține această reducere la minimum. Dacă întâmpinați încetiniri semnificative ale conexiunii, înseamnă că utilizați un router mai vechi care a implementat standarde și protocoale ușor diferite. De exemplu, WPA2-TKIP. TKIP în sine era mai sigur decât predecesorul său WEP, dar era o soluție de compromis care permitea utilizarea hardware-ului mai vechi cu protocoale mai moderne și mai sigure. Pentru a „împrieteni” TKIP cu noul tip de criptare AES, au fost folosite diverse trucuri software, care au dus la o încetinire a vitezei de transfer de date.

În 2012, standardul 802.11 a considerat că TKIP nu era suficient de sigur, dar încă se găsește adesea în routerele mai vechi. Există o singură soluție la problemă - cumpărați un model modern.

10. Nu este nevoie să schimbați un router care funcționează

Principiul este pentru cei care astăzi sunt destul de mulțumiți de o mașină de scris mecanică și un telefon cu cadran. Noi standarde de comunicare fără fir apar în mod regulat și de fiecare dată cresc nu numai vitezele de transfer de date, ci și securitatea rețelei.

Astăzi, cu standardul 802.11ac care permite viteze de transfer de date de peste 50 Mbps, un router mai vechi care acceptă 802.11n și toate standardele anterioare poate limita debitul potențial al rețelei. În cazul planurilor tarifare care oferă viteze de peste 100 Mbit/s, veți plăti pur și simplu bani în plus fără a primi un serviciu cu drepturi depline.

Desigur, nu este deloc necesar să schimbați urgent un router care funcționează, dar într-o bună zi va veni un moment în care niciun dispozitiv modern nu se va putea conecta la el.

TKIP și AES sunt două tipuri alternative de criptare care sunt utilizate în modurile de securitate WPA și WPA2. În setările de securitate a rețelei wireless ale routerelor și punctelor de acces, puteți alege una dintre cele trei opțiuni de criptare:

  • TKIP;
  • TKIP+AES.

Dacă selectați ultima opțiune (combinată), clienții se vor putea conecta la punctul de acces folosind oricare dintre cei doi algoritmi.

TKIP sau AES? Ce e mai bine?

Răspuns: pentru dispozitivele moderne, algoritmul AES este cu siguranță mai potrivit.

Folosiți TKIP doar dacă aveți probleme în alegerea primului (se întâmplă uneori ca atunci când utilizați criptarea AES, conexiunea cu punctul de acces să fie întreruptă sau să nu fie stabilită deloc. De obicei aceasta se numește incompatibilitate echipament).

Care este diferența

AES este un algoritm modern și mai sigur. Este compatibil cu standardul 802.11n și oferă viteze mari de transfer de date.

TKIP este depreciat. Are un nivel mai scăzut de securitate și acceptă rate de transfer de date de până la 54 Mbit/s.

Cum se trece de la TKIP la AES

Cazul 1. Punctul de acces funcționează în modul TKIP+AES

În acest caz, trebuie doar să schimbați tipul de criptare pe dispozitivele client. Cel mai simplu mod de a face acest lucru este să ștergeți profilul de rețea și să vă conectați din nou la el.

Cazul 2: Punctul de acces utilizează numai TKIP

În acest caz:

1. Mai întâi, accesați interfața web a punctului de acces (sau, respectiv, a routerului). Schimbați criptarea în AES și salvați setările (citiți mai multe mai jos).

2. Schimbați criptarea pe dispozitivele client (mai multe detalii în paragraful următor). Și din nou, este mai ușor să uiți rețeaua și să te conectezi din nou la ea introducând cheia de securitate.

Activarea criptării AES pe router

Folosind D-Link ca exemplu

Accesați secțiunea Configurare wireless.

Faceți clic pe butonul Configurare manuală a conexiunii fără fir.

Setați modul de securitate WPA2-PSK.

Găsiți un articol Tip de cifrăși setați valoarea AES.

Clic Salvează setările.

Folosind TP-Link ca exemplu

Deschideți secțiunea Fără fir.

Selectați un articol Securitate wireless.

În câmp Versiune Selectați WPA2-PSK.

În câmp Criptare Selectați AES.

Faceți clic pe butonul Salvați:

Schimbați tipul de criptare wireless în Windows

Windows 10 și Windows 8.1

Aceste versiuni ale sistemului de operare nu au un . Prin urmare, există trei opțiuni pentru modificarea criptării.

Opțiunea 1. Windows însuși va detecta o nepotrivire în setările de rețea și vă va solicita să introduceți din nou cheia de securitate. În acest caz, algoritmul de criptare corect va fi instalat automat.

Opțiunea 2. Windows nu se va putea conecta și va oferi să uite rețeaua prin afișarea butonului corespunzător:

După aceasta, vă veți putea conecta la rețea fără probleme, deoarece... profilul ei va fi șters.

Opțiunea 3. Va trebui să ștergeți manual profilul de rețea prin linia de comandă și abia apoi să vă conectați din nou la rețea.

Urmați acești pași:

1 Lansați promptul de comandă.

2 Introduceți comanda:

Netsh wlan arată profiluri

pentru a afișa o listă de profiluri de rețea fără fir salvate.

3 Acum introduceți comanda:

Netsh wlan șterge profilul „numele rețelei tale”

pentru a șterge profilul selectat.

Dacă numele rețelei conține un spațiu (de exemplu „wifi 2”), pune-l între ghilimele.

Imaginea prezintă toate acțiunile descrise:

4 Acum faceți clic pe pictograma rețelei wireless din bara de activități:

5 Selectați o rețea.

6 Faceți clic Conectați:

7 Introduceți cheia de securitate.

Windows 7

Totul este mai simplu și mai clar aici.

1 Faceți clic pe pictograma rețelei fără fir din bara de activități.


3 Faceți clic pe link Managementul rețelei fără fir:

4 Faceți clic dreapta pe profilul rețelei dorite.

5 Selectați Proprietăți:

Atenţie! La acest pas puteți, de asemenea, să faceți clic Ștergeți rețeauași conectați-vă la el din nou! Dacă decideți să faceți acest lucru, nu trebuie să citiți mai departe.

6 Accesați fila Siguranță.

    Înainte de a citi acest material, vă recomandăm să citiți articolele anterioare din serie:
  • Construim o rețea cu propriile noastre mâini și o conectăm la Internet, prima parte - construim o rețea Ethernet cu fir (fără un comutator, în cazul a două computere și cu un comutator, precum și în prezența a trei sau mai multe mașini ) și organizarea accesului la Internet prin intermediul unuia dintre calculatoarele din rețea, pe care are două plăci de rețea și este instalat sistemul de operare Windows XP Pro.
  • Partea a doua: configurarea echipamentelor fără fir într-o rețea peer-to-peer - problemele de organizare a unei rețele sunt discutate atunci când se utilizează numai adaptoare wireless.

În articolul precedent, doar câteva cuvinte au fost dedicate criptării în rețelele fără fir; s-a promis că va acoperi această problemă într-un articol separat. Astăzi ne îndeplinim angajamentul :)

În primul rând, o mică teorie.

Criptarea datelor în rețelele fără fir primește atât de multă atenție datorită naturii unor astfel de rețele. Datele sunt transmise fără fir folosind unde radio, în general folosind antene omnidirecționale. Astfel, toată lumea aude datele - nu numai persoana căreia îi sunt destinate, ci și vecinul care locuiește în spatele peretelui sau „persoana interesată” care stă cu un laptop sub fereastră. Desigur, distanțele pe care funcționează rețelele wireless (fără amplificatoare sau antene direcționale) sunt mici – aproximativ 100 de metri în condiții ideale. Pereții, copacii și alte obstacole atenuează foarte mult semnalul, dar acest lucru încă nu rezolvă problema.

Inițial, doar SSID-ul (numele rețelei) a fost folosit pentru protecție. Dar, în general, această metodă poate fi numită protecție cu o întindere mare - SSID-ul este transmis în text clar și nimeni nu oprește un atacator să îl asculte și apoi să îl înlocuiască pe cel dorit în setările sale. Ca să nu mai vorbim că (acest lucru se aplică punctelor de acces) poate fi activat modul de difuzare pentru SSID, adică. va fi difuzat forțat tuturor celor care ascultă.

Prin urmare, a fost nevoie de criptarea datelor. Primul astfel de standard a fost WEP - Wired Equivalent Privacy. Criptarea se realizează folosind o cheie de 40 sau 104 biți (criptarea fluxului folosind algoritmul RC4 pe o cheie statică). Și cheia în sine este un set de caractere ASCII cu o lungime de 5 (pentru o cheie de 40 de biți) sau 13 (pentru o cheie de 104 de biți). Setul acestor caractere este tradus într-o succesiune de cifre hexazecimale, care sunt cheia. Driverele de la mulți producători vă permit să introduceți valori hexazecimale (de aceeași lungime) direct în loc de un set de caractere ASCII. Vă rugăm să rețineți că algoritmii de conversie din secvențele de caractere ASCII în valorile cheilor hexazecimale pot varia între diferiți producători. Prin urmare, dacă rețeaua dvs. utilizează echipamente fără fir eterogene și nu puteți configura criptarea WEP utilizând o expresie cheie ASCII, încercați să introduceți cheia în format hexazecimal.

Dar cum rămâne cu declarațiile producătorilor despre suportul pentru criptarea pe 64 și 128 de biți, vă întrebați? Așa e, marketingul joacă un rol aici - 64 este mai mult de 40, iar 128 este 104. În realitate, criptarea datelor are loc folosind o lungime a cheii de 40 sau 104. Dar pe lângă fraza ASCII (componenta statică a cheii), există, de asemenea, un astfel de lucru ca Initialization Vector - IV - vector de inițializare. Servește la randomizarea restului cheii. Vectorul este selectat aleatoriu și se modifică dinamic în timpul funcționării. În principiu, aceasta este o soluție rezonabilă, deoarece vă permite să introduceți o componentă aleatorie în cheie. Lungimea vectorului este de 24 de biți, astfel încât lungimea totală a cheii ajunge să fie de 64 (40+24) sau 128 (104+24) biți.

Totul ar fi bine, dar algoritmul de criptare folosit (RC4) nu este în prezent deosebit de puternic - dacă vrei cu adevărat, poți găsi o cheie prin forță brută într-un timp relativ scurt. Dar totuși, principala vulnerabilitate a WEP este asociată tocmai cu vectorul de inițializare. IV are doar 24 de biți lungime. Acest lucru ne oferă aproximativ 16 milioane de combinații - 16 milioane de vectori diferiți. Deși cifra „16 milioane” sună destul de impresionantă, totul în lume este relativ. În munca reală, toate opțiunile posibile ale cheii vor fi utilizate într-o perioadă de la zece minute la câteva ore (pentru o cheie de 40 de biți). După aceasta, vectorii vor începe să se repete. Un atacator trebuie doar să colecteze un număr suficient de pachete pur și simplu ascultând traficul rețelei wireless și să găsească aceste repetări. După aceasta, selectarea componentei statice a cheii (fraza ASCII) nu necesită mult timp.

Dar asta nu este tot. Există așa-numiți vectori de inițializare „instabili”. Utilizarea unor astfel de vectori într-o cheie permite unui atacator să înceapă aproape imediat să selecteze partea statică a cheii, în loc să aștepte câteva ore, acumulând pasiv traficul de rețea. Mulți producători integrează în software-ul (sau hardware-ul dispozitivelor fără fir) o verificare pentru astfel de vectori și, dacă se găsesc alții similari, aceștia sunt aruncați în tăcere, de exemplu. nu participați la procesul de criptare. Din păcate, nu toate dispozitivele au această funcție.

În prezent, unii producători de echipamente wireless oferă „versiuni extinse” ale algoritmului WEP - folosesc chei mai lungi de 128 (mai precis 104) biți. Dar în acești algoritmi este crescută doar componenta statică a cheii. Lungimea vectorului de inițializare rămâne aceeași, cu toate consecințele care decurg (cu alte cuvinte, creștem doar timpul pentru selectarea unei chei statice). Este de la sine înțeles că algoritmii WEP cu lungimi extinse ale cheilor pot să nu fie compatibili între diferiți producători.

M-ai speriat bine? ;-)

Din păcate, atunci când utilizați protocolul 802.11b, nu puteți selecta altceva decât WEP. Mai exact, unii producători (minoritari) furnizează diverse implementări de criptare WPA (folosind metode software), care este mult mai stabilă decât WEP. Dar aceste „patch-uri” sunt incompatibile chiar și în cadrul echipamentelor aceluiași producător. În general, atunci când utilizați echipamente 802.11b, există doar trei moduri de a vă cripta traficul:

  • 1. Folosind WEP cu o lungime maximă a cheii (128 biți sau mai mare), dacă echipamentul acceptă schimbarea ciclică a cheilor din listă (până la patru chei în listă), este recomandabil să activați această modificare.
  • 2. Folosind standardul 802.1x
  • 3. Utilizarea unui software terță parte pentru a organiza tuneluri VPN (fluxuri de date criptate) printr-o rețea fără fir. Pentru a face acest lucru, un server VPN (de obicei cu suport pptp) este instalat pe una dintre mașini, iar clienții VPN sunt configurați pe celelalte. Acest subiect necesită o analiză separată și depășește domeniul de aplicare al acestui articol.

802.1x utilizează o grămadă de mai multe protocoale pentru lucrul său:

  • EAP (Extensible Authentication Protocol) - protocol pentru autentificarea extinsă a utilizatorilor sau a dispozitivelor de la distanță;
  • TLS (Transport Layer Security) este un protocol de securitate la nivel de transport, acesta asigură integritatea transmisiei de date între server și client, precum și autentificarea reciprocă a acestora;
  • RADIUS (Remote Authentication Dial-In User Server) - server de autentificare pentru clienți la distanță. Oferă autentificarea utilizatorului.

Protocolul 802.1x oferă autentificare clienților la distanță și le oferă chei temporare pentru a cripta datele. Cheile (în formă criptată) sunt trimise clientului pentru o perioadă scurtă de timp, după care este generată și trimisă o nouă cheie. Algoritmul de criptare nu s-a schimbat - același RC4, dar rotația frecventă a cheilor face foarte dificilă spargerea. Acest protocol este acceptat numai în sistemele de operare (de la Microsoft) Windows XP. Marele său dezavantaj (pentru utilizatorul final) este că protocolul necesită un server RADIUS, care cel mai probabil nu va exista într-o rețea de acasă.

Dispozitivele care acceptă standardul 802.11g acceptă algoritmul de criptare îmbunătățit WPA - Wi-Fi Protected Access. În general, acesta este un standard temporar conceput pentru a umple nișa de securitate până la sosirea protocolului IEEE 802.11i (așa-numitul WPA2). WPA include 802.1X, EAP, TKIP și MIC.

Printre protocoalele neexaminate, TKIP și MIC apar aici:

  • TKIP (Temporal Key Integrity Protocol) este implementarea cheilor de criptare dinamică, în plus, fiecare dispozitiv din rețea primește și propria sa cheie Master (care se modifică și ea din când în când). Cheile de criptare au o lungime de 128 de biți și sunt generate folosind un algoritm complex, iar numărul total de opțiuni posibile de cheie ajunge la sute de miliarde și se schimbă foarte des. Cu toate acestea, algoritmul de criptare folosit este încă RC4.
  • MIC (Message Integrity Check) este un protocol de verificare a integrității pachetelor. Protocolul vă permite să aruncați pachetele care au fost „inserate” în canal de către o terță parte, de exemplu. nu a plecat de la un expeditor valid.

Numărul mare de avantaje ale protocolului TKIP nu acoperă principalul său dezavantaj - algoritmul RC4 utilizat pentru criptare. Deși nu au fost raportate cazuri de hacking WPA bazat pe TKIP până acum, cine știe ce va aduce viitorul? Prin urmare, acum utilizarea standardului AES (Advanced Encryption Standard), care înlocuiește TKIP, devine din ce în ce mai populară. Apropo, în viitorul standard WPA2 există o cerință obligatorie de a utiliza AES pentru criptare.

Ce concluzii se pot trage?

  • dacă în rețea există doar dispozitive 802.11g, este mai bine să utilizați criptarea bazată pe WPA;
  • dacă este posibil (dacă este acceptat de toate dispozitivele), activați criptarea AES;

Să trecem la configurarea directă a criptării pe dispozitive. Folosesc aceleași adaptoare wireless ca în articolul anterior:

Adaptorul Cardbus Asus WL-100g este instalat pe laptop. Interfața de gestionare a cardurilor este un utilitar de la ASUS (ASUS WLAN Control Center).

Adaptor extern cu interfață USB ASUS WL-140. Adaptorul este controlat prin interfața încorporată în Windows XP (Zero Wireless Configuration). Acest card este 802.11b, deci nu acceptă WPA.

Placă de interfață PCI Asus WL-130g. Interfața de control este implementată de la (producătorul chipset-ului acestei plăci PCI).

Centrul de control ASUS WLAN - ASUS WL-100g

Să începem prin a configura criptarea în interfața de administrare ASUS WLAN Control Center. Toate setările sunt concentrate în secțiune Criptare. Mai întâi, selectați tipul de autentificare ( autentificare retea), avem trei tipuri disponibile: Open System, Shared Key și WPA.

1. Criptare WEP.

Tipurile Open System/Shared Key sunt subseturi ale algoritmului de autentificare integrat în WEP. Modul Open System este nesigur și este puternic descurajat să fie activat atunci când cheia partajată poate fi activată. Acest lucru se datorează faptului că, în modul Open System, pentru a intra într-o rețea fără fir (asocierea cu o altă stație sau punct de acces), este suficient să cunoașteți doar SSID-ul rețelei, iar în modul Shared Key, trebuie să setați și un WEP cheie de criptare comună întregii rețele.

Apoi, selectați Criptare - WEP, dimensiunea cheii - 128 de biți (este mai bine să nu utilizați deloc o cheie de 64 de biți). Selectăm formatul cheii, HEX (introducerea cheii în formă hexazecimală) sau generarea unei chei dintr-o secvență ASCII (nu uitați că algoritmii de generare pot diferi între producători). De asemenea, ținem cont de faptul că cheia (sau cheile) WEP trebuie să fie aceleași pe toate dispozitivele din aceeași rețea. Puteți introduce până la patru chei în total. Ultimul element este de a selecta ce tastă va fi utilizată (Tasta implicită). În acest caz, există o altă modalitate - să începeți să utilizați toate cele patru taste secvențial, ceea ce crește securitatea. (compatibilitate numai pentru dispozitive de la același producător).

2. Criptare WPA.

Dacă este acceptat pe toate dispozitivele (de obicei dispozitive 802.11g), este foarte recomandat să utilizați acest mod în loc de WEP învechit și vulnerabil.

De obicei, dispozitivele wireless acceptă două moduri WPA:

  • WPA standard. Nu este potrivit pentru noi, deoarece necesită un server RADIUS în rețea (și funcționează doar împreună cu un punct de acces).
  • WPA-PSK - WPA cu suport pentru chei pre partajate (chei predefinite). Și acesta este ceea ce este necesar - cheia (aceeași pentru toate dispozitivele) este setată manual pe toate adaptoarele wireless și autentificarea primară a stațiilor se realizează prin intermediul acesteia.

Puteți selecta TKIP sau AES ca algoritmi de criptare. Acesta din urmă nu este implementat pe toți clienții wireless, dar dacă este acceptat de toate stațiile, atunci este mai bine să rămâneți cu el. Cheia de rețea fără fir este aceeași cheie generală pre partajată. Este indicat să o faceți mai lungă și să nu folosiți un cuvânt din dicționar sau un set de cuvinte. În mod ideal, ar trebui să fie un fel de gobbledygook.

După ce faceți clic pe butonul Aplicați (sau Ok), setările specificate vor fi aplicate cardului wireless. În acest moment, procedura de configurare a criptării pe acesta poate fi considerată completă.

Interfață de control implementată de Ralink - Asus WL-130g

Configurarea nu este foarte diferită de interfața deja discutată de la ASUS WLAN CC. În fereastra de interfață care se deschide, accesați fila Profil, selectați profilul dorit și faceți clic Editați | ×.

1. Criptare WEP.

Criptarea este configurată în filă Autentificare și securitate. Dacă criptarea WEP este activată, selectați Partajat în Tip de autentificare(adică cheia partajată).

Selectați tipul de criptare - WEP și introduceți până la patru chei ASCII sau hexazecimale. Lungimea cheii nu poate fi setată în interfață; o cheie de 128 de biți este imediat utilizată.

2. Criptare WPA.

Dacă în Tip de autentificare selectați WPA-Niciunul, apoi vom activa criptarea cheii partajate WPA. Selectați tipul de criptare ( Criptare) TKIP sau AES și introduceți cheia partajată ( Cheie pre-partajată WPA).

Aceasta încheie configurarea criptării în această interfață. Pentru a salva setările în profilul dvs., faceți clic pe butonul Bine.

Zero Wireless Configuration (Interfață încorporată Windows) - ASUS WL-140

ASUS WL-140 este un card 802.11b, deci acceptă doar criptarea WEP.

1. Criptare WEP.

În setările adaptorului wireless, accesați fila Retea fara fir. Apoi, selectați rețeaua noastră wireless și apăsați butonul Ton.

În fereastra care apare, activați Criptarea datelor. De asemenea, activăm Autentificare retea, dezactivarea acestui element va activa autentificarea de tip „Sistem deschis”, adică orice client se va putea conecta la rețea cunoscând SSID-ul său.

Introduceți cheia de rețea (și repetați-o în câmpul următor). Îi verificăm indicele (numărul ordinal), de obicei este egal cu unu (adică prima cheie). Numărul cheii trebuie să fie același pe toate dispozitivele.

Cheia (parola de rețea), după cum ne spune sistemul de operare, trebuie să conțină 5 sau 13 caractere sau să fie introdusă în întregime în hexazecimal. Încă o dată, vă rugăm să rețineți că algoritmul pentru conversia unei chei din simbolic în hexazecimal poate diferi între Microsoft și producătorii propriilor interfețe pentru gestionarea adaptoarelor fără fir, așa că ar fi mai fiabil să introduceți cheia în hexazecimal (adică, numere de la 0 la 9 și literele de la A la F).

Există, de asemenea, un steag în interfața responsabilă pentru Aprovizionarea automată a cheilor, dar nu știu exact unde va funcționa. Secțiunea de ajutor spune că cheia poate fi conectată la adaptorul wireless de către producător. În general, este mai bine să nu activați această funcție.

În acest moment, configurarea de criptare pentru adaptorul 802.11b poate fi considerată completă.

Apropo, despre ajutorul încorporat în sistemul de operare. Majoritatea celor spuse aici și mai multe pot fi găsite în Centru de ajutor și asistență, care are un sistem de ajutor bun, trebuie doar să introduceți cuvinte cheie și să faceți clic pe săgeata verde de căutare.

2. Criptare WPA.

După ce am examinat setările de criptare folosind exemplul adaptorului 802.11b ASUS WL-140, nu am abordat setările WPA din Windows, deoarece cardul nu acceptă acest mod. Să luăm în considerare acest aspect folosind exemplul unui alt adaptor - ASUS WL-100g. Capacitatea de a configura WPA în Windows XP apare odată cu instalarea Service Pack versiunea 2 (sau actualizările corespunzătoare aflate pe site-ul Microsoft).

Service Pack 2 extinde foarte mult funcționalitatea și comoditatea setărilor rețelei wireless. Deși elementele din meniul principal nu s-au schimbat, au fost adăugate altele noi.

Criptarea este configurată în modul standard: selectați mai întâi pictograma adaptorului wireless, apoi apăsați butonul Proprietăți.

Accesați marcajul Retea fara firși alegeți ce rețea vom configura (de obicei există doar una). Clic Proprietăți.

În fereastra care apare, selectați WPA-None, adică. WPA cu chei pre-partajate (dacă selectați Compatibil, apoi vom activa modul de configurare a criptării WEP, care a fost deja descris mai sus).

Selectați AES sau TKIP (dacă toate dispozitivele din rețea acceptă AES, atunci este mai bine să-l selectați) și introduceți cheia WPA de două ori (a doua în câmpul de confirmare). De preferat ceva lung și greu de ridicat.

După ce faceți clic pe Bine configurația de criptare WPA poate fi considerată completă.

În concluzie, câteva cuvinte despre expertul de configurare a rețelei fără fir care a apărut cu Service Pack 2.

În proprietățile adaptorului de rețea, selectați butonul Retea fara fir.

În fereastra care apare, faceți clic pe Configurați o rețea fără fir.

Aici ne spun unde am ajuns. Clic Mai departe.

Alege Configurați o rețea fără fir. (Dacă selectați Adăuga, apoi puteți crea profiluri pentru alte computere din aceeași rețea fără fir).

În fereastra care apare, setați SSID-ul rețelei, activați criptarea WPA, dacă este posibil, și selectați metoda de introducere a cheii. Puteți lăsa generarea sistemului de operare sau puteți introduce cheile manual. Dacă primul este selectat, atunci va apărea o fereastră care vă va cere să introduceți cheia (sau cheile) necesare.

  • Într-un fișier text, pentru introducerea manuală ulterioară pe alte mașini.
  • Salvarea profilului pe o unitate flash USB pentru introducerea automată pe alte mașini cu Windows XP cu Service Pack integrat versiunea 2.

Dacă este selectat modul de salvare Flash, atunci în următoarea fereastră vi se va solicita să introduceți suportul Flash și să îl selectați din meniu.

Dacă a fost selectată salvarea manuală a parametrilor, atunci după apăsarea butonului Tip

... va fi afișat un fișier text cu parametrii rețelei configurate. Vă rugăm să rețineți că sunt generate chei aleatoare și lungi (adică bune), dar TKIP este folosit ca algoritm de criptare. Algoritmul AES poate fi activat ulterior manual în setări, așa cum este descris mai sus.

Total

Am terminat de configurat criptarea pe toate adaptoarele wireless. Acum puteți verifica dacă computerele se pot vedea unul pe celălalt. Cum să faceți acest lucru a fost descris în a doua parte a seriei „rețele de do-it-yourself” (procedăm în mod similar cu metoda când criptarea nu a fost activată în rețea).

Dacă avem probleme și nu toate computerele se văd, atunci verificăm setările generale ale adaptoarelor:

  • Algoritmul de autentificare trebuie să fie același pentru toată lumea (Shared Keys sau WPA);
  • Algoritmul de criptare trebuie să fie același pentru toată lumea (WEP-128bit, WPA-TKIP sau WPA-AES);
  • Lungimea cheii (în cazul criptării WEP) trebuie să fie aceeași pentru toate stațiile din rețea (lungimea obișnuită este de 128 de biți);
  • Cheia în sine trebuie să fie aceeași la toate stațiile din rețea. Dacă se utilizează WEP, atunci un posibil motiv este utilizarea unei chei ASCII, iar rețeaua utilizează echipamente eterogene (de la diferiți producători). Încercați să introduceți cheia în notație hexazecimală.

Protocol WPA2 definit de standardul IEEE 802.11i, creat în 2004 pentru a înlocui . Se implementează CCMPși criptare AES, datorită căruia WPA2 a devenit mai sigur decât predecesorul său. Din 2006 sprijin WPA2 este o cerință pentru toate dispozitivele certificate.

Diferența dintre WPA și WPA2

Găsirea diferenței dintre WPA2 și WPA2 nu este relevantă pentru majoritatea utilizatorilor, deoarece toată protecția rețelei wireless se reduce la alegerea unei parole de acces mai mult sau mai puțin complexe. Astăzi situația este de așa natură încât toate dispozitivele care funcționează în rețelele Wi-Fi trebuie să accepte WPA2, astfel încât alegerea WPA poate fi determinată doar de situații non-standard. De exemplu, sistemele de operare mai vechi decât Windows XP SP3 nu acceptă WPA2 fără aplicarea de corecții, astfel încât mașinile și dispozitivele gestionate de astfel de sisteme necesită atenția unui administrator de rețea. Chiar și unele smartphone-uri moderne s-ar putea să nu accepte noul protocol de criptare; acest lucru se aplică în principal gadgeturilor asiatice în afara mărcii. Pe de altă parte, unele versiuni de Windows mai vechi decât XP nu acceptă lucrul cu WPA2 la nivel GPO, așa că în acest caz necesită conexiuni de rețea mai bine reglate.

Diferența tehnică dintre WPA și WPA2 este tehnologia de criptare, în special protocoalele utilizate. WPA folosește protocolul TKIP, WPA2 utilizează protocolul AES. În practică, aceasta înseamnă că WPA2 mai modern oferă un grad mai ridicat de securitate a rețelei. De exemplu, protocolul TKIP vă permite să creați o cheie de autentificare de până la 128 de biți, AES - până la 256 de biți.

Diferența dintre WPA2 și WPA este următoarea:

  • WPA2 este o îmbunătățire față de WPA.
  • WPA2 utilizează protocolul AES, WPA utilizează protocolul TKIP.
  • WPA2 este acceptat de toate dispozitivele wireless moderne.
  • Este posibil ca WPA2 să nu fie acceptat de sistemele de operare mai vechi.
  • WPA2 este mai sigur decât WPA.

Autentificare WPA2

Atât WPA, cât și WPA2 funcționează în două moduri de autentificare: personalȘi corporativ (întreprindere). În modul WPA2-Personal, o cheie de 256 de biți, uneori numită cheie pre-partajată, este generată din expresia de acces text simplu introdusă. Cheia PSK, precum și identificatorul și lungimea acesteia din urmă, formează împreună baza matematică pentru formarea cheii perechii principale PMK (cheie principală în pereche), care este folosit pentru a inițializa o strângere de mână în patru căi și pentru a genera o cheie temporară perechi sau de sesiune PTK (Cheie tranzitorie în pereche), pentru interacțiunea unui dispozitiv de utilizator fără fir cu un punct de acces. La fel ca protocolul static, WPA2-Personal are probleme cu distribuția și suportul cheilor, ceea ce îl face mai potrivit pentru utilizare în birouri mici decât în ​​întreprinderi.

Cu toate acestea, WPA2-Enterprise abordează cu succes provocările distribuției și gestionării cheilor statice, iar integrarea sa cu majoritatea serviciilor de autentificare a întreprinderii oferă control al accesului bazat pe cont. Acest mod necesită informații de conectare, cum ar fi un nume de utilizator și o parolă, un certificat de securitate sau o parolă unică; autentificarea se realizează între stația de lucru și serverul central de autentificare. Punctul de acces sau controlerul fără fir monitorizează conexiunea și redirecționează pachetele de autentificare către serverul de autentificare corespunzător, de obicei . Modul WPA2-Enterprise se bazează pe standardul 802.1X, care acceptă autentificarea utilizatorului și a mașinii bazată pe controlul portului, potrivit atât pentru comutatoare cu fir, cât și pentru punctele de acces fără fir.

Criptare WPA2

WPA2 se bazează pe criptarea AES, înlocuind DES și 3DES ca standard industrial de facto. AES cu consum intensiv de calcul necesită suport hardware care nu este întotdeauna disponibil în echipamentele WLAN mai vechi.

WPA2 utilizează protocolul CBC-MAC (Cipher Block Chaining Message Authentication Code) pentru autentificare și integritatea datelor și Modul Counter (CTR) pentru criptarea datelor și suma de control MIC. Codul de integritate a mesajelor (MIC) WPA2 nu este altceva decât o sumă de control și, spre deosebire de WPA, oferă integritatea datelor pentru câmpurile de antet 802.11 imuabile. Acest lucru previne atacurile de reluare a pachetelor care încearcă să decripteze pachetele sau să compromită informațiile criptografice.

Un vector de inițializare de 128 de biți (IV) este utilizat pentru a calcula MIC, AES și o cheie temporară sunt folosite pentru a cripta IV, iar rezultatul este un rezultat de 128 de biți. În continuare, se efectuează o operație SAU exclusivă asupra acestui rezultat și a următorilor 128 de biți de date. Rezultatul este criptat folosind AES și TK, iar apoi ultimul rezultat și următorii 128 de biți de date sunt din nou XORed. Procedura se repetă până când toată sarcina utilă este epuizată. Primii 64 de biți ai rezultatului obținut în ultimul pas sunt utilizați pentru a calcula valoarea MIC.

Un algoritm bazat pe modul de contor este utilizat pentru a cripta datele și MIC. Ca și în cazul criptării MIC IV, acest algoritm începe prin preîncărcarea unui contor de 128 de biți cu câmpul contorului setat la unu în loc de valoarea lungimii datelor. Astfel, un contor diferit este folosit pentru a cripta fiecare pachet.

Primii 128 de biți de date sunt criptați folosind AES și TK, iar apoi se efectuează o operație SAU exclusivă pe rezultatul pe 128 de biți al acestei criptări. Primii 128 de biți de date produc primul bloc criptat de 128 de biți. Valoarea contorului preîncărcată este incrementată și criptată folosind AES și o cheie de criptare a datelor. Apoi operația SAU exclusivă este efectuată din nou pe rezultatul acestei criptări și următorii 128 de biți de date.

Procedura se repetă până când toate blocurile de date de 128 de biți sunt criptate. Valoarea finală din câmpul contor este apoi resetata la zero, contorul este criptat folosind algoritmul AES, iar apoi rezultatul criptării și MIC-ul sunt XORed. Rezultatul ultimei operațiuni este andocat în cadrul criptat.

Odată ce MIC este calculat folosind protocolul CBC-MAC, datele și MIC sunt criptate. Apoi, un antet 802.11 și un câmp de număr de pachet CCMP sunt adăugate la aceste informații în partea din față, un trailer 802.11 este andocat și totul este trimis împreună la adresa de destinație.

Decriptarea datelor se realizează în ordinea inversă a criptării. Pentru a extrage contorul, se folosește același algoritm ca și pentru criptarea acestuia. Un algoritm de decriptare bazat pe modul de contor și o cheie TK sunt utilizate pentru a decripta contorul și porțiunea criptată a încărcăturii utile. Rezultatul acestui proces este date decriptate și o sumă de control MIC. După aceasta, MIC-ul pentru datele decriptate este recalculat utilizând algoritmul CBC-MAC. Dacă valorile MIC nu se potrivesc, pachetul este aruncat. Dacă valorile specificate se potrivesc, datele decriptate sunt trimise către stiva de rețea și apoi către client.

O preocupare majoră pentru toate rețelele LAN fără fir (și toate rețelele LAN cu fir, de altfel) este securitatea. Securitatea este la fel de importantă aici ca și pentru orice utilizator de internet. Securitatea este o problemă complexă și necesită o atenție constantă. Un prejudiciu enorm poate fi cauzat utilizatorului din cauza faptului că acesta folosește hot-spot-uri aleatoare (hot-spot-uri) sau puncte de acces WI-FI deschise acasă sau la birou și nu folosește criptare sau VPN (Virtual Private Network). Acest lucru este periculos deoarece utilizatorul își introduce datele personale sau profesionale, iar rețeaua nu este protejată de intruziunile din exterior.

WEP

Inițial, a fost dificil să se asigure o securitate adecvată pentru rețelele LAN fără fir.

Hackerii s-au conectat cu ușurință la aproape orice rețea WiFi prin spargerea în versiunile timpurii ale sistemelor de securitate, cum ar fi Wired Equivalent Privacy (WEP). Aceste evenimente și-au pus amprenta, iar pentru o lungă perioadă de timp, unele companii au fost reticente în a implementa sau nu au implementat deloc rețele wireless, temându-se că datele transmise între dispozitivele wireless WiFi și punctele de acces Wi-Fi ar putea fi interceptate și decriptate. Astfel, acest model de securitate a încetinit integrarea rețelelor wireless în afaceri și a făcut nervoși oamenii care folosesc rețelele WiFi acasă. IEEE a creat apoi grupul de lucru 802.11i, care a lucrat la crearea unui model de securitate cuprinzător care să ofere criptare AES pe 128 de biți și autentificare pentru a proteja datele. Wi-Fi Alliance a introdus propria versiune intermediară a acestei specificații de securitate 802.11i: Wi-Fi Protected Access (WPA). Modulul WPA combină mai multe tehnologii pentru a rezolva vulnerabilitățile sistemului 802.11 WEP. Astfel, WPA oferă autentificare fiabilă a utilizatorilor folosind standardul 802.1x (autentificare reciprocă și încapsulare a datelor transmise între dispozitivele client wireless, puncte de acces și server) și Protocolul de autentificare extensibil (EAP).

Principiul de funcționare al sistemelor de securitate este prezentat schematic în Fig. 1

De asemenea, WPA este echipat cu un modul temporar pentru a cripta motorul WEP prin criptarea cheii pe 128 de biți și utilizează Protocolul de integritate a cheii temporale (TKIP). Și o verificare a mesajelor (MIC) împiedică modificarea sau formatarea pachetelor de date. Această combinație de tehnologii protejează confidențialitatea și integritatea transmisiei datelor și asigură securitatea prin controlul accesului astfel încât numai utilizatorii autorizați să aibă acces la rețea.

WPA

Îmbunătățirea în continuare a securității WPA și a controlului accesului este crearea unui nou master cheie unic pentru comunicarea între echipamentul wireless și punctele de acces ale fiecărui utilizator și oferirea unei sesiuni de autentificare. Și, de asemenea, în crearea unui generator de chei aleatorii și în procesul de generare a unei chei pentru fiecare pachet.

IEEE a ratificat standardul 802.11i în iunie 2004, extinzând semnificativ multe capabilități datorită tehnologiei WPA. Alianța Wi-Fi și-a consolidat modulul de securitate în programul WPA2. Astfel, nivelul de securitate al standardului de transmisie de date WiFi 802.11 a atins nivelul necesar pentru implementarea soluțiilor și tehnologiilor wireless în întreprinderi. Una dintre schimbările semnificative de la 802.11i (WPA2) la WPA este utilizarea standardului de criptare avansată (AES) pe 128 de biți. WPA2 AES utilizează modul anti-CBC-MAC (un mod de operare pentru un bloc de criptare care permite utilizarea unei singure chei atât pentru criptare, cât și pentru autentificare) pentru a oferi confidențialitatea datelor, autentificare, integritate și protecție la reluare. Standardul 802.11i oferă, de asemenea, memorarea în cache a cheilor și pre-autentificare pentru a organiza utilizatorii în punctele de acces.

WPA2

Cu standardul 802.11i, întregul lanț de module de securitate (autentificare, schimb de acreditări, autentificare și criptare a datelor) devine o protecție mai fiabilă și eficientă împotriva atacurilor nețintite și direcționate. Sistemul WPA2 permite administratorului rețelei Wi-Fi să treacă de la problemele de securitate la gestionarea operațiunilor și dispozitivelor.

Standardul 802.11r este o modificare a standardului 802.11i. Acest standard a fost ratificat în iulie 2008. Tehnologia standardului transferă mai rapid și mai fiabil ierarhiile cheie bazate pe tehnologia Handoff pe măsură ce utilizatorul se deplasează între punctele de acces. Standardul 802.11r este pe deplin compatibil cu standardele WiFi 802.11a/b/g/n.

Există, de asemenea, standardul 802.11w, care are scopul de a îmbunătăți mecanismul de securitate bazat pe standardul 802.11i. Acest standard este conceput pentru a proteja pachetele de control.

Standardele 802.11i și 802.11w sunt mecanisme de securitate pentru rețelele WiFi 802.11n.

Criptarea fișierelor și folderelor în Windows 7

Caracteristica de criptare vă permite să criptați fișiere și foldere care ulterior vor fi imposibil de citit pe un alt dispozitiv fără o cheie specială. Această caracteristică este prezentă în versiunile de Windows 7, cum ar fi Professional, Enterprise sau Ultimate. Următoarele vor acoperi modalități de a activa criptarea fișierelor și folderelor.

Activarea criptării fișierelor:

Start -> Computer (selectați fișierul de criptat) -> butonul dreapta al mouse-ului pe fișier -> Proprietăți -> Avansat (fila General) -> Atribute suplimentare -> Bifați caseta Criptați conținutul pentru a proteja datele -> Ok -> Aplicați - > Ok (Selectați aplicați numai la fișier)->

Activarea criptării folderelor:

Start -> Computer (selectați folderul de criptat) -> butonul dreapta al mouse-ului pe folder -> Proprietăți -> Avansat (fila General) -> Atribute suplimentare -> Bifați caseta Criptați conținutul pentru a proteja datele -> Ok -> Aplicați - > Ok (Selectați aplicați numai fișierului) -> Închideți caseta de dialog Proprietăți (faceți clic pe Ok sau Închidere).