Sistemas operativos modernos

tadora, y sólo insertarse en un lector cuando es preciso descifrar un archivo. Aunque Windows 2000 maneja tarjetas inteligentes, no almacena claves privadas en ellas. En vez de eso, la primera vez que un usuario cifra un archivo empleando el EPS, Windows 2000 genera un par (clave privada, clave pública) y almacena la clave privada en disco, cifra­ da con un algoritmo de cifrado simétrico. La clave empleada para el algoritmo simétrico se de­ riva de la contraseña de inicio de sesión del usuario o de una clave almacenada en la tarjeta inteligente, si está habilitado el inicio de sesión con tarjeta inteligente. Así, EPS puede desci­ frar la clave privada durante el inicio de sesión y mantenerla en su propio espacio de direccio­ nes virtual durante el funcionamiento normal, para poder descifrar las claves de archivo de 128 bits cuando se necesite, sin nuevos accesos al disco. Cuando la computadora se apaga, la clave privada se borra del espacio de direcciones virtual del EPS, así que si alguien roba la compu­ tadora no tendrá acceso a la clave privada. Se presenta una complicación si múltiples usuarios necesitan acceso al mismo archivo ci­ frado. En la actualidad no se considera el uso compartido de archivos cifrados por múltiples usuarios, pero la arquitectura del EPS podría permitirlo en el futuro cifrando la clave de cada archivo n veces, empleando la clave pública de cada uno de los n usuarios autorizados. Todas estas versiones cifradas de la clave del archivo podrían asociarse con el archivo. La posible necesidad de compartir archivos cifrados es una razón por la que se utiliza es­ te sistema de dos claves. Si todos los archivos se cifraran con la clave de su dueño, no habría forma de compartir archivos. Al emplearse una clave distinta para cifrar cada archivo, el pro­ blema puede resolverse. Tener una clave de archivo aleatoria por cada archivo pero cifrarla con la clave simétrica del dueño no funciona porque tener por ahí la clave de cifrado simétrica a la vista de todos echaría a perder la seguridad: es demasiado fácil generar la clave de descifrado a partir de la clave de cifrado. Por tanto, se necesita criptografía de clave pública (lenta) para cifrar las claves de archivo. Aunque la clave de cifrado de todos modos es pública, no es peligroso tenerla por ahí. La otra razón por la que se usa el sistema de dos claves es el desempeño. El empleo de criptografía de clave pública para cifrar cada archivo sería demasiado lento. Es mucho más efi­ ciente usar criptografía de clave simétrica para cifrar los datos y criptografía de clave pública para cifrar la clave de archivo simétrica. 11.8 SEGURIDAD EN WINDOWS 2000 Ya que vimos el cifrado en el sistema de archivos, es un buen momento para examinar la segu­ ridad en general. NT se diseñó de modo que cumpliera con los requisitos de seguridad C2 del Departamento de Defensa de Estados Unidos (DoD 5200.28-STD), el Libro Naranja que estu­ diamos en el capítulo 9. Esta norma de seguridad exige a los sistemas operativos tener ciertas propiedades para clasificarse como suficientemente seguro para ciertas clases de trabajos mili­ tares. Aunque Windows 2000 no se diseñó en forma específica para que cumpliera con C2, he­ reda muchas propiedades de seguridad de NT, incluidas las siguientes: