Computerworld News Service: Windows 7 inkluderer alle de nyeste branchegodkendte algoritmer, såsom AES (advanced encryption standard), ECC (elliptical curve cryptography) og SHA-2 hash-familien af algoritmer.
Faktisk implementerer Windows 7 alle disse algoritmer i Suite B, som er en gruppe kryptografiske algoritmer, der er godkendt af den amerikanske sikkerhedsstjeneste National Security Agency (NSA) samt af National Institute of Standards and Technology til brug i almindelig krypteringssoftware.
Microsoft tilføjede allerede understøttelse af de kryptografiske algoritmer fra Suite B (AES, ECDSA, ECDH, SHA2) i Windows Vista, men i Windows 7 kan Suite B-algoritmerne bruges sammen med netværkssikkerhedsprotokollen TLS version 1.2 (transport layer security) samt filsystemet EFS (encrypting file system).
Man bør, hvor end det er muligt, benytte Suite B-algoritmer.
Det er dog vigtigt at bemærke, at Suite B-algoritmerne som regel ikke er kompatible med tidligere versioner af Windows fra før Windows Vista.
Som standard bruger alle nuværende teknologier i Windows branchestandardsalgoritmer.
Størrelser øget
Det vil sige, at der ikke længere benyttes forældede, proprietære krypteringsalgoritmer. De legacy-algoritmer, der stadig eksisterer, er inkluderet alene med det formål at levere bagudkompatibilitet.
Microsoft har offentliggjort detaljerne om de nye algoritmer, så kryptografimiljøet har kunnet analysere og evaluere dem.
Størrelserne på nøgler og hash er som standard øget.
Filsystemet EFS er blevet forbedret på mange måder ud over at benytte mere moderne algoritmer.
Man kan eksempelvis nu benytte chipkort til at beskytte sine EFS-nøgler. Dette sikrer ikke blot EFS-nøglerne bedre, men det gør det også muligt at dele dem mellem computere.
Som administrator bliver man glad for at høre, at man nu kan forhindre brugere i at oprette deres egne EFS-nøgler.
Tidligere kunne brugere let selv slå EFS til, hvilket genererede et selvunderskrevet EFS digitalt certifikat, hvis det ikke var muligt at finde en kompatibel PKI-server.
Det betyder, at brugere har krypteret filer uden at lave backup af deres selvunderskrevne digitale certifikater, hvilket alt for ofte har ført til tab af data, der ikke har kunnet genskabes.
Minimumslængde for nøgle
I Windows 7 kan administratorer stadig tillade selvunderskrevne EFS-nøgler med krav om brug af specifikke algoritmer og minimumslængder for nøgler.
Windows 7 vil desuden anmode brugeren om at lave backup af sit EFS digitale certifikat på et flytbart medie eller netværksdrev, indtil det bliver gjort.
Læs også: Del 1: User Account Control.
Del 2: BitLocker-drevkrypterinng og nem kryptering af sidefilen.
Sikrere webbrowsing med IE8.
Man har ikke brug for Windows 7 for at køre Internet Explorer 8, og hvis man kører med en ældre version af Microsofts browser på en ældre version af Windows, bør man opgradere hurtigst muligt.
Men fra et sikkerhedsmæssigt synspunkt er det endnu bedre at køre IE8 på Windows 7.
Ikke blot er IE8 mere sikker end tidligere versioner af browseren, men den er også mere sikker på Windows 7 end på Windows XP.
De kinesiske hackerangreb mod Google og andre virksomheder demonstrerer dette meget effektivt.
Væsentligt sværere
Angrebene havde størst succes mod IE6 og ikke særlig stor succes mod IE8.
Microsoft har testet et antal relaterede angreb og vist, at de er væsentligt sværere at udføre mod IE8 og endnu sværere mod IE8 på Windows 7.
Naturligvis vil kompatibilitetshensyn angående applikationer og websites afgøre, hvor hurtigt en it-afdeling kan gå over til at bruge den nye browser.
Men gå endelig i gang med at teste.
Der findes mange virksomheder, der klamrer sig til IE6, men som ikke har udført nogen kompatibilitetstest i over et år. Ofte, når de igen tester den applikation, der tidligere har voldt problemer i IE8, vil den faktisk virke nu.
Læs også: Del 1: User Account Control.
Del 2: BitLocker-drevkrypterinng og nem kryptering af sidefilen.
Oversat af Thomas Bøndergaard.
