當(dāng)前位置:
  1. 首頁
  2. 加密技術(shù)

EFS加密介紹

admin 加密技術(shù)

EFS加密:EFS(Encrypting File System,加密文件系統(tǒng))是Windows 2000/XP/VISTA/7所特有的一個實用功能,對于NTFS卷上的文件和數(shù)據(jù),都可以直接作系統(tǒng)加密保存,在很大程度上提高了數(shù)據(jù)的安全性。

但請注意這種加密是對用戶透明的。也是說,系統(tǒng)用戶A用EFS加密了文件夾B,但加密后,是看不到什么效果的,任何人用賬戶A登錄系統(tǒng),這個文件夾B,可以正常訪問。

但憑什么說它加密了,如果你用其他的賬戶登錄系統(tǒng),你就無法訪問這個文件夾。如果你沒有備份加密證書,你重裝系統(tǒng)后,這個文件夾里的文件你就無法打開了。

正常情況,EFS加密的文件夾或文件的名字是綠色的。

如果你重裝系統(tǒng)后,發(fā)現(xiàn)綠色名字的文件打不開,我只能說,節(jié)哀。

所以建議廣大網(wǎng)友使用文件夾加密超級大師超級加密 3000這樣的專業(yè)的文件加密軟件和文件夾加密軟件。

EFS加密注意事項

如果把未加密的文件復(fù)制到具有加密屬性的文件夾中,這些文件將會被自動加密。若是將加密數(shù)據(jù)移出來(前提:你正在使用的賬戶有移動\復(fù)制\刪除已加密文件的權(quán)限),如果移動到NTFS分區(qū)上,數(shù)據(jù)依舊保持加密屬性;如果移動到FAT分區(qū)上,這些數(shù)據(jù)將會被自動解密。被EFS加密過的數(shù)據(jù)不能在Windows中直接共享。如果通過網(wǎng)絡(luò)傳輸經(jīng)EFS加密過的數(shù)據(jù),這些數(shù)據(jù)在網(wǎng)絡(luò)上將會以明文的形式傳輸。NTFS分區(qū)上保存的數(shù)據(jù)還可以被壓縮,不過一個文件不能同時被壓縮和加密。最后一點,Windows的系統(tǒng)文件和系統(tǒng)文件夾無法被加密。

最重要的一點:重裝系統(tǒng)前,請一定備份加密證書,或解密EFS加密的數(shù)據(jù)。

加密證書或密鑰

EFS加密是基于公鑰策略的。在使用EFS加密一個文件或文件夾時,系統(tǒng)首先會生成一個由偽隨機數(shù)組成的FEK (File Encryption Key,文件加密鑰匙),然后將利用FEK和數(shù)據(jù)擴展標(biāo)準(zhǔn)X算法創(chuàng)建加密后的文件,并把它存儲到硬盤上,同時刪除未加密的原始文件。隨后系統(tǒng)利用你的公鑰加密FEK,并把加密后的FEK存儲在同一個加密文件中。而在訪問被加密的文件時,系統(tǒng)首先利用當(dāng)前用戶的私鑰解密FEK,然后利用FEK解密出文件。在首次使用EFS時,如果用戶還沒有公鑰/私鑰對(統(tǒng)稱為密鑰),則會首先生成密鑰,然后加密數(shù)據(jù)。如果你登錄到了域環(huán)境中,密鑰的生成依賴于域控制器,否則它就依賴于本地機器。

密鑰的備份和恢復(fù)

為什么有很多人在使用EFS的時候出現(xiàn)問題呢?筆者認為最大的原因在于很多人并沒有真正理解EFS的加密方式。說到加密,密鑰是一個非常重要的概念。EFS是一種公鑰加密,那么這里就要說說什么是公鑰加密了。在使用EFS加密一個文件或文件夾時,系統(tǒng)首先會生成一個由偽隨機數(shù)組成的FEK (File Encryption Key,文件加密鑰匙),然后利用FEK和數(shù)據(jù)擴展標(biāo)準(zhǔn)X算法創(chuàng)建加密后的文件,并把它存儲到硬盤上,同時刪除未加密的原始文件。隨后系統(tǒng)利用你的公鑰加密FEK,并把加密后的FEK存儲在同一個加密文件中。而在訪問被加密的文件時,系統(tǒng)首先利用當(dāng)前用戶的私鑰解密FEK,然后利用FEK解密出文件。在首次使用EFS時,如果用戶還沒有公鑰/私鑰對(統(tǒng)稱為密鑰),則會首先生成密鑰,然后加密數(shù)據(jù)。

從這段話中我們可以看出兩個重點:文件的加密和解密都需要密鑰的參與,而密鑰分為公鑰和私鑰兩種。很明顯,無論是加密還是解密文件,都需要用到個人密鑰。加密文件的時候使用公鑰,解密文件的時候則使用相對應(yīng)的私鑰。那么無論是丟失了公鑰還是私鑰,都會給我們的使用帶來麻煩,尤其是私鑰,丟失之后就再也無法解密文件了。

為了保證數(shù)據(jù)安全,我們最好能在加密文件之后立即將自己的密鑰備份出來,并保存到安全的地方,以防系統(tǒng)崩潰或其他原因?qū)е聰?shù)據(jù)無法解密。如何備份密鑰呢?運行”certmgr.msc”打開證書管理器,在”當(dāng)前用戶/個人/證書”路徑下,應(yīng)該可以看見一個以你的用戶名為名稱的證書(如果你還沒有加密任何數(shù)據(jù),這里是不會有證書的)。用鼠標(biāo)右鍵點擊這個證書,在”所有任務(wù)”中點擊”導(dǎo)出”。之后會彈出一個證書導(dǎo)出向?qū)?,在向?qū)е杏幸徊綍儐柲闶欠駥?dǎo)出私鑰,在這里要選擇”導(dǎo)出私鑰”,其它選項按照默認設(shè)置,連續(xù)點擊繼續(xù),最后輸入該用戶的密碼和想要保存的路徑并確認,導(dǎo)出工作就完成了。導(dǎo)出的證書將是一個pfx為后綴的文件。這個pfx文件最好能保存到其他位置,并且要保證該文件的安全。

恢復(fù)密鑰

當(dāng)用戶的密鑰丟失后,例如重裝了操作系統(tǒng),或者無意中刪除了某個帳戶,我們只要找到之前導(dǎo)出的pfx文件,用鼠標(biāo)右鍵點擊,并選擇”安裝PFX”,之后會出現(xiàn)一個導(dǎo)入向?qū)В凑諏?dǎo)入向?qū)У奶崾就瓿刹僮鳎ㄗ⒁?,如果你之前在?dǎo)出證書時選擇了用密碼保護證書,那么在這里導(dǎo)入這個證書時就需要提供正確的密碼,否則將不能繼續(xù)),而之前加密的數(shù)據(jù)也就全部可以正確打開。

講到這里,相信你對EFS的基本使用方法已經(jīng)有了一個大概的認識,不過光有理論知識是不夠的,筆者希望大家都多在實踐中掌握EFS的使用。 由于EFS安全性非常高,如果使用不慎或方法不當(dāng)則可能造成非常麻煩的后果,所以建議大家先用不重要的文件進行EFS加密的試驗。

如果確實需要對重要的文件或文件夾加密,請使用文件夾加密超級大師或超級加密 3000這樣的專業(yè)加密軟件。