INTRODUCTION
简介
在我参与微软基础设施和企业部署的这么多年里,微软的文件加密系统(EFS)是迄今我所见的安全性能最强大,却也是最未被充分利用的技术之一。我很少见它在企业里甚至是中等规模的环境中的使用,它已经被孤立---无论个人还是团队都在靠自己的努力去实现基于EFS的安全控制。这并不是完全的不公平。EFS易于个人设置和自由使用,但是面对大规模的部署时,需要对认证,恢复日程管理,备份,存储以及实现访问模型等方面进行详细的计划。这种EFS的不当扩展的结果后果可能非常严重:你可能会丢失你的数据!为了能够更加明确的说明这种情况,假设在一次失败的情况中,可能会出现由于设计不当的EFS控制,导致加密文件系统会阻止文件的解密,尽管你可能通过物理途径去获得。
EFS最简单的情形,是一个基于Windows操作系统的特色,它允许一个用户(管理者或是其他用户)给一个文件夹,或是单个文件的内容加密。在文件夹层次加密是为了保证任何文件添加到到加密文件夹都是自动加密的,这是EFS的典型应用。在本章中的使用的例子,是基于在某目录结果中所创建的文件夹,当你确定选择一个单独的文件而且为之加密时,这个文件夹自己标记为加密。如上所述,当一个文件夹被加密时,所有在该文件夹中创建的文件都将被它们敬爱的所有者加密。给一个文件夹加密非常简单;你只需选择该文件夹的高级属性,然后选择加密内容以便保护数据,如图2.1所示。
EFS是一种基于用户的加密控制。基本说来,它工作的方式是当一个互用请求一个文件或文件夹加密时,为用户生成一个EFS认证,同时私有密钥被存储在该用户的配置文件中。公用密钥和用户创建的文件一起存储,只有这样用户才能能够解密这些文件。也正是因为如此,恢复代理认证是一个和不同用户账号联系的典型例子,同时,用户的公用密钥也嵌在这个文件中。也正是如此,即使用户丢失了用来恢复文件的认证,而恢复代理用户,或者是更明确的相关私有密钥的持有者,也能够解密文件。同样的,恢复代理公用密钥是自动和加密文件一起存储的,你也可以告知其他用户某个文件的公用密钥,也允许他们对文件进行解密。者就使得一个保密文件可以在不同的用户间共享。当一个EFS认证被你的CA(证书管理机构)分配时,或是在某个域环境中由于是第一次EFS进行请求操作从而自动创建时,用户的公用密钥存储在AD中。对恢复代理认证也是如此,事实上,对于在某个领域创建的EFS文件中,公用密钥是这样被自动包含在其中:它从基于EFS文件恢复群组政策设定的AD中直接抽取出来。我将会在后面对此进行更多详细描述。
我们利用一点时间来详述一下加密过程。当出现多个用户共享一个加密文件时,了解这些文件工作的原理以及加密过程将会帮助你更好的去理解EFS在企业或是较小的AD环境中时如何工作的。关于EFS认证也没什么神奇的。由RSA算法生成一个私有公用密钥组,EFS使用这个密钥进行简单的X.509认证。如图2.2
当为用户创建这些认证时,采用RSA算法来生成公用私有密钥并把其存储在用户认证中。只有公用密钥存储在AD中。数据使用公用密钥进行加密,用私有密钥进行解密。这就说明了为什么公用密钥是共用的,这样其他使用者就可以为你进行加密,而只有持有对应私有密钥的用户才能解密。这样一旦数据被某些用户用公用密钥加密时,也不能对其解密。
在我与其讲解关于加密的大多数人中,对RSA的印象似乎都是对于某个加密文件使用密钥对真实的数据进行加密和解密。其实这种方法不仅仅用于EFS,它能应用到任何基于RSA的加密过程中。其实一个强随机的用来加密的密钥,在文件加密之前已经生成。而这件事情,是基于默认高级加密标准(AES)的密码检索本。RSA算法其实是对密钥进行加密,而非数据本身。公共RSA密钥用来加密AES密钥,而后者才真正用来对数据进行加密。
121
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
