EFS文件加密技术

 EFS文件加密技术

 
一、加密过程：1系统由伪随机数生成的加密密钥加密文件；2  用公钥加密加密密钥并将生成的文件和加密文件放在一起。
二、解密过程：1用私钥解密加密密钥；2用解开的加密密钥解密加密后的文件。
三、存储位置：/username/Application Data/ Microsoft/SystemCertificates/My/Certificates 文件夹中；私钥存储在 /Documents and Settings/username/Application Data/Microsoft/Crypto/RSA 文件夹中。
 
下面是微软官方网站的一些解释：
 
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
当您的用户发现加密文件系统的奇妙之处时，他决定删除一些最不重要的文件，使其从大家的视线中消失。您的一个用户—让我们称他为 Bob—正艰难地解密一份重要的公司备忘录的草案，而他必须在一小时之内把它发送出去。几分钟后，您接到 CFO（首席财务官）打来的电话。这位 CFO 刚刚添置了一台全新的便携式计算机，但是却无法再对他的财务报告进行解密。就算您多吃两片阿司匹林，也不顶用。

EFS 恢复的工作原理

EFS 使用公钥（非对称）加密和对称加密。非对称加密的加密模式有两个不同的密钥，一个用来对数据进行加密，另一个用来对数据进行解密。而在对称加密中，您可以使用相同的密钥来加密和解密数据。与公钥相比，对称加密更难于进行安全管理，这是因为加密模式（尤其是密钥！）中的任何一个方面都不能公开。然而，对称加密在处理器上更容易实现，这是因为其运算速度比非对称加密大约快了 100 到 1000 倍。EFS 结合了这两种方法，从而同时实现了高性能和高安全性。

当一个新文件被加密时，EFS 服务就会给文件加上专用锁，并生成文件加密密钥（File Encryption Key，FEK）。FEK 属于对称密钥，因此既能用于加密文件，又能用于解密文件。FEK 仅对该文件有效。一旦生成 FEK，文件就被加密了。然后，EFS 定位用户的公钥，用它来加密 FEK，并在加密文件的文件头中的数据加密区（DDF）中保存加密的 FEK。

当用户想要解密文件时，EFS 就取回用户的私钥，然后用它来解密存放在文件头的 DDF 中的 FEK，最后用该 FEK 解密文件。

注意到，文件的密钥不直接依赖于用户，事实上，EFS 能在文件头中保存多个 DDF，这样将 允许多个用户对文件进行加密，每个 DDF 都包含有相同的密钥，都经不同用户的公钥加密过。

措施：通过系统的页面文件可能会泄漏一些敏感的数据，不过，这很容易避免：打开便携式电脑，关掉休眠，确保在机器关闭时 Windows 删除了页面文件。

数据恢复代理

除了保存 DDF 之外，EFS 还给每个被指定为 数据恢复代理（Data Recovery Agent，DRA）的用户帐户保存一个数据恢复区（DRF）。为了达到我们的目的，DDF 和 DRF 采用相同的行为，惟一的不同之处在于，DDF 在文件级上加以确定，而本地计算机或域中的所有文件都有共同的 DRF。这样一来，即使用户丢失了他的主钥，受信任的管理员也可以解密文件。在 Windows XP 中，不再需要 EFS。FEK 仅仅被保存在文件头的 DDF 和 DRF 中。假如文件仅有一个 DDF，而没有 DRF，那么就只有该用户可以解密此文件。虽然这种方式很安全，但是也存在危险，如果用户丢失了他们的私钥，文件就再也找不回来了。

为了充分保护您的数据，您应该至少使用一个 DRA。这在 Windows2000 域的计算机中可自动完成。如果您不使用 Windows 域，您仍然能够按照这些指导来为 EFS 文件指定 DRA。

备份加密数据

备份加密文件与备份任何其他文件一样容易。因为 FES 与文件存储在一起，所以当您备份文件时，不需要采取任何特殊的防范措施。然而，如果您不把文件还原到授权用户能使用他们的私钥的域或者本地计算机上，您还是无法对其进行解密。

备份公钥和私钥对以及公钥证书也很重要。公钥和公钥证书存储在用户配置的 /username/Application Data/ Microsoft/SystemCertificates/My/Certificates 文件夹中。私钥存储在 /Documents and Settings/username/Application Data/Microsoft/Crypto/RSA 文件夹中。和 RSA 文件夹中存储的所有数据一样，私钥通过用户的主密钥进行加密。因为密钥对和证书被存储在用户的配置文件中，所以在备份配置文件时，也就备份了密钥对和证书。

此外，密钥对和证书—包括所有的 DRA 密钥—都可以导出到可移动媒体并保存在安全的位置。注意，任何人只要拥有 DRA 密钥，就能解密 DRA 所能解密的任何东西。因此，将这些密钥及其备份媒体保存在安全的位置，非常重要。

恢复用户对数据的访问

恢复访问由保存所要恢复的数据的计算机中有效的恢复策略进行控制。对于不在域中的独立计算机，您可以在本地计算机上设置恢复策略。如果您的计算机加入了某个域，您就可以通过组策略（Group Policy）机制来设置域的 EFS 恢复策略；这可以控制谁具有担当整个域中的计算机的恢复代理的权限。无论如何，用户之所以不能解密文件，是因为他们不具有使用自己私钥的权限。解决这个问题的最好方法是尽可能帮助用户找回他们的密钥，为此，您可以通过恢复用户配置文件或导入他们的密钥和证书。一旦用户有权使用他们的密钥，他们就能够通过解密他们的文件中的 DDF 来重新获得 FEK。如果用户的密钥备份无效，那么数据恢复代理可以将密钥导入到用户的计算机中，也可以将加密文件还原到一台计算机中，在这台计算机上存储着解密用户的文件的 DRA 密钥对。为了使之有效，您可能需要使用efsinfo 实用程序来查明为文件所指定的 DRA。

如果您不能恢复用户密钥，但是您具有使用 DRA 密钥的权限，则实际的恢复过程非常简单：将文件移到一台拥有该 DRA 的私钥的计算机上，在资源管理器中找到此文件，单击鼠标右键，打开“属性”对话框，再切换到“常规”选项卡，单击“高级”按钮，去掉“加密内容以便保护数据的安全”前面的勾。这就您需要做的全部事情！

在得到这个最新的消息之后，您可以很从容地径直穿过大厅，来到首席财务官的办公室，在那里，您将发现她登录本地工作站时并没有使用域帐户。了解到她的密钥存储在旧的本地配置文件中，您马上给 IT 部门打电话，看一看她的旧便携式计算机是否还可用。但不幸的是，旧电脑已经被清理了。由于首席财务官总没有耐心等您恢复她的备份便携式电脑来重新获得她的配置文件，所以您将自己的 DRA 加载到她的便携式计算机上并帮她解密文件。如果做到了这些，您就可以确信，从现在起她一定能登录到域中了。然后，您就可以悠闲地走到备忘录作者的工作间里，找到已经被破坏的配置文件。再次给 IT 部门打电话，帮助恢复他的配置文件，这样他就能够及时将备忘录发送出去！接着，您回到您的办公桌旁，马上提交一份要求加薪的报告吧。

如果您想知道更多关于 EFS 的工作原理以及设计 EFS 恢复策略来满足您的要求，请查阅 http://www.microsoft.com 上的“数据保护和恢复白皮书”和“Windows XP 资源工具包”的第17章。