此内容完成于6月1日,由于csdn对新用户有发帖的时间限制,当时就发至指定邮箱。现csdn所限时间已过,即可贴出。呵呵
简介
在我使用微软基础设施和进行企业部署工作的这么多年里,微软的文件加密系统(EFS)技术是我见过的最强大也是使用率最低的安全特性。我几乎没看到这项技术在大企业或中等规模的公司中得到使用。我所看到的是,仅在个人或团队小组要依靠自己来采取基于EFS的安全控制措施时,这项技术才被孤立地得到使用。这并不是完全没有道理的。如果是个人设置和使用EFS系统,那么EFS是非常易用的。但是如果要在大规模的环境中对EFS进行适当的部署,则必须要对证书、恢复代理管理、备份存储、访问权限模型的实现等因素进行细致的规划。欠妥地部署EFS的后果会很严重:你会无法访问你的数据。具体地说,在文件加密操作失败的情况下,不恰当的EFS控制措施会导致无法再对该文件进行解密,即使你有该文件的访问权。
EFS最简单的形式是Windows系统中内置的一个功能。它允许用户(管理员或者其他人)将文件夹或者单独的文件设置为加密状态。使用EFS的典型方式是在文件夹层面进行加密,因为这种方式可以确保放入加密文件夹中的任何一个文件都会被自动加密。当然你也可以选中一个文件并对其加密,但本章内的示例均是基于某个路径中的文件夹的,而文件夹本身是标记为加密的。就像前面提到的那样,当文件夹被设置为加密时,所有在该文件夹中创建的文件都会分别被其所有者加密。将一个文件夹设置为加密的方法非常简单,你只需要在文件夹的高级属性对话框弹出后,选择“加密内容以便保护数据”即可,如图2.1示。
EFS是一种基于用户的加密控制方法。简单地说,其工作原理就是:当用户要求对文件或文件夹进行加密时,系统就会为用户生成一个EFS证书,同时将证书的私钥存入用户信息档案。公钥则与到该用户创建的文件一起存放,只有该用户才可以对文件进行解密。正因为如此,恢复代理证书文件通常与另一个用户账号相关联,而这一用户的公钥也是嵌入到该文件中的。这样,如果用户丢失了用于对文件加密的证书文件,恢复代理用户,也就是拥有相关私钥的用户,也可以对文件进行解密。同样地,恢复代理的公钥是与所加密的文件存放在一起,你也可以将其他用户的公钥分配给一个文件,使这些用户也可以对该文件进行解密。这种方式使得一个文件可以在文件系统中保持加密状态而又可以被多个用户共享。如果一个EFS证书是由你的CA分发的,或者是在某个域中由于第一次请求EFS操作时自动生成的,则用户的证书就存放于AD中。对于恢复代理证书亦是如此。实际上,公钥是这样自动加入在某个域中创建的EFS文件中的:按照EFS文件恢复群组的规则对象中的设置,直接从AD中取出公钥。以后我会对此详细阐述。
让我们花点时间说明加密的过程。当遇到多个用户共享一个加密文件的情形时,了解这到底是如何在文件层面和加密过程中实现的,有助于更好地理解EFS是如何在企业或者更小的AD环境中运作。EFS证书并无奇妙可言,它就是一个X.509证书加上一对由RSA算法产生的公钥私钥,然后将密钥用于EFS,如图2.2示。
当用户的证书创建时,就用RSA算法来产生用户证书中的公钥和私钥。只有公钥才存于AD中。数据是用公钥加密,用私钥解密的。这就是为什么公钥是公开的,这样才能让其他用户为你加密数据,但只用拥有私钥的人才可以对数据解密。一旦数据被加密,即使是用公钥对数据加密的人也不能将其解密。
与我谈论有关数据加密的人中,有许多人的印象似乎是RSA密钥是用来直接对文件中的数据进行加密和解密。这不仅指EFS,任何基于RSA加密的情形都是如此。实际上,在文件被加密之前,会产生一个很强的随机密钥。该密钥是基于默认的高级加密标准(AES)的。RSA算法就是要将此密钥再加密,而不是对数据加密。RSA公钥用来对AES密钥加密,而AES密钥是用来对实际数据加密。
RSA 和 AES
RSA是一种非对称加密算法。就是说用一个密钥对数据加密而用另一个不同的密钥对其解密。这种加密方法所需要的计算量相当大。其对处理器资源耗费很大,而且比使用相同密钥加密和解密的对称加密算法要慢很多。RSA公钥用来加密AES密钥,而私钥的所有者对AES密钥解密,通过RSA解密得到的AES密钥就用来对文件解密。当你每次将一个用户添加到可以解密文件的用户列表时,就会产生多个新的AES密钥,而每个用户的公钥都会用来对一个AES密钥进行加密,结果就只有他们能解密。
这样做的原因是现在RSA算法的各种实现版本都根据密钥的长度对其可以加密的数据长度进行了限制。一个1024位的RSA密钥可以加密116字节的数据。
4491
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
