|
淺談EFS加密文件系統(tǒng)
(作者未知) 2011/6/22
摘要:EFS(加密文件系統(tǒng))是微軟操作系統(tǒng)提供的一個很好的文件加密機制。本文對Windows的NTFS文件系統(tǒng)所采用的EFS做了詳細(xì)的分析�����,解釋了EFS加密的概念�����,分析了使用EFS的好處��,說明了進行EFS加解密的過程以及其存在的局限性��。
關(guān)鍵詞:NTFS;EFS加密
一���、什么是EFS加密
EFS(Encrypting File System�����,加密文件系統(tǒng))是Windows 2000/XP/VISTA所特有的一個實用功能����,對于NTFS卷上的文件和數(shù)據(jù)����,都可以直接被操作系統(tǒng)加密保存。如果硬盤上的文件已經(jīng)使用EFS進行了加密�,即使一個攻擊者能訪問到硬盤上,由于沒有解密的密鑰���,文件也是不可用的�,在很大程度上提高了數(shù)據(jù)的安全性��。這種特性對于移動用戶�����、通過寬帶連接的用戶、對敏感數(shù)據(jù)有更高安全要求的機構(gòu)的益處是顯而易見的����。
EFS可以被認(rèn)為除NTFS外的第二層防護,為訪問一個被加密的文件���,用戶必須有訪問到文件的NTFS權(quán)限����。在相關(guān)NTFS權(quán)限的用戶能看到文件夾中的文件����,但不能打開文件除非有相應(yīng)的解密密鑰。同樣��,一個用戶有相應(yīng)的密鑰但沒有相應(yīng)的NTFS權(quán)限也不能訪問到文件����。所以一個用戶要能打開加密的文件,同時需要NTFS權(quán)限和解密密鑰���。
EFS加密是基于公鑰策略的��。在使用EFS加密一個文件或文件夾時����,系統(tǒng)首先會生成一個由偽隨機數(shù)組成的FEK (File Encryption Key�����,文件加密鑰匙)��,然后將利用FEK和數(shù)據(jù)擴展標(biāo)準(zhǔn)X算法創(chuàng)建加密后的文件�,并把它存儲到硬盤上,同時刪除未加密的原始文件���。隨后系統(tǒng)利用用戶的公鑰加密FEK�����,并把加密后的FEK存儲在同一個加密文件中����。而在訪問被加密的文件時�,系統(tǒng)首先利用當(dāng)前用戶的私鑰解密FEK,然后利用FEK解密出文件��。
二、使用EFS的好處
EFS加密機制和操作系統(tǒng)緊密結(jié)合��,因此不必為了加密數(shù)據(jù)安裝額外的軟件�,節(jié)約了使用成本。訪問一個加密的文件不需要用戶任何的操作�����,而先前的第三方的文件加密工具需要用戶每次訪問文件時鍵入口令���,它們并沒有與文件系統(tǒng)或操作系統(tǒng)進行無縫地集成����。
EFS集成進文件系統(tǒng)���,因此一個惡意的用戶不能繞過文件系統(tǒng)訪問到硬盤�����,而且��,所有運行在內(nèi)核模式的EFS驅(qū)動程序不能由用戶直接訪問���。
EFS加密系統(tǒng)對用戶是透明的��。如果某用戶加密了一些數(shù)據(jù)�,那么該用戶對這些數(shù)據(jù)的訪問將是完全允許的���,并不會受到任何限制��。而其他非授權(quán)用戶試圖訪問加密過的數(shù)據(jù)時,就會收到“訪問拒絕”的錯誤提示����。EFS加密的用戶驗證過程是在登錄Windows時進行的,只要登錄到Windows�,就可以打開任何一個被授權(quán)的加密文件。
EFS密碼組結(jié)合了對稱加密(DESX)和非對稱加密(RSA)的優(yōu)點��,數(shù)據(jù)使用對稱加密進行加密��,優(yōu)于對數(shù)據(jù)使用非對稱加密(用這種方法僅FEK被加密)����。
Windows 的CryptoAPI體系允許用戶在智能卡上存取他們的私鑰,這比將鑰匙放在硬盤或軟盤上更為安全���,這也使多個位置訪問成為可能���。
三���、如何使用EFS加密
當(dāng)一個用戶使用EFS去加密文件時,必須存在一個公鑰和一個私鑰�,如果用戶沒有,EFS服務(wù)將會自動產(chǎn)生一對��。對于初級用戶來說����,即使他完全不懂加密,也能加密文件�����,可以對單個文件進行加密��,也可以對一個文件夾進行加密���,這樣所有寫入文件夾的文件將自動被加密���。
一旦用戶發(fā)布命令加密文件或試圖添加一個文件到一個已加密的文件夾中,EFS將進行以下幾步:
第一步:文件被拷貝到臨時文本文件,當(dāng)拷貝過程中發(fā)生錯誤時利用此文件進行恢復(fù)���。
第二步:文件被一個隨機產(chǎn)生的Key加密���,這個Key叫作文件加密鑰匙(FEK),F(xiàn)EK的長度為128位(僅US和Canada)�,這個文件使用DESX加密算法進行加密。
第三步:產(chǎn)生數(shù)據(jù)加密區(qū)域Data Decryptong Field(DDF)��,這個區(qū)域包含了使用RSA加密的FEK和用戶的公鑰���。
第四步:如果系統(tǒng)設(shè)置了加密的代理,EFS同時會創(chuàng)建一個數(shù)據(jù)恢復(fù)塊Data Recovery Field(DRF),然后把使用恢復(fù)代理密匙加密過的FEK放在DRF��。這個區(qū)域的目的是為了在用戶解密文件的過程中可能解密文件不可用(丟失Key����、離開公司等)。
第五步:包含加密數(shù)據(jù)��、DDF及所有DRF的加密文件被寫入磁盤�����。
第六步:在第一步中創(chuàng)建的文本文件被刪除。
下面的進程在數(shù)據(jù)被解密時發(fā)生:
第一步:使用DDF和用戶的私鑰解密FEK����。
第二步:使用FEK解密文件。
在恢復(fù)(未完�,下一頁)
|
|
相關(guān)專業(yè)論文
|
|
|
推薦專業(yè)論文
|
|
|
|
|
|