2024年4月7日发(作者:)

浅谈EFS加密文件体系

摘要:efs〔加密文件体系〕是微软操纵体系提供的一个很好的文件加密机制。本

文对inds的ntfs文件体系所接纳的efs做了详细的阐发,说明白efs加密的观点,

阐发了利用efs的利益,说明白举行efs加解密的历程以及其存在的范围性。

关键词:ntfs;efs加密

一、什么是efs加密

efs〔enryptingfilesyste,加密文件体系〕是inds2000/xp/vista所特有的一个

实勤奋效,对付ntfs卷上的文件和数据,都可以直接被操纵体系加密保存。假设硬盘

上的文件已经利用efs举行了加密,纵然一个打击者能拜候到硬盘上,由于没有解密

的密钥,文件也是不成用的,在很大程度上进步了数据的宁静性。这种特性对付挪动

用户、通过宽带毗连的用户、对敏感数据有更高宁静要求的机构的好处是显而易见

的。

efs可以被以为除ntfs外的第二层防护,为拜候一个被加密的文件,用户必需有

拜候到文件的ntfs权限。在相干ntfs权限的用户能看到文件夹中的文件,但不克不

及翻开文件除非有相应的解密密钥。同样,一个用户有相应的密钥但没有相应的ntfs

权限也不克不及拜候到文件。以是一个用户要能翻开加密的文件,同时必要ntfs权限

息争密密钥。

efs加密是基于公钥计谋的。在利用efs加密一个文件或文件夹时,体系起首会

天生一个由伪随机数构成的fek(fileenryptinkey,文件加密钥匙),然后将利用fek

和数据扩展尺度x算法创立加密后的文件,并把它存储到硬盘上,同时删除未加密的

原始文件。随后体系利用用户的公钥加密fek,并把加密后的fek存储在同一个加密

文件中。而在拜候被加密的文件时,体系起首利用当前用户的私钥解密fek,然后利

用fek解密出文件。

二、利用efs的利益

efs加密机制和操纵体系精细结合,因此不必为了加密数据安装分外的软件,节

省了利用本钱。拜候一个加密的文件不必要用户任何的操纵,而先前的第三方的文件

加密东西必要用户每次拜候文件时键入口令,它们并没有与文件体系或操纵体系举行

无缝地集成。

efs集成进文件体系,因此一个恶意的用户不克不及绕过文件体系拜候到硬盘,

并且,全部运行在内核形式的efs驱动步伐不克不及由用户直接拜候。

efs加密体系对用户是透明的。假设某用户加密了一些数据,那么该用户对这些

数据的拜候将是完全容许的,并不会受到任何限定。而其他非授权用户试图拜候加密

过的数据时,就会收到“拜候回绝〞的错误提示。efs加密的用户验证历程是在登录

inds时举行的,只要登录到inds,就可以翻开任何一个被授权的加密文件。

efs暗码组结合了对称加密〔desx〕和非对称加密〔rsa〕的长处,数据利用对称

加密举行加密,优于对数据利用非对称加密〔用这种要领仅fek被加密〕。

inds的ryptapi体系容许用户在智能卡上存取他们的私钥,这比将钥匙放在硬盘

或软盘上更为宁静,这也使多个位置拜候成为大概。

三、怎样利用efs加密

当一个用户利用efs去加密文件时,必需存在一个公钥和一个私钥,假设用户没

有,efs办事将会主动产生一对。对付低级用户来说,纵然他完全不懂加密,也能加

密文件,可以对单个文件举行加密,也可以对一个文件夹举行加密,如许全部写入文

件夹的文件将主动被加密。

一旦用户公布下令加密文件或试图添加一个文件到一个已加密的文件夹中,efs

将举行以下几步:

第一步:文件被拷贝到暂时文本文件,当拷贝历程中产生错误时利用此文件举行

规复。

第二步:文件被一个随机产生的key加密,这个key叫作文件加密钥匙〔fek〕,

fek的长度为128位〔仅us和anada〕,这个文件利用desx加密算法举行加密。

第三步:产生数据加密地区dataderyptngfield〔ddf〕,这个地区包罗了利用

rsa加密的fek和用户的公钥。

第四步:假设体系设置了加密的署理,efs同时会创立一个数据规复块

datareveryfield〔drf),然后把利用规复署理密匙加密过的fek放在drf。这个地区

的目的是为了在用户解密文件的历程中大概解密文件不成用〔丧失key、脱离公司

等〕。

第五步:包罗加密数据、ddf及全部drf的加密文件被写入磁盘。

第六步:在第一步中创立的文本文件被删除。

下面的历程在数据被解密时产生:

第一步:利用ddf和用户的私钥解密fek。

第二步:利用fek解密文件。

在规复署理规复文件的历程中,同样的历程产生,除了在第一步中利用drf而不

是ddf。

别的还可以在下令行形式下用“ipher〞下令完成对数据的加密息争密操纵,至于

“ipher〞下令更详细的利用方规那么可以通过在下令符后输入“ipher/?〞并回车得

到。

留意事项:假设把未加密的文件复制到具有加密属性的文件夹中,这些文件将会

被主动加密。假设将加密数据移出来,假设挪动到ntfs分区上,数据仍旧保持加密属

性;假设挪动到fat分区上,这些数据将会被主动解密。被efs加密过的数据不克不

及在inds中直接共享。假设通过网络传输经efs加密过的数据,这些数据在网络大将

会以明文的情势传输。ntfs分区上保存的数据还可以被压缩,不外一个文件不克不及

同时被压缩和加密。inds的体系文件和体系文件夹也无法被加密。

四、efs的范围性

宁静性的增长陪同着消耗的增长,任何加密历程都将会增长处置惩罚量和低落某

些方面的性能,下面是关于在硬盘上加密文件的实验效果。

仅仅可以对存储在磁盘上的文件举行加密,而不是对网络上传输的数据加密。必

需应用别的的加密要领,比方ipse,去实现宁静网络传输。

主动病毒监测不克不及扫描加密文件除非他们拜候到用户的钥匙。

假设一个文件或硬盘被偷,恶意的用户将有大概用大量的时间破译加密数据,数

据大概会被解密。

efs仅仅事情在ntfs卷,如今efs在fat卷上不支持。

efs如今利用desx作为它的加密算法,而更强健的加密得法已存在,微软容许在

将来的efs版本提供支持。

假设体系文件被加密,体系将不克不及用,efs仅可以对数据文件加密。操纵体

系必要引导的文件不克不及被加密,不然在开机的时间将不克不及拜候。

界说太多的规复署理将影响性能。对每一个规复署理,fek公布被加密的同时创

立一个drf,这将引起两个题目:一是,为存储多个drf必要大量的磁盘空间,二

是,创立多个drf将消耗更多的时间和处置惩罚器资源。

efs将增长体系办理员的办理,并且办理加密钥匙的地区黑白常紧张的。

在加密历程的第一步中创立的文本备份文件在历程中以未加密的格式存在,恶意

用户大概在文件存在时拜候到这个文件。

五、结论

对inds操纵体系efs是一个受接待的附加成效,它对用户是透明的操纵,有助于

淘汰物理宁静的伤害,任何的宁静技能,都有其范围性和题目,不克不及防范全部的

题目,但作为全面的宁静计谋的一部门,efs对制止未授权的用户检察敏感数据是一

个非常有效的东西。