EFS檔案加密技術

一、加密過程：1系統由僞随機數生成的加密密鑰加密檔案；2  用公鑰加密加密密鑰并将生成的檔案和加密檔案放在一起。

二、解密過程：1用私鑰解密加密密鑰；2用解開的加密密鑰解密加密後的檔案。

三、存儲位置：/username/Application Data/ Microsoft/SystemCertificates/My/Certificates 檔案夾中；私鑰存儲在 /Documents and Settings/username/Application Data/Microsoft/Crypto/RSA 檔案夾中。

下面是微軟官方網站的一些解釋：

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

當您的使用者發現加密檔案系統的奇妙之處時，他決定删除一些最不重要的檔案，使其從大家的視線中消失。您的一個使用者—讓我們稱他為 Bob—正艱難地解密一份重要的公司備忘錄的草案，而他必須在一小時之内把它發送出去。幾分鐘後，您接到 CFO（首席财務官）打來的電話。這位 CFO 剛剛添置了一台全新的便攜式計算機，但是卻無法再對他的财務報告進行解密。就算您多吃兩片阿司匹林，也不頂用。

EFS 恢複的工作原理

EFS 使用公鑰（非對稱）加密和對稱加密。非對稱加密的加密模式有兩個不同的密鑰，一個用來對資料進行加密，另一個用來對資料進行解密。而在對稱加密中，您可以使用相同的密鑰來加密和解密資料。與公鑰相比，對稱加密更難于進行安全管理，這是因為加密模式（尤其是密鑰！）中的任何一個方面都不能公開。然而，對稱加密在處理器上更容易實作，這是因為其運算速度比非對稱加密大約快了 100 到 1000 倍。EFS 結合了這兩種方法，進而同時實作了高性能和高安全性。

當一個新檔案被加密時，EFS 服務就會給檔案加上專用鎖，并生成檔案加密密鑰（File Encryption Key，FEK）。FEK 屬于對稱密鑰，是以既能用于加密檔案，又能用于解密檔案。FEK 僅對該檔案有效。一旦生成 FEK，檔案就被加密了。然後，EFS 定位使用者的公鑰，用它來加密 FEK，并在加密檔案的檔案頭中的資料加密區（DDF）中儲存加密的 FEK。

當使用者想要解密檔案時，EFS 就取回使用者的私鑰，然後用它來解密存放在檔案頭的 DDF 中的 FEK，最後用該 FEK 解密檔案。

注意到，檔案的密鑰不直接依賴于使用者，事實上，EFS 能在檔案頭中儲存多個 DDF，這樣将 允許多個使用者對檔案進行加密，每個 DDF 都包含有相同的密鑰，都經不同使用者的公鑰加密過。

措施：通過系統的頁面檔案可能會洩漏一些敏感的資料，不過，這很容易避免：打開便攜式電腦，關掉休眠，確定在機器關閉時 Windows 删除了頁面檔案。

資料修復代理人

除了儲存 DDF 之外，EFS 還給每個被指定為 資料修復代理人（Data Recovery Agent，DRA）的使用者帳戶儲存一個資料恢複區（DRF）。為了達到我們的目的，DDF 和 DRF 采用相同的行為，惟一的不同之處在于，DDF 在檔案級上加以确定，而本地計算機或域中的所有檔案都有共同的 DRF。這樣一來，即使使用者丢失了他的主鑰，受信任的管理者也可以解密檔案。在 Windows XP 中，不再需要 EFS。FEK 僅僅被儲存在檔案頭的 DDF 和 DRF 中。假如檔案僅有一個 DDF，而沒有 DRF，那麼就隻有該使用者可以解密此檔案。雖然這種方式很安全，但是也存在危險，如果使用者丢失了他們的私鑰，檔案就再也找不回來了。

為了充分保護您的資料，您應該至少使用一個 DRA。這在 Windows2000 域的計算機中可自動完成。如果您不使用 Windows 域，您仍然能夠按照這些指導來為 EFS 檔案指定 DRA。

備份加密資料

備份加密檔案與備份任何其他檔案一樣容易。因為 FES 與檔案存儲在一起，是以當您備份檔案時，不需要采取任何特殊的防範措施。然而，如果您不把檔案還原到授權使用者能使用他們的私鑰的域或者本地計算機上，您還是無法對其進行解密。

備份公鑰和私鑰對以及公鑰證書也很重要。公鑰和公鑰證書存儲在使用者配置的 /username/Application Data/ Microsoft/SystemCertificates/My/Certificates 檔案夾中。私鑰存儲在 /Documents and Settings/username/Application Data/Microsoft/Crypto/RSA 檔案夾中。和 RSA 檔案夾中存儲的所有資料一樣，私鑰通過使用者的主密鑰進行加密。因為密鑰對和證書被存儲在使用者的配置檔案中，是以在備份配置檔案時，也就備份了密鑰對和證書。

此外，密鑰對和證書—包括所有的 DRA 密鑰—都可以導出到可移動媒體并儲存在安全的位置。注意，任何人隻要擁有 DRA 密鑰，就能解密 DRA 所能解密的任何東西。是以，将這些密鑰及其備份媒體儲存在安全的位置，非常重要。

恢複使用者對資料的通路

恢複通路由儲存所要恢複的資料的計算機中有效的恢複政策進行控制。對于不在域中的獨立計算機，您可以在本地計算機上設定恢複政策。如果您的計算機加入了某個域，您就可以通過組政策（Group Policy）機制來設定域的 EFS 恢複政策；這可以控制誰具有擔當整個域中的計算機的修復代理人的權限。無論如何，使用者之是以不能解密檔案，是因為他們不具有使用自己私鑰的權限。解決這個問題的最好方法是盡可能幫助使用者找回他們的密鑰，為此，您可以通過恢複使用者配置檔案或導入他們的密鑰和證書。一旦使用者有權使用他們的密鑰，他們就能夠通過解密他們的檔案中的 DDF 來重新獲得 FEK。如果使用者的密鑰備份無效，那麼資料修復代理人可以将密鑰導入到使用者的計算機中，也可以将加密檔案還原到一台計算機中，在這台計算機上存儲着解密使用者的檔案的 DRA 密鑰對。為了使之有效，您可能需要使用efsinfo 實用程式來查明為檔案所指定的 DRA。

如果您不能恢複使用者密鑰，但是您具有使用 DRA 密鑰的權限，則實際的恢複過程非常簡單：将檔案移到一台擁有該 DRA 的私鑰的計算機上，在資料總管中找到此檔案，單擊滑鼠右鍵，打開“屬性”對話框，再切換到“正常”頁籤，單擊“進階”按鈕，去掉“加密内容以便保護資料的安全”前面的勾。這就您需要做的全部事情！

在得到這個最新的消息之後，您可以很從容地徑直穿過大廳，來到首席财務官的辦公室，在那裡，您将發現她登入本地工作站時并沒有使用域帳戶。了解到她的密鑰存儲在舊的本地配置檔案中，您馬上給 IT 部門打電話，看一看她的舊便攜式計算機是否還可用。但不幸的是，舊電腦已經被清理了。由于首席财務官總沒有耐心等您恢複她的備份便攜式電腦來重新獲得她的配置檔案，是以您将自己的 DRA 加載到她的便攜式計算機上并幫她解密檔案。如果做到了這些，您就可以确信，從現在起她一定能登入到域中了。然後，您就可以悠閑地走到備忘錄作者的工作間裡，找到已經被破壞的配置檔案。再次給 IT 部門打電話，幫助恢複他的配置檔案，這樣他就能夠及時将備忘錄發送出去！接着，您回到您的辦公桌旁，馬上送出一份要求加薪的報告吧。

如果您想知道更多關于 EFS 的工作原理以及設計 EFS 恢複政策來滿足您的要求，請查閱 http://www.microsoft.com 上的“資料保護和恢複白皮書”和“Windows XP 資源工具包”的第17章。