浅谈EFS加密文件系统(一)
详细内容
摘要:EFS(加密文件系统)是微软操作系统提供的一个很好的文件加密机制。本文对Windows的NTFS文件系统所采用的EFS做了详细的分析,解释了EFS加密的概念,分析了使用EFS的好处,说明了进行EFS加解密的过程以及其存在的局限性。
关键词:NTFS;EFS加密
一、什么是EFS加密
EFS(Encrypting File System,加密文件系统)是Windows 2000/XP/VISTA所特有的一个实用功能,对于NTFS卷上的文件和数据,都可以直接被操作系统加密保存。如果硬盘上的文件已经使用EFS进行了加密,即使一个攻击者能访问到硬盘上,由于没有解密的密钥,文件也是不可用的,在很大程度上提高了数据的安全性。这种特性对于移动用户、通过宽带连接的用户、对敏感数据有更高安全要求的机构的益处是显而易见的。
EFS可以被认为除NTFS外的第二层防护,为访问一个被加密的文件,用户必须有访问到文件的NTFS权限。在相关NTFS权限的用户能看到文件夹中的文件,但不能打开文件除非有相应的解密密钥。同样,一个用户有相应的密钥但没有相应的NTFS权限也不能访问到文件。所以一个用户要能打开加密的文件,同时需要NTFS权限和解密密钥。
EFS加密是基于公钥策略的。在使用EFS加密一个文件或文件夹时,系统首先会生成一个由伪随机数组成的FEK (File Encryption Key,文件加密钥匙),然后将利用FEK和数据扩展标准X算法创建加密后的文件,并把它存储到硬盘上,同时删除未加密的原始文件。随后系统利用用户的公钥加密FEK,并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时,系统首先利用当前用户的私钥解密FEK,然后利用FEK解密出文件。
二、使用EFS的好处
EFS加密机制和操作系统紧密结合,因此不必为了加密数据安装额外的软件,节约了使用成本。访问一个加密的文件不需要用户任何的操作,而先前的第三方的文件加密工具需要用户每次访问文件时键入口令,它们并没有与文件系统或操作系统进行无缝地集成。
EFS集成进文件系统,因此一个恶意的用户不能绕过文件系统访问到硬盘,而且,所有运行在内核模式的EFS驱动程序不能由用户直接访问。
EFS加密系统对用户是透明的。如果某用户加密了一些数据,那么该用户对这些数据的访问将是完全允许的,并不会受到任何限制。而其他非授权用户试图访问加密过的数据时,就会收到“访问拒绝”的错误提示。EFS加密的用户验证过程是在登录Windows时进行的,只要登录到Windows,就可以打开任何一个被授权的加密文件。
EFS密码组结合了对称加密(DESX)和非对称加密(RSA)的优点,数据使用对称加密进行加密,优于对数据使用非对称加密(用这种方法仅FEK被加密)。
Windows 的CryptoAPI体系允许用户在智能卡上存取他们的私钥,这比将钥匙放在硬盘或软盘上更为安全,这也使多个位置访问成为可能。
三、如何使用EFS加密
当一个用户使用EFS去加密文件时,必须存在一个公钥和一个私钥,如果用户没有,EFS服务将会自动产生一对。对于初级用户来说,即使他完全不懂加密,也能加密文件,可以对单个文件进行加密,也可以对一个文件夹进行加密,这样所有写入文件夹的文件将自动被加密。
一旦用户发布命令加密文件或试图添加一个文件到一个已加密的文件夹中,EFS将进行以下几步:
第一步:文件被拷贝到临时文本文件,当拷贝过程中发生错误时利用此文件进行恢复。
第二步:文件被一个随机产生的Key加密,这个Key叫作文件加密钥匙(FEK),FEK的长度为128位(仅US和Canada),这个文件使用DESX加密算法进行加密。