淺談ＥＦＳ加密文件系統(tǒng)

1、淺談加密文件體系摘要:efs加密文件體系是微軟操縱體系提供的一個很好的文件加密機制。本文對inds的ntfs文件體系所接納的efs做了詳細的闡發(fā)，說明白efs加密的觀點，闡發(fā)了利用efs的利益，說明白舉行efs加解密的歷程以及其存在的范圍性。關(guān)鍵詞:ntfs;efs加密一、什么是efs加密efsenryptingfilesyste，加密文件體系是inds2000/xp/vista所特有的一個實勤奮效，對付ntfs卷上的文件和數(shù)據(jù)，都可以直接被操縱體系加密保存。假設(shè)硬盤上的文件已經(jīng)利用efs舉行了加密，縱然一個打擊者能拜候到硬盤上，由于沒有解密的密鑰，文件也是不成用的，在很大程度上進步了數(shù)據(jù)的寧

2、靜性。這種特性對付挪動用戶、通過寬帶毗連的用戶、對敏感數(shù)據(jù)有更高寧靜要求的機構(gòu)的好處是顯而易見的。efs可以被以為除ntfs外的第二層防護，為拜候一個被加密的文件，用戶必需有拜候到文件的ntfs權(quán)限。在相干ntfs權(quán)限的用戶能看到文件夾中的文件，但不克不及翻開文件除非有相應(yīng)的解密密鑰。同樣，一個用戶有相應(yīng)的密鑰但沒有相應(yīng)的ntfs權(quán)限也不克不及拜候到文件。以是一個用戶要能翻開加密的文件，同時必要ntfs權(quán)限息爭密密鑰。efs加密是基于公鑰計謀的。在利用efs加密一個文件或文件夾時，體系起首會天生一個由偽隨機數(shù)構(gòu)成的fek(fileenryptinkey，文件加密鑰匙)，然后將利用fek和數(shù)據(jù)擴

3、展尺度x算法創(chuàng)立加密后的文件，并把它存儲到硬盤上，同時刪除未加密的原始文件。隨后體系利用用戶的公鑰加密fek，并把加密后的fek存儲在同一個加密文件中。而在拜候被加密的文件時，體系起首利用當(dāng)前用戶的私鑰解密fek，然后利用fek解密出文件。二、利用efs的利益efs加密機制和操縱體系精細結(jié)合，因此不必為了加密數(shù)據(jù)安裝分外的軟件，節(jié)省了利用本錢。拜候一個加密的文件不必要用戶任何的操縱，而先前的第三方的文件加密東西必要用戶每次拜候文件時鍵入口令，它們并沒有與文件體系或操縱體系舉行無縫地集成。efs集成進文件體系，因此一個惡意的用戶不克不及繞過文件體系拜候到硬盤，并且，全部運行在內(nèi)核形式的efs驅(qū)動

4、步伐不克不及由用戶直接拜候。efs加密體系對用戶是透明的。假設(shè)某用戶加密了一些數(shù)據(jù)，那么該用戶對這些數(shù)據(jù)的拜候?qū)⑹峭耆菰S的，并不會受到任何限定。而其他非授權(quán)用戶試圖拜候加密過的數(shù)據(jù)時，就會收到“拜候回絕的錯誤提示。efs加密的用戶驗證歷程是在登錄inds時舉行的，只要登錄到inds，就可以翻開任何一個被授權(quán)的加密文件。efs暗碼組結(jié)合了對稱加密desx和非對稱加密rsa的長處，數(shù)據(jù)利用對稱加密舉行加密，優(yōu)于對數(shù)據(jù)利用非對稱加密用這種要領(lǐng)僅fek被加密。inds的ryptapi體系容許用戶在智能卡上存取他們的私鑰，這比將鑰匙放在硬盤或軟盤上更為寧靜，這也使多個位置拜候成為大概。三、怎樣利用ef

5、s加密當(dāng)一個用戶利用efs去加密文件時，必需存在一個公鑰和一個私鑰，假設(shè)用戶沒有，efs辦事將會主動產(chǎn)生一對。對付低級用戶來說，縱然他完全不懂加密，也能加密文件，可以對單個文件舉行加密，也可以對一個文件夾舉行加密，如許全部寫入文件夾的文件將主動被加密。一旦用戶公布下令加密文件或試圖添加一個文件到一個已加密的文件夾中，efs將舉行以下幾步：第一步：文件被拷貝到暫時文本文件，當(dāng)拷貝歷程中產(chǎn)生錯誤時利用此文件舉行規(guī)復(fù)。第二步：文件被一個隨機產(chǎn)生的key加密，這個key叫作文件加密鑰匙fek，fek的長度為128位僅us和anada，這個文件利用desx加密算法舉行加密。第三步：產(chǎn)生數(shù)據(jù)加密地區(qū)dat

6、aderyptngfieldddf，這個地區(qū)包羅了利用rsa加密的fek和用戶的公鑰。第四步：假設(shè)體系設(shè)置了加密的署理,efs同時會創(chuàng)立一個數(shù)據(jù)規(guī)復(fù)塊datareveryfielddrf)，然后把利用規(guī)復(fù)署理密匙加密過的fek放在drf。這個地區(qū)的目的是為了在用戶解密文件的歷程中大概解密文件不成用喪失key、脫離公司等。第五步：包羅加密數(shù)據(jù)、ddf及全部drf的加密文件被寫入磁盤。第六步：在第一步中創(chuàng)立的文本文件被刪除。下面的歷程在數(shù)據(jù)被解密時產(chǎn)生：第一步：利用ddf和用戶的私鑰解密fek。第二步：利用fek解密文件。在規(guī)復(fù)署理規(guī)復(fù)文件的歷程中，同樣的歷程產(chǎn)生，除了在第一步中利用drf而不是d

7、df。別的還可以在下令行形式下用“ipher下令完成對數(shù)據(jù)的加密息爭密操縱，至于“ipher下令更詳細的利用方規(guī)那么可以通過在下令符后輸入“ipher/?并回車得到。留意事項：假設(shè)把未加密的文件復(fù)制到具有加密屬性的文件夾中，這些文件將會被主動加密。假設(shè)將加密數(shù)據(jù)移出來，假設(shè)挪動到ntfs分區(qū)上，數(shù)據(jù)仍舊保持加密屬性；假設(shè)挪動到fat分區(qū)上，這些數(shù)據(jù)將會被主動解密。被efs加密過的數(shù)據(jù)不克不及在inds中直接共享。假設(shè)通過網(wǎng)絡(luò)傳輸經(jīng)efs加密過的數(shù)據(jù)，這些數(shù)據(jù)在網(wǎng)絡(luò)大將會以明文的情勢傳輸。ntfs分區(qū)上保存的數(shù)據(jù)還可以被壓縮，不外一個文件不克不及同時被壓縮和加密。inds的體系文件和體系文件夾也

8、無法被加密。四、efs的范圍性寧靜性的增長陪同著消耗的增長，任何加密歷程都將會增長處置懲罰量和低落某些方面的性能，下面是關(guān)于在硬盤上加密文件的實驗效果。僅僅可以對存儲在磁盤上的文件舉行加密，而不是對網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)加密。必需應(yīng)用別的的加密要領(lǐng)，比方ipse，去實現(xiàn)寧靜網(wǎng)絡(luò)傳輸。主動病毒監(jiān)測不克不及掃描加密文件除非他們拜候到用戶的鑰匙。假設(shè)一個文件或硬盤被偷，惡意的用戶將有大概用大量的時間破譯加密數(shù)據(jù)，數(shù)據(jù)大概會被解密。efs僅僅事情在ntfs卷，如今efs在fat卷上不支持。efs如今利用desx作為它的加密算法，而更強健的加密得法已存在，微軟容許在將來的efs版本提供支持。假設(shè)體系文件被加密，體系將不克不及用，efs僅可以對數(shù)據(jù)文件加密。操縱體系必要引導(dǎo)的文件不克不及被加密，不然在開機的時間將不克不及拜候。界說太多的規(guī)復(fù)署理將影響性能。對每一個規(guī)復(fù)署理，fek公布被加密的同時創(chuàng)立一個drf，這將引起兩個題目：一是，為存儲多個drf必要大量的磁盤空間，二是，創(chuàng)立多個drf將消耗更多的時間和處置懲罰器資源。efs將增長體系辦理員的辦理，并且辦理加密鑰匙的地區(qū)黑白常緊張的。在加密歷程的第一步中創(chuàng)立的文本備份文件在歷程中以未加密的格式存在，惡意用戶大概在文