EFS 加密解密 之我论2007 年09 月10 日 星期一 下午 05:47 如果某个用户把自己的登录帐户删除,那么其他用户将无法访问其EFS 加密文件。更可恶的是,一旦公司里的某个用户心怀怨气,恶意加密了本属于别的用户的重要文件,将会导致严重问题。一般情况下,这些EFS 加密文件已经被判了死刑,但是实际上只要满足以下条件的话,我们还是可以在末日来临之前打开逃生的天窗: (1) 必须知道该被删帐户的密码。 (2) 该被删帐户的配置文件必须存在。如果使用“本地用户和组”管理单元删除帐户,则配置文件保留的机会很大,如果使用“用户帐户”控制面板删除帐户,则有一半机会保留配置文件。如果配置文件不幸被删,则只能祈祷可以借助 Easy Recovery之类的数据恢复工具进行恢复。 可能有些朋友会觉得这两个条件比较苛刻,此处卖个关子先„„ EFS 加密原理 大家知道,EFS 加密实际上综合了对称加密和不对称加密: (1) 随机生成一个文件加密密钥(叫做 FEK),用来加密和解密文件。 (2) 这个FEK 会被当前帐户的公钥进行加密,加密后的FEK 副本保存在文件$EFS 属性的DDF 字段里。 (3) 要想解密文件,首先必须用当前用户的私钥去解密FEK,然后用FEK 去解密文件。 看到这里,似乎 EFS 的脉络已经很清晰,其实不然,这样还不足于确保 EFS 的安全性。系统还会对 EFS 添加两层保护措施: (1) Windows 会用64 字节的主密钥(Master Key)对私钥进行加密,加密后的私钥保存在以下文件夹: %UserProfile%\Application Data\Microsoft\Crypto\RSA\SID 提示 Windows 系统里的各种私有密钥,都用相应的主密钥进行加密。Windows Vista 的BitLocker 加密,也用其主密钥对 FVEK(全卷加密密钥)进行加密。 (2) 为了保护主密钥,系统会对主密钥本身进行加密(使用的密钥由帐户密码派生而来),加密后的主密钥保存在以下文件夹: %UserProfile%\Application Data\Microsoft\Protect\SID 整个EFS 加密的密钥架构如图1 所示。 提示 EFS 密钥的结构部分,参考自《Windows Internals 4th》的第12 章。 回到“任务描述”部分所述的两个条件,现在我们应该明白原因了: (1) 必须知道该被删帐户的密码:没有帐户密码,就无法解密主密钥。因为其加密密钥是由帐户密码派生而来的。 提示 难怪 Windows XP 和 2000 不同,管理员重设帐户密码,也不能解密EFS 文件。 (2) 该被删帐户的配置文件必须存在:加密后的私...
