XP/ Windows.net中,EFS可处理脱机文件和文件夹。
EFS的技术结构与原理
密钥和证书
EFS采用基于公钥的方案实现数据加密或解密,它使用标准x509证书,每一个受保护的文件都是被一个使用带有一定长度的文件加密密钥(FEK)的快速对称加密算法加密的(FEK的长度由算法或法则决定)。一个用户要访问一个已加密的文件,他必须拥有与公钥相适应的私钥。
加密与解密
文件转换是加密和解密文件的过程,它需要一个特殊的接口。即使在严重的失败产生时,数据在转换过程中仍然是不会丢失的,所以,EFS会备份没经过加密的原数据直到全部转换过程都已经完成。当EFS接到转换文件的请求时,它首先进行一系列的检查,这些检查包括文件是否可以加密以及是否有足够的磁盘空间进行加密。系统文件或在系统目录中的文件时不能被EFS加密的。如果经过检查说明文件可以被加密,EFS便产生一个文件加密密钥(FEK),对于FEK加密与解密,在微软公司发布的《Windows2000的加密文件系统白皮书》中对EFS加密原理作了以下描述:
FEK加密使用一个或多个密钥加密公钥,生成一个加密的 FEK 列表。用户密钥对的公共部分用来加密 FEK。加密的 FEK 列表与加密文件一起存储在一个特殊的 EF页码:[1] [2] [3] [4] [5] [6] [7] [8] [9] 第3页、共9页 |
