S 属性中,该属性称为数据加密字段 (DDF)。文件加密信息与文件紧密地捆绑在一起。用户密钥对的私有部分在解密过程中使用。FEK 是通过使用密钥对的私有部分进行解密的。用户密钥对的私有部分安全地存放在别的地方,如智能卡或其它安全存储设备上。
FEK 也使用一个或多个恢复密钥加密公钥进行加密。再者,每个密钥对的公共部分用来加密 FEK。此加密的 FEK 列表与文件一起存储在一个特殊的 EFS 属性中,该属性称为数据恢复字段 (DRF)。加密 DRF 中的 FEK,只需要恢复密钥对的公共部分。在正常文件系统操作中,要求这些公共恢复密钥始终在 EFS 系统上。恢复本身一般很少用到,只是当用户离开公司或者丢失密钥时才使用。正因为如此,恢复代理可以将密钥的私有部分安全地存放到别的地方(智能卡或其它安全的存储设备上)。{1}
然后,EFS将在相应的文件夹建立一个临时文件。每一个源文件数据流都以备份用途被复制到这个临时文件中,源文件被缩短并且EFS读取这个临时文件中的数据并将它们写入原始文件,由于EFS加密是透明的,因而在实际写入磁盘前,EFS便已将数据加密。当所有数据被写入原始文件以及EFS证明了文件已加密后,EFS才会删除这个临时文件。如果转换失败或转换过程中发生错误,EFS会在删除临时文件前将试图加密的文件恢复到原始状态。
页码:[1] [2] [3] [4] [5] [6] [7] [8] [9] 第4页、共9页 |
