别把钥匙锁在家里——挖掘EFS文件私钥的藏身之处.docVIP

别把钥匙锁在家里——挖掘EFS文件私钥的藏身之处 从Windows 2000开始，Windows引入了加密文件系统(EFS)。EFS是一个很复杂的系统，对于广大用户来说，理解它的具体加密、解密和恢复是一个艰难的过程。我们下面会用一种比较利于理解的方式来简单地找到用户密钥在Windows XP Professional中存储的位置，帮助大家更形象地理解EFS，同时能更安全地使用EFS功能。 ? 必须要理解几个关键概念加密文件系统EFS (Encrypting File System)有一种错误理解，认为加密文件系统就是给文件加上密码，很多软件都可以实现。实际上，EFS是一种可以将敏感数据加密并存储在NTFS文件系统上面的技术，离开了NTFS文件系统它将无法实现。被加密的文件只能被特定用户访问，其他人无法使用。公钥和私钥EFS所用的加密技术是基于公钥(Public Key-based)的，并作为一个集成系统服务运行；它易于管理，不易受到攻击(如果是基于密码的保护措施会碰到暴力破解的威胁，比如:平时用WinZip给压缩包加密码，就是基于密码保护的)，并且对用户是透明的。如果用户要访问一个加密的NTFS文件，并且有这个文件的私钥，那么就能像打开普通文档那样打开这个文件，感觉不到它是加密的，而没有该文件私钥的用户将被拒绝对文件的访问。公钥(Public Key):EFS中公钥其实是用来加密数据的，就相当于自己家里的门锁(高科技的密码锁)，自己家里的门锁可以暴露在环境中，因为任何人都可以看到它。但如果不知道密码或没有钥匙就打不开它，所以暴露这个公钥在安全性方面没有问题。私钥(Private key):就是用来解密公钥那把锁的，也就是我们家里的门钥匙，这个私钥可不能随便泄露，不然让坏人盗走或者被复制，那么就很容易解密了。如果我们自己的私钥损坏或丢失了，那么同样不能打开自家的锁。 一、EFS加密信息的关键位置很多用户面对EFS时，只知道它能安全地保存公司的敏感数据，他们感觉这个EFS十分安全，而且使用起来也十分简单，只要右击文件或文件夹，在“属性”上面选择一下“EFS加密”的勾选就行了。实际上，EFS的关键因素有三个:1.用户私钥2.注册表中的信息3.SAM数据库u信息 二、最常见的加密问题常常会有朋友提问:我给硬盘的某个文件或文件夹加密后，重装了操作系统，怎么打开该文件或文件夹呢？在没有事先备份恢复代理v的证书并重装操作系统的情况下，EFS数据根本无法解密！上面提到的EFS三个关键因素，就像是一个互相作用的整体，这样导致了EFS脆弱容易损坏的特点，因为上面三个因素只要有一个环节失败了，那么整个EFS的用户部分都将失败，最终导致出现访问被拒绝的提示！实例:给Windows XP添加数据恢复代理对于Windows 2000的电脑，很多杂志已经介绍过添加数据恢复代理的方法，这里不再重复。但处于Workgroup(工作组)状态的Windows XP Professional的电脑，默认没有指定故障恢复代理，需要用户手动指定，指定故障恢复代理的方法如下:以管理员身份登录电脑，在命令行中输入“cipher /r:C:\dra”。这样就在C分区下面生成了dra.cer和dra.pfx文件(CER文件只包含证书，而PFX文件包含证书和密钥)。以将要指定恢复代理的账户登录系统(推荐使用管理员账户)，右击“dra.pfx”文件，选择“安装”，此后按照向导提示进行即可。在“运行”中输入“gpedit.msc”命令打开“组策略编辑器”，进入“计算机配置Windows设置安全设置公钥策略正在加密文件系统”菜单，在右侧窗口空白处右击，并选择“添加数据恢复代理”，然后会出现“添加故障恢复代理向导”。此后将向导定位到你的dra.cer的存储目录，本例为“C:”，以后按向导提示即可。这样数据恢复代理就已经添加完毕，现在管理员就是恢复代理了。小提示同样也可以设置其他用户为恢复代理。在设置了有效的恢复代理后，用恢复代理登录系统就可以直接解密文件。但如果在设置恢复代理前就加密过数据，那么恢复代理仍然无法打开这些数据。如果没有实现建立数据恢复代理，真的就无法解密文件了吗？本刊2002年曾经介绍过 三、查找私钥的位置在EFS文件加密白皮书中，讲述了这样一个工作机制:“EFS文件使用前不需要解密。当向磁盘存储和从磁盘读取数据时，加密和解密都是透明完成，你根本感觉不到。EFS自动检测加密文件，并从系统密钥存储区定位用户密钥。”“并从系统密钥存储区定位用户密钥”这句话很有意思，这个系统密钥存储区在哪里？要了解用户私钥，找到它的存储位置将是十分重要的。我们做这样一个实验:在一台基于Windows XP Professional(升级Hotfix到