NTFS下的EFS加密.pptVIP

对称体制、非对称体制优缺点DES RSA 密钥管理 密钥分配困难 简单 速度 DES比RSA算法快 对称体制、非对称体制的结合 会话过程中(常规通信)，用对称算法； 对称算法的密钥利用非对称体制进行分发。 对称体制、非对称体制的结合 数字信封(Digital Envelope) -信息发送者首先利用随机产生的对称密钥加密信息，再利用接收方的公钥加密对称密钥，被公钥加密后的对称密钥被称为数字信封。 在传递信息时，信息接收方要解密信息时，必须先用自己的私钥解密数字信封，得到对称密钥，才能利用对称密钥解密所得到的信息。 Windows中的文件加密EFS EFS (Encrypting File System) 操作系统用来加密NTFS格式卷上的文件和数据，提高了数据的安全性。 EFS工作原理-对称与非对称结合 EFS的优点 EFS是操作系统自带； 对用户是透明的；如果你加密了一些数据，那么你对这些数据的访问将是完全允许的，并不会受到任何限制；而其他非授权用户试图访问加密过的数据时-“访问拒绝” EFS加密的用户验证过程是在登录Windows时进行的，只要登录到Windows，就可以打开任何一个被授权的加密文件。 EFS工作过程 NTFS在System Volume Information 目录创建日志文件efs0.log。 EFS调用CryptoAPI设备环境. Microsoft Base Cryptographic Provider 1.0 ，EFS产生密钥(File Encryption Key FEK). 使用公/私密钥对; 当EFS第一次被调用时,EFS产生一对新的密钥.EFS使用1024位的RSA算法去加密FEK. EFS为当前用户创建一个数据解密块Data Decryptong Field(DDF), 存放公钥加密的FEK. 创建Efs0.tmp，要加密的内容被拷贝到这个临时文件,用FEK加密的密文将原始文件覆盖。(EFS使用DESX算法或者3DES算法，打开FIPS compliant algorithms )? 临时文件被删除 SID(security identifier ) 是标识用户、组和计算机帐户的唯一的号码。在第一次创建该帐户时，将给网络上的每一个帐户发布一个唯一的 SID。 在通常的情况下SID是唯一的，他由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。  公钥、私钥对产生 公钥、私钥对并不是在创建用户的时候生成； 而是第一次用EFS加密文件的时候，操作系统就会根据加密者的SID生成该用户的公钥、私钥对。 EFS应用问题 如果把未加密的文件复制到具有加密属性的文件夹中，这些文件将会被自动加密。 若是将加密数据移出来，如果移动到NTFS分区上，数据依旧保持加密属性；如果移动到FAT分区上，这些数据将会被自动解密。 被EFS加密过的数据不能在Windows中直接共享。如果通过网络传输经EFS加密过的数据，这些数据在网络上将会以明文的形式传输。 NTFS分区上保存的数据还可以被压缩，不过一个文件不能同时被压缩和加密。 Windows的系统文件和系统文件夹无法被加密。 EFS结合NTFS的权限 用户被删除或者系统重装后，还能可能够恢复EFS加密的数据吗？ 对称算法与非对称算法的结合 * $ EFS 属性  当NTFS加密文件的时候,它首先会为文件设置加密标志,然后在存储DDF的地方为文件创建一个$EFS属性. 帐户SID 私钥GUID信息 Microsoft Base Cryptographic Provider v.1.0 公钥的指纹信息 加密的FEK 系统在扫描加密文件$EFS属性中的DDF字段时， 根据用户配置文件里的公钥中所包含的公钥指纹和私钥GUID信息， 当然还有帐户的SID，来判断该帐户是否具有对应的DDF字段， 从而判断该用户是否属于合法的EFS文件拥有者。 Windows会用64字节的主密钥(Master Key)对私钥进行加密，保存在以下文件夹： %UserProfile%\Application Data\Microsoft\Crypto\RSA\SID 为了保护主密钥，系统会对主密钥进行加密(使用的密钥由帐户密码派生而来)， 加密后的主密钥保存在以下文件夹： %UserProfile%\Application Data\Microsoft\Protect\SID %UserProfile%\Application Da