Windows加密文件系统加密原理和解密方法研究.docVIP

Windows加密文件系统加密原理和解密方法研究 　　摘要：微软操作系统给用户提供了加密文件系统EFS用来加密数据。分析了EFS的加密原理，详细介绍了多种情形下的加密文件解密方法。 　　关键词：EFS；加密；解密；密码恢复 　　中图分类号：TP309文献标识码：A文章编号：1672-7800（2012）012-0153-03 　　作者简介：张林锋（1981-），男，硕士，95923部队工程师，研究方向为信息安全；王伟光（1972-），男，95923部队工程师，研究方向为通信安全；王维祥（1963-），男，95923部队高级工程师，研究方向为通信技术。0引言 　　微软自Windows 2000及以上Windows版本中推出加密文件系统（EFS：Encrypting File System），给用户提供在NTFS磁盘格式分区中文件加密功能，在企事业单位、公司中得到了广泛的应用，尤其是一台计算机多个用户使用时，很多人将涉及自己工作、生活隐私的文件进行EFS加密，防止他人窥探。加密文件系统在一定程度上对个人隐私提供保障的同时，也给用户带来了麻烦，当计算机用户口令丢失、操作系统崩溃、磁盘介质损坏时，这些加密文件一般来说就无法打开了。本文在深入分析加密原理的基础上，经过反复测试实验，对不同情形下加密文件的恢复方法进行了研究。 　　1EFS加密、解密操作 　　EFS 使用对称密钥和非对称密钥技术相结合的方法来提供文件的保护， 对称密钥用于加密文件， 非对称密钥中的公钥用于加密对称密钥。EFS 加密发生在文件系统层而不在应用层， 因此，其加密和解密过程对加密用户和应用程序是透明的。用户在使用加密文件时， 感觉与普通文件一样。需要注意的是，EFS只能对存储在NTFS磁盘格式分区的文件进行加解密，而且家庭版、简化版Windows系统是不支持的。 　　加密操作：在文件属性的“高级”属性对话框中勾选上“加密内容以便保护数据”完成加密， Windows默认设置下加密文件是彩色显示的。加密文件在未设置故障恢复代理的情况下，其他用户是无法打开、移动的。 　　解密操作：取消文件属性的“高级”属性对话框中的“加密内容以便保护数据”勾选完成解密，或者将加密文件剪切到FAT32分区中完成解密。 　　2EFS加密原理 　　当用户生成加密文件时， 随机密码产生器生成一个对称密钥FEK，既用作加密文件，又用作解密文件；EFS使用FEK加密文件中的数据，在Windows XP SP1、Windows Server 2003以上版本中默认使用AES加密算法；然后使用EFS用户证书中的公开密钥加密FEK得到数据解密域DDF（Data Decryption Fields），用户在第一次加密文件时，EFS产生一对新密钥，否则获取公/私密钥对；再使用数据恢复代理DRA（Data Recovery Agent）证书中的公钥加密FEK，由于数据恢复代理可有多个，所以可能存在多个不同DRA 证书中公钥加密的FEK，所有这些经DRA证书中公钥加密的FEK组合在一起得到数据恢复域DRF（Data Recovery Fields）；最后EFS将DDF、DRF作为加密文件头和经FEK加密的数据组合得到加密文件，其结构如图1所示。 　　为增强EFS的安全性，Windows继续增加了两层保护措施：首先用64字节的主密钥（MasterKey）对私钥进行加密，加密后的私钥保存在操作系统所在分区的“Documents and Settings/%username/Application Data/Microsoft/Crypto/RSA/%userSID%”目录中；然后使用账户密码生成的密钥加密主密钥，加密后的主密钥保存在“Documents and Settings/%username/Application Data/Microsoft/Protect/%userSID%”目录中；公钥保存在“Documents and Settings/%username/Application Data/Microsoft/SystemCertificates/MY/Certificates”目录中。这些文件都属于用户的配置文件，如果删除该用户时选择删除配置文件，则这些文件都会被系统删除。 　　可以看出，EFS加密实际形成了FEK加密文件数据—公钥加密FEK—主密钥加密私钥—用户密码加密主密钥的加密链，要想解密文件，必须获得用户密码，解密主密钥，用主密钥解密私钥，用私钥解密FEK，用FEK解密文件数据。 　　3EFS具体解密方法 　　EFS解密的关键点在加密用户的系统用户密码或者加密文件的私钥、账户配置文件，下面针对各种情形给出具体解密方法。 　　3.1设置故障恢复代理来解密其他用户加密文件 　　Windows