Krypterande filsystem
Encrypting File System ( EFS ) har ett system för filkryptering på NTFS - diskar under Windows NT- baserade operativsystem som Windows 2000 , Windows XP , Windows Vista , Windows 7 , Windows 8 och Windows 10 .
Denna förlängning gör det möjligt för filinnehållet att förbli konfidentiellt även om främlingar - t.ex. B. genom otillräckligt angivna eller ineffektiva åtkomsträttigheter eller genom stöld av databärare - få tillgång till dessa, eftersom de bara kan dekrypteras med lämplig nyckel.
funktionalitet
När en fil krypteras med EFS genererar systemet först en slumpmässig nyckel , den så kallade File Encryption Key (FEK), med vilken filen sedan krypteras med den symmetriska DES- krypteringsmetoden eller, med början med Windows XP SP1, med AES . FEK krypteras sedan med den asymmetriska RSA-algoritmen med användarens offentliga nyckel och lagras tillsammans med filen. Om filen ska läsas avkrypteras FEK med användarens hemliga nyckel för att återställa den klara texten i den krypterade filen.
Dataåterställning
En förlust av den hemliga nyckeln resulterar naturligtvis i förlusten av krypterad data. För att motverka detta problem finns det möjlighet att dessutom lagra FEK krypterad med en annan användares offentliga nyckel. Den här användaren, den så kallade Key Recovery Agent (KRA), är som standard administratör för den Windows-installation som används (endast Windows 2000). Från Windows XP måste denna KRA ställas in senare (chiffer / R: EFS-RA). Det är dock också möjligt att göra andra inställningar: Till exempel kan en central nyckelåterställningsagent ställas in i en hel Windows-nätverksdomän eller ingen nyckelåterställningsagent kan ställas in.
Fleranvändares användning av krypterade filer
Precis som för dataräddning är det också möjligt att spara FEK krypterad med flera användares offentliga nycklar så att gemensam åtkomst till krypterade filer möjliggörs i ett nätverk eller på en dator med flera användarkonton .
