Az Encrypting File System ( EFS ) egy olyan adattitkosítási rendszer , amely fájlszintű titkosítást valósít meg Microsoft Windows NT operációs rendszerekben ( Windows 2000 és újabb verzióktól kezdve), az "otthoni" verziók kivételével ( Windows XP Home Edition , Windows Vista Basic , Windows Vista Home Premium , Windows 7 Starter (Home Basic és Premium), Windows 10 Pro, Enterprise és Education kiadások, Windows Server 2016 , Windows Server 2019. Ez a rendszer lehetővé teszi a partíciókon tárolt adatok „ átlátszó titkosítását ” az NTFS segítségével. fájlrendszer, amely megvédi a potenciálisan érzékeny adatokat az illetéktelen hozzáféréstől, amikor fizikailag hozzáfér a számítógéphez és a meghajtókhoz.
Az NT-ben található felhasználói hitelesítés és erőforrás-engedélyek működnek az operációs rendszer indításakor, de lehetséges egy másik operációs rendszer elindítása a rendszer fizikai elérése közben, hogy megkerülje ezeket a korlátozásokat. Az EFS szimmetrikus titkosítást használ a fájlok védelmére, valamint nyilvános/privát kulcspáron alapuló titkosítást, hogy megvédje az egyes fájlok véletlenszerűen generált titkosítási kulcsát. Alapértelmezés szerint a felhasználó privát kulcsát felhasználói jelszavas titkosítás védi, az adatbiztonság pedig a felhasználó jelszavának erősségétől függ.
Az EFS úgy működik, hogy az egyes fájlokat szimmetrikus titkosítási algoritmussal titkosítja , amely az operációs rendszer verziójától és a beállításoktól függ (a Windows XP-től kezdve elméletileg lehetséges harmadik féltől származó könyvtárak használata adattitkosításra). Ez minden fájlhoz egy véletlenszerűen generált kulcsot használ, amelyet fájltitkosítási kulcsnak (FEK) neveznek, és ebben a szakaszban a szimmetrikus titkosítást választja az aszimmetrikus titkosításhoz viszonyított sebessége miatt.
A FEK (szimmetrikus titkosítási kulcs, minden fájlhoz véletlenszerű) aszimmetrikus titkosítással , a fájlt titkosító felhasználó nyilvános kulcsával és az RSA algoritmussal védett (elvileg más aszimmetrikus titkosítási algoritmusok is használhatók). Az így titkosított FEK az NTFS fájlrendszer alternatív adatfolyamában, $EFS tárolva van. Az adatok visszafejtéséhez a titkosított fájlrendszer-illesztőprogram transzparensen dekódolja a FEK-et a felhasználó privát kulcsával, majd a szükséges fájlt a visszafejtett fájlkulccsal.
Mivel a fájlok titkosítása / visszafejtése a fájlrendszer-illesztőprogram segítségével történik (valójában az NTFS bővítménye), átlátszó a felhasználó és az alkalmazások számára. Érdemes megjegyezni, hogy az EFS nem titkosítja a hálózaton keresztül továbbított fájlokat, ezért más adatvédelmi protokollokat ( IPSec vagy WebDAV ) kell használni a továbbított adatok védelmére.
Az EFS használatához a felhasználónak lehetősége van grafikus felfedező felület vagy parancssori segédprogram használatára.
A fájlt tartalmazó fájl vagy mappa titkosításához a felhasználó használhatja a fájl vagy mappa tulajdonságainak megfelelő párbeszédablakát a "tartalom titkosítása az adatok védelme érdekében" jelölőnégyzet bejelölésével vagy törlésével, míg a Windows XP-vel kezdődő fájlok esetén adja hozzá más felhasználók nyilvános kulcsait, akik szintén képesek lesznek visszafejteni ezt a fájlt, és dolgozni a tartalmával (ha rendelkeznek a megfelelő jogosultságokkal). Amikor titkosít egy mappát, a benne lévő összes fájl titkosításra kerül, csakúgy, mint azok, amelyek később kerülnek bele.
A Windows Intézővel végzett munka során lehetőség van (alapértelmezés szerint) a titkosított mappák és fájlok más (alapértelmezés szerint zöld) színben való megjelenítésére, ami lehetővé teszi az így védett tartalom vizuális megkülönböztetését. Amikor titkosított fájlokat másol olyan partícióra, ahol a titkosítás nem támogatott (például FAT32 fájlrendszerrel stb.), figyelmeztetés jelenik meg, hogy a fájl visszafejtésre kerül.
A rendszerleíró adatbázis szerkesztési módszerével lehetőség van „titkosítás” és „dekódolás” elemek hozzáadására az Explorer (és más, ezt a funkciót támogató fájlkezelők) helyi menüjéhez, ami növeli a munka kényelmét e funkciók gyakori használatával, amelyhez létre kell hoznia (vagy módosítania kell egy meglévő) Duplaszó típusú beállításjegyzék-beállítást EncryptionContextMenu, 00000001amely a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced.
Az EFS felhasználóval való együttműködéshez a parancssori felületet is használhatja - a titkosítási parancsot . Ha ezt a parancsot paraméterek nélkül hajtják végre, akkor az aktuális mappa tartalma U címkével jelenik meg a fájl előtt, ha az nincs titkosítva, és E címkével, ha titkosított.
A fájl/mappa titkosítási parancs így néz ki:
cipher /E <путь к папке>,A fájl/mappa visszafejtési parancsa így néz ki:
cipher /D <путь к папке>.Ez a segédprogram számos egyéb funkcióval is rendelkezik, amelyek listája a paranccsal érhető el cipher /?, beleértve a fájlok újratitkosítását új kulccsal, új titkosítási kulcs generálását, helyreállítási ügynök hozzáadását stb.
Fel nem használt terület feltakarításaFájl vagy mappa törlésekor nem történik meg az információ teljes fizikai törlése, csak a fájlrendszer „tartalomjegyzéke” törlődik. A titkosítási segédprogram használatával lehetséges a probléma részleges megoldása, mivel felülírással felszabadítható a szabad lemezterület. Ehhez a szintaxist kell használni
cipher /W <путь к любой папке на разделе, подлежащем очистке>.Az EFS-alkalmazásokkal és rendszerprogramokkal való munkához lehetőség van a Windows API dokumentált és nem dokumentált funkcióinak használatára.
Az EFS alrendszer a használt Windows NT operációs rendszer verziójától függően különböző szimmetrikus titkosítási algoritmusokat használ.
| Operációs rendszer | Alapértelmezett titkosítási algoritmus | Alternatív elérhető algoritmusok |
|---|---|---|
| Windows 2000 | DESX | (egyik sem) |
| Windows XP RTM | DESX | 3DES |
| Windows XP SP1 | AES | 3DES, DESX |
| Windows Server 2003 | AES | 3DES, DESX |
| Windows Vista | AES | 3DES, DESX |
| Windows Server 2008 | AES | 3DES, DESX(?) |
| Windows 7 Windows Server 2008 R2 |
Vegyes (AES, SHA és ECC) | 3DES, DESX |
| Windows 8 | ? | ? |
| Windows 10 | ? | ? |
| Fájlrendszerek ( lista , összehasonlítás ) | |||||||
|---|---|---|---|---|---|---|---|
| Korong |
| ||||||
| Elosztott (hálózat) | |||||||
| Különleges |
| ||||||