¿Qué significa EFS?

EFS es la abreviatura de Encrypted File System, que es adecuada para particiones en formato NTFS5 (no compatible con Windows XP Home) en sistemas operativos superiores a Windows 2000.

EFS solo puede cifrar datos almacenados en el disco. Este es un servicio de cifrado de información local seguro. EFS utiliza tecnología central de cifrado de archivos para almacenar archivos cifrados en volúmenes NTFS.

Evita que intrusos accedan físicamente a datos confidenciales (robo de portátiles, discos duros, etc.) sin permiso. )

Cómo funciona EFS

Cuando los usuarios utilizan EFS para cifrar archivos, deben tener una clave pública y una clave privada. Si el usuario no tiene uno, el servicio EFS generará automáticamente un par. Para los usuarios novatos, incluso si no entienden nada de cifrado, pueden cifrar archivos, ya sea un solo archivo o una carpeta, de modo que todos los archivos escritos en la carpeta se cifrarán automáticamente.

Una vez que el usuario emite un comando para cifrar un archivo o intenta agregar un archivo a una carpeta cifrada, EFS seguirá los siguientes pasos:

Paso 1: NTFS primero cifra el archivo en el volumen donde se encuentra el archivo Cree un archivo de registro llamado efs0.log en el directorio de información (este directorio está oculto en el directorio raíz) y use este archivo para recuperarse cuando ocurra un error durante el proceso de copia.

Paso 2: Luego, EFS llama al entorno del dispositivo CryptoAPI. El entorno del dispositivo utiliza Microsoft Basic CryptoProvider 1.0 para generar claves. Cuando se abre este contexto de dispositivo, EFS genera la FEK (clave de cifrado de archivos). La longitud del FEK es de 128 bits (solo EE. UU. y Canadá) y el archivo se cifra mediante el algoritmo de cifrado DESX.

Paso 3: Obtenga un par de claves pública/privada; si esta clave no está disponible (cuando se llama a EFS por primera vez), EFS genera un nuevo par de claves. EFS utiliza el algoritmo RSA de 1024 bits para cifrar FEK.

Paso 4: EFS crea un bloque de descifrado de datos (DDF) para el usuario actual, la FEK se almacena aquí y luego se cifra con la clave pública.

Paso 5: Si se configura un agente de cifrado en el sistema, EFS también creará un campo de recuperación de datos (DRF) y luego colocará la FEK cifrada con la clave del agente de recuperación en el DRF. Para cada agente de recuperación definido, EFS creará un agente de recuperación de datos (DRA). Winxp no tiene una función de agente de recuperación, por lo que este paso no está disponible. El propósito de esta área es que cuando el usuario descifre un archivo, es posible que el archivo descifrado no esté disponible. Estos usuarios se denominan agentes de recuperación. Los agentes de recuperación se definen en EDRP (Política de recuperación de datos cifrados), una política de seguridad de dominio. Si el EDRP del dominio no está configurado, se utiliza el EDRP local. En cualquier caso, EDRP debe estar presente cuando se produce el cifrado (para que se defina al menos un agente de recuperación). El DRF contiene la FEK cifrada por RSA y la clave pública del agente de recuperación. Si hay varios agentes de recuperación en la lista EDRP, la FEK debe cifrarse con la clave pública de cada agente de recuperación, por lo que se debe crear un DRF para cada agente de recuperación.

Paso 6: El archivo cifrado, incluidos los datos cifrados, DDF y todos los DRF, se escriben en el disco.

Paso 7: Cree un archivo temporal llamado Efs0.tmp en la carpeta donde se encuentra el archivo cifrado. El contenido que se va a cifrar se copiará en este archivo temporal y luego el archivo original se sobrescribirá con los datos cifrados. De forma predeterminada, EFS utiliza el algoritmo DESX de 128 bits para cifrar los datos de los archivos, pero Windows también permite el algoritmo 3DES de 168 bits más potente para cifrar archivos, que es el algoritmo FIPS.

Paso 8: Elimina el archivo de texto creado en el paso 1 y el archivo temporal generado en el paso 7.

Para ver imágenes del proceso de cifrado, consulte /EFS/PIC/Attribute/EFS_example.gif.

Morado: Tamaño del atributo EFS

Azul cielo: Identificador de seguridad informática y número de usuario. Especifica la carpeta donde EFS almacena los certificados. Para conseguir los documentos.

El nombre de la carpeta, EFS hará algunas conversiones.

5a 56b 378 1c 365429 a 851ff 09d 040000 - Datos almacenados en $EFS.

78b 3565 a 29543619ff 15a 8000004d 0-Resultado convertido.

2025018970-69384732-167712168-1232 - Convertir a decimal.

s-1-5-21-2025018970-693384732-167712168-1232 - más el prefijo del identificador de seguridad.

La carpeta generada es:

% perfil de usuario %\application data\Microsoft\Crypto\RSA\S-1-5-21-2025018970-693384732167712168-1232 \

p>

Rosa: Características de la clave pública

Amarillo: Identificador único global de la clave privada (también llamado nombre del contenedor). Este nombre se utiliza cuando EFS obtiene el contexto del dispositivo del proveedor CryptoAPI. Si el atributo $EFS tiene solo un DDF, el nombre del contenedor se puede calcular a partir de $efs. Pero cuando más usuarios se unen a este archivo (habrá más DDF y DRF), el identificador único global de la clave privada no se puede guardar para todos los usuarios, y otros deben restaurarse desde el certificado de acuerdo con las características de almacenamiento de la clave pública.

Rojo: El nombre del proveedor de cifrado (proveedor criptográfico base de Microsoft v. 1.0).

Verde: nombre de usuario, propietario de DDF y DRF.

Azul: FEK cifrado. Normalmente, la FEK es de 128 bits, pero después de cifrarse con una clave RSA de 1024 bits, su longitud pasa a ser de 1024 bits.