Windows中EFS加密及解密应用

    EFS特点简介

    Windows 2000/XP/Server 2003都配备了EFS（Encrypting File System，加密档案系统），它可以帮助您针对存储在NTFS磁盘卷上的文件和文件夹执行加密操作。如果硬盘上的文件已经使用了EFS进行加密，即使黑客能访问到你硬盘上的文件，由于没有解密的密钥，文件也是不可用的。

    EFS加密基于公钥策略。在使用EFS加密一个文件或文件夹时，系统首先会生成一个由伪随机数组成的FEK（File Encryption Key，文件加密钥匙），然后将利用FEK和数据扩展标准X算法创建加密后的文件，并把它存储到硬盘上，同时删除未加密的原始文件。接下来系统利用你的公钥加密FEK，并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时，系统首先利用当前用户的私钥解密FEK，然后利用FEK解密出文件。在首次使用EFS时，如果用户还没有公钥/私钥对（统称为密钥），则会首先生成密钥，然后加密数据。如果你登录到了域环境中，密钥的生成依赖于域控制器，否则它就依赖于本地机器。

    说起来非常复杂，但是实际使用过程中就没有那么麻烦了。EFS加密的用户验证过程是在登录Windows时进行的，只要登录到Windows，就可以打开任何一个被授权的加密文件。换句话说，EFS加密系统对用户是透明的。这也就是说，如果你加密了一些数据，那么你对这些数据的访问将是完全允许的，并不会受到任何限制。而其他非授权用户试图访问你加密过的数据时，就会收到“访问拒绝”的错误提示（图1）。



    注意，如果你要解密的文件比较大的话，那就需要使用注册版，否则无法破解。