編輯室臺大首頁計中首頁
第0023期 • 2012.12.20發行
ISSN 2077-8813
歷史回顧 訂閱/取消 校務服務 專題報導   技術論壇 推薦刊物
首頁 > 專題報導
專題報導

利用加密檔案系統進行個人資料防護

作者:張文瀞 / 計算機及資訊網路中心程式設計組副理

現代人的生活幾乎離不開3C產品,在資訊化的辦公室中的任何作業也無時無刻都離不開電腦和網路。除了將資料存在電腦之外,利用隨身碟進行資料的傳遞或備份也是個非常方便的方式。然而將資料存在電腦裡或隨身碟安全嗎?如果不小心遺失了怎麼辦?本文將介紹您如何利用Windows作業系統加密檔案系統的功能保護您的寶貴資料!

前言
什麼是加密檔案系統(Encrypting File System, EFS)?加密檔案系統是 Windows作業系統的一項功能,這項功能利用將檔案加密格式存的方式保護資料的安全。這項功能最好用的特點是它的通透性(Transparency)。相較於其它一般常見的加密方法,使用者對於每一個加密過的檔案,通常需要輸入密碼解密,檢視或編輯之後必須要記得再進行一次加密,才能維持保密性,如果忘了,就會喪失這個檔案的保密性。利用EFS進行加密就可以省去這些繁瑣的工作,對於加密這個檔案的使用者而言,檔案加密前和加密後使用起來都是一樣的。也就是說,我們在使用檔案前,不需額外的解密動作,就可以直接開啟或進行變更;儲存變更後也不用額外的動作,作業系統就會對檔案自動進行加密。了解EFS的運作與基本操作後,資訊生活也可以既安全又便利!

簡介
雖然EFS是一項方便的功能,但是背後還是有個相當複雜的機制,為避免接下的操作發生問題,所以我們先就基本原理進行解說,然後對於重要的注意事項進行說明,最後才是操作步驟。

基本原理
數字加密的演算法基本上可分為對稱式跟非對稱式兩種:對稱式加解密用同一把鑰匙(Secrete Key);非對稱式則為一對金鑰,公開金鑰(Public Key)用以加密而私密金鑰(Secrete)用以解密。雖然對稱式快但不如非對稱式安全,如果以非對稱式演算法進行大量資料的資料加密又會慢到受不了,所以從聰明的工程師就以混用的方式:資料以對稱式的金鑰進行加密,然後再以公開金鑰對於這把金鑰進行加密保護。

EFS一種是基於公開金鑰(Public Key)的加密方法,所以系統中必須要準備一對非對稱金鑰。在使用EFS加密一個檔或資料夾時,作業系統首先會產生一個FEK (File Encryption Key,檔案加密鑰匙,對稱金鑰),然後將利用FEK將檔案加密,完成加密後,系統會利用電腦中你的公開金鑰對FEK加密,並把加密後的FEK存儲在同一個加密檔中,最後再刪除未加密的原始檔。在使用加密的檔案時,系統首先利用目前使用者的私密金鑰解密FEK,然後利用FEK將檔案內容解密。在第一次使用EFS時,如果使用者還沒有公開金鑰/私密金鑰對,系統會自動產生金鑰存放在「加密檔案系統憑證」,然後進行資料加密。

綜合以上,每個加密檔案都有自己的FEK,系統要透過「加密檔案系統憑證」的私鑰取出FEK才能還原檔案內容,而「加密檔案系統憑證」受目前使用者的帳號密碼保護存放在電腦的資料保護區。所以使用者只要輸入帳密登入系統後,剩下的事情就由作業系統自動做完,使用者不需再額外輸入任何帳密。由於「加密檔案系統憑證」只存放在使用者目前操作的電腦,因此如果您有一台以上的電腦要以隨身碟共用加密檔案時,您就必須自己將「加密檔案系統憑證」匯出後,再匯入到另一台電腦才能讀取這些加密檔。如果您的電腦損壞,卻又沒有備分「加密檔案系統憑證」時,原本在隨身碟上的加密檔也將無法讀取。

 

注意事項
(1) 檔案系統必須為NTFS才能進行加密(Figure 1),也就是說只有在NTFS 磁碟區上的檔案及資料夾才可以加密。如果將檔案複製或移動到不是 NTFS 的磁碟區上(Figure 2),加密檔案會變成解密檔案(Figure 3)。


Figure 1 NTFS的檔案系統


Figure 2 FAT32的檔案系統


Figure 3 複製到FAT32的隨身碟,系統顯示「無法加密資料夾」的警告訊息
 

(2) 加密檔案夾的辨識:如果在某個資料夾加密,所有在資料夾裡建立的檔案及子資料夾都會自動加密。加密的資料夾顏色會變得不一樣(綠色字體)。

(3) 系統檔案無法以EFS進行加密:如標示為系統屬性的檔案及 systemroot 目錄結構中的檔案。實驗:

mkdir dir1
attrib +S dir1 #設定為系統資料匣
對dir1進行加密,會產生錯誤訊息,存取被拒。

(4) 已加密的檔案,沒有密碼的人雖然看不到內容,但卻可以將檔刪除。
(5) 必須在同一台電腦上才能開啟加密檔案。
(6) 不用另外設定密碼,如果在其他電腦上只能看到資料夾目錄,不能看到檔案的內容。

  • 若將檔案複製後保護仍然存在。

  • 要備份加密金鑰,否則如果電腦掛掉,檔案就無法開啟了。

  • 對資料夾壓縮再加密,雖然可以看到該資料夾裡的檔案,但不能隨意新增修改檔案 (Read Only),但卻可以保護該資料夾目錄下的所有資料,相較之下,如果還需要針對個別檔案進行資料修改或新增的話,就比較不方便(Figure 4)。


Figure 4修改檔案後,要儲存內容會跳出警告訊息

操作步驟
1. 資料夾右鍵/內容

2. 一般/進階

3. 在加密內容,保護資料項打

4. 選擇只套用到此資料夾或套用到所有子資料夾及檔案後,按確定。

被設定為保護的項目檔案的顏色會變的不一樣。

5. 測試一下,如果將此加密檔案複製到其他電腦,要打開此檔案時,會跳出警告訊息,存取被拒。

6. 列出加密檔案: cipher /u
備份加密金鑰
電腦左下角開始\執行certmgr.msc (憑證管理中心)
憑證-目前的使用者/個人/憑證,會列出前目前這台電腦裡個人存放的憑證,加密的檔案也會在此顯示出來,如下圖的加密檔案系統這個檔案。



滑鼠右鍵/所有工作/匯出



跳出憑證匯出精靈視窗/下一步



選擇 是,匯出私密金鑰/下一步



個人資訊交換-PKCS#12(.PFX)(P)。此為系統預設值不用特別設定。



輸入密碼/下一步



輸入檔案名稱/下一步



成功地完成憑證匯出精靈



匯出成功



有了這個檔案除了可以用在原來的電腦的災難復原外,也可以將檔案安裝在另外一台電腦(PC2)。如此一來PC2也能夠順利的打開加密的檔案。
R 如何複製/安裝pfx 檔到另一台電腦(PC2)

1. 在檔案快速點兩下

2. 指定您想匯入的檔案/下一步

3. 輸入金鑰密碼/下一步

4. 使用系統預設值,自動根據憑證類型來選取憑證存放區。

5. 完成憑證匯入

6. 匯入成功

•測試是否安裝成功
利用本機測試,將EFS備份(含私密金鑰)後,在憑證管理中心將EFS 刪除。
必須先登出(不然電腦還是可以用快取中的私密金鑰)後再存取加密資料匣,會出現存取被拒的警告訊息。或者也可以利用隨身碟進行測試,但不可以用網路磁碟機測試,會有替代登入的問題 (Impersonate Problem)。
打開檔案,出現警告訊息。


結語
在科技進步的今日,將文件資料存在電腦或隨身碟甚至是外接硬碟都相當簡易而且便利,不但輕巧攜帶方便,讀取也非常容易;如做好個人資料保護,避免資料被竊取,更是重要,以免一時的疏忽而後悔莫及。

參考資料
http://en.wikipedia.org/wiki/Encrypting_File_System
http://technet.microsoft.com/zh-tw/library/dd571087(WS.10).aspx
http://windows.microsoft.com/zh-TW/windows7/What-is-Encrypting-File-System-EFS
 http://www.pczone.com.tw/vbb3/thread/3/124864/

版權所有 © 國立台灣大學計算機及資訊網路中心 AllRights Reserved.
電話:02-33665022 或 3366-5023 傳真: 02-23637204
讀者意見信箱:ntuccepaper@ntu.edu.tw
地址:10617 臺北市羅斯福路四段一號
建議最佳螢幕解析度 1024*768