│ 編輯室 │ 臺大首頁 │ 計中首頁 │

第0023期 ‧ 2012.12.20發行
ISSN 2077-8813

訂閱/取消

校務服務

專題報導

技術論壇

推薦刊物

首頁 > 專題報導

專題報導

利用加密檔案系統進行個人資料防護

作者：張文瀞 / 計算機及資訊網路中心程式設計組副理

現代人的生活幾乎離不開3C產品，在資訊化的辦公室中的任何作業也無時無刻都離不開電腦和網路。除了將資料存在電腦之外，利用隨身碟進行資料的傳遞或備份也是個非常方便的方式。然而將資料存在電腦裡或隨身碟安全嗎？如果不小心遺失了怎麼辦？本文將介紹您如何利用Windows作業系統加密檔案系統的功能保護您的寶貴資料！

前言
什麼是加密檔案系統(Encrypting File System, EFS)？加密檔案系統是 Windows作業系統的一項功能，這項功能利用將檔案加密格式存的方式保護資料的安全。這項功能最好用的特點是它的通透性(Transparency)。相較於其它一般常見的加密方法，使用者對於每一個加密過的檔案，通常需要輸入密碼解密，檢視或編輯之後必須要記得再進行一次加密，才能維持保密性，如果忘了，就會喪失這個檔案的保密性。利用EFS進行加密就可以省去這些繁瑣的工作，對於加密這個檔案的使用者而言，檔案加密前和加密後使用起來都是一樣的。也就是說，我們在使用檔案前，不需額外的解密動作，就可以直接開啟或進行變更；儲存變更後也不用額外的動作，作業系統就會對檔案自動進行加密。了解EFS的運作與基本操作後，資訊生活也可以既安全又便利！

簡介
雖然EFS是一項方便的功能，但是背後還是有個相當複雜的機制，為避免接下的操作發生問題，所以我們先就基本原理進行解說，然後對於重要的注意事項進行說明，最後才是操作步驟。

基本原理
數字加密的演算法基本上可分為對稱式跟非對稱式兩種：對稱式加解密用同一把鑰匙(Secrete Key)；非對稱式則為一對金鑰，公開金鑰(Public Key)用以加密而私密金鑰(Secrete)用以解密。雖然對稱式快但不如非對稱式安全，如果以非對稱式演算法進行大量資料的資料加密又會慢到受不了，所以從聰明的工程師就以混用的方式：資料以對稱式的金鑰進行加密，然後再以公開金鑰對於這把金鑰進行加密保護。

EFS一種是基於公開金鑰(Public Key)的加密方法，所以系統中必須要準備一對非對稱金鑰。在使用EFS加密一個檔或資料夾時，作業系統首先會產生一個FEK (File Encryption Key，檔案加密鑰匙，對稱金鑰)，然後將利用FEK將檔案加密，完成加密後，系統會利用電腦中你的公開金鑰對FEK加密，並把加密後的FEK存儲在同一個加密檔中，最後再刪除未加密的原始檔。在使用加密的檔案時，系統首先利用目前使用者的私密金鑰解密FEK，然後利用FEK將檔案內容解密。在第一次使用EFS時，如果使用者還沒有公開金鑰/私密金鑰對，系統會自動產生金鑰存放在「加密檔案系統憑證」，然後進行資料加密。

綜合以上，每個加密檔案都有自己的FEK，系統要透過「加密檔案系統憑證」的私鑰取出FEK才能還原檔案內容，而「加密檔案系統憑證」受目前使用者的帳號密碼保護存放在電腦的資料保護區。所以使用者只要輸入帳密登入系統後，剩下的事情就由作業系統自動做完，使用者不需再額外輸入任何帳密。由於「加密檔案系統憑證」只存放在使用者目前操作的電腦，因此如果您有一台以上的電腦要以隨身碟共用加密檔案時，您就必須自己將「加密檔案系統憑證」匯出後，再匯入到另一台電腦才能讀取這些加密檔。如果您的電腦損壞，卻又沒有備分「加密檔案系統憑證」時，原本在隨身碟上的加密檔也將無法讀取。

注意事項
(1) 檔案系統必須為NTFS才能進行加密（Figure 1），也就是說只有在NTFS 磁碟區上的檔案及資料夾才可以加密。如果將檔案複製或移動到不是 NTFS 的磁碟區上（Figure 2），加密檔案會變成解密檔案（Figure 3）。

Figure 1　NTFS的檔案系統

Figure 2 FAT32的檔案系統

Figure 3 複製到FAT32的隨身碟，系統顯示「無法加密資料夾」的警告訊息
　

(2) 加密檔案夾的辨識：如果在某個資料夾加密，所有在資料夾裡建立的檔案及子資料夾都會自動加密。加密的資料夾顏色會變得不一樣（綠色字體）。

(3) 系統檔案無法以EFS進行加密：如標示為系統屬性的檔案及 systemroot 目錄結構中的檔案。實驗：

mkdir dir1
attrib +S dir1 #設定為系統資料匣
對dir1進行加密，會產生錯誤訊息，存取被拒。

(4) 已加密的檔案，沒有密碼的人雖然看不到內容，但卻可以將檔刪除。
(5) 必須在同一台電腦上才能開啟加密檔案。
(6) 不用另外設定密碼，如果在其他電腦上只能看到資料夾目錄，不能看到檔案的內容。

若將檔案複製後保護仍然存在。
要備份加密金鑰，否則如果電腦掛掉，檔案就無法開啟了。
對資料夾壓縮再加密，雖然可以看到該資料夾裡的檔案，但不能隨意新增修改檔案 (Read Only)，但卻可以保護該資料夾目錄下的所有資料，相較之下，如果還需要針對個別檔案進行資料修改或新增的話，就比較不方便(Figure 4)。

Figure 4修改檔案後，要儲存內容會跳出警告訊息

操作步驟
1. 資料夾右鍵/內容

2. 一般/進階

3. 在加密內容，保護資料項打

4. 選擇只套用到此資料夾或套用到所有子資料夾及檔案後，按確定。

被設定為保護的項目檔案的顏色會變的不一樣。

5. 測試一下，如果將此加密檔案複製到其他電腦，要打開此檔案時，會跳出警告訊息，存取被拒。

6. 列出加密檔案: cipher /u
備份加密金鑰
電腦左下角開始\執行certmgr.msc (憑證管理中心)
憑證-目前的使用者/個人/憑證，會列出前目前這台電腦裡個人存放的憑證，加密的檔案也會在此顯示出來，如下圖的加密檔案系統這個檔案。

滑鼠右鍵/所有工作/匯出

跳出憑證匯出精靈視窗/下一步

選擇是，匯出私密金鑰/下一步

個人資訊交換-PKCS#12(.PFX)(P)。此為系統預設值不用特別設定。

輸入密碼/下一步

輸入檔案名稱/下一步

成功地完成憑證匯出精靈

匯出成功

有了這個檔案除了可以用在原來的電腦的災難復原外，也可以將檔案安裝在另外一台電腦(PC2)。如此一來PC2也能夠順利的打開加密的檔案。
�R 如何複製/安裝pfx 檔到另一台電腦(PC2)

1. 在檔案快速點兩下

2. 指定您想匯入的檔案/下一步

3. 輸入金鑰密碼/下一步

4. 使用系統預設值，自動根據憑證類型來選取憑證存放區。

5. 完成憑證匯入

6. 匯入成功

‧測試是否安裝成功
利用本機測試，將EFS備份(含私密金鑰)後，在憑證管理中心將EFS 刪除。
必須先登出(不然電腦還是可以用快取中的私密金鑰)後再存取加密資料匣，會出現存取被拒的警告訊息。或者也可以利用隨身碟進行測試，但不可以用網路磁碟機測試，會有替代登入的問題 (Impersonate Problem)。
打開檔案，出現警告訊息。

結語
在科技進步的今日，將文件資料存在電腦或隨身碟甚至是外接硬碟都相當簡易而且便利，不但輕巧攜帶方便，讀取也非常容易；如做好個人資料保護，避免資料被竊取，更是重要，以免一時的疏忽而後悔莫及。

參考資料
http://en.wikipedia.org/wiki/Encrypting_File_System
http://technet.microsoft.com/zh-tw/library/dd571087(WS.10).aspx
http://windows.microsoft.com/zh-TW/windows7/What-is-Encrypting-File-System-EFS
http://www.pczone.com.tw/vbb3/thread/3/124864/