Windows中EFS加密及解密套用
EFS加密的破解
在EFS加密體系中,資料是靠FEK加密的,而FEK又會跟用戶的公鑰一起加密儲存;解密的時候順序剛好相反,首先用私鑰解密出FEK,然後用FEK解密資料。可見,用戶的密鑰在EFS加密中起了很大作用。
密鑰又是怎麼來的呢?在Windows 2000/XP中,每一個用戶都有一個SID(Security Identifier,安全標幟符)以區分各自的身份,每個人的SID都是不相同的,並且有唯一性。
可以這樣理解:把SID想像為人的指紋,雖然同名同姓甚至同時出生的人很多,但世界上任意兩個人的指紋卻完全不同。因此,這具有唯一性的SID就保證了EFS加密的絕對安全和可靠。因為理論上沒有SID相同的用戶,因而用戶的密鑰也就絕不會相同。在第一次加密資料時,系統就會根據SID產生加密者(該用戶)的密鑰,並且會把公鑰及私鑰分開儲存,供用戶加密和解密資料使用。
許多人由此就認為使用EFS加密非常安全,可是現在網上有一款叫做Advanced EFS Data Recovery的軟體就可以破解EFS加密!不過使用該軟體有個前提,那就是硬碟上要保留有相應的密鑰,而且該軟體目前僅能破解經過Windows 2000加密的文件,對Windows XP的加密還無法破解,所以使用XP的朋友可以安心一段時間了。一段時間以後呢?我也不知道,我只知道世上沒有不透風的牆。大家可以從網上下載該軟體的試用版,試用版只能解密文件的前512字元。
現在,假設我們的Windows 2000安裝在C碟,事先用Administrators組的賬戶Work加密了一個文本文件efs1.txt。註銷該賬戶,用同屬於Administrators組的另一個賬戶Luck登入,直接開啟efs1.txt文件試試,看到「訪問拒絕」的錯誤提示了吧?這說明經過EFS加密後的文件非使用權用戶的確無法訪問。接下來執行Advanced EFS Data Recovery,在「EFS Related Files」標籤下點擊右側的「Scan For keys」,然後指定在C碟中掃瞄密鑰,圖中顯示為綠色的就是可用密鑰(圖6)。
然後點擊「Encrypted files」標籤,再點擊右側的「Scan for encrypted files」按鈕,在D碟上搜尋所有加密文件,會得到如圖所顯示的結果(圖7),其中的efs1.txt就是我們事先加密的文件,點擊「Save files」按鈕指定儲存的位置即可。開啟該檔案看看,沒有任何問題,該檔案已經被解密了。
|