EFS 는 디스크에 저장된 데이터만 암호화할 수 있습니다. 이는 안전한 로컬 정보 암호화 서비스입니다. EFS 는 핵심 파일 암호화 기술을 사용하여 NTFS 볼륨에 암호화된 파일을 저장합니다.
침입자가 민감한 데이터 (노트북, 하드 드라이브 등) 에 대한 무단 물리적 액세스를 방지합니다. ) 을 참조하십시오
EFS 는 어떻게 작동합니까
사용자가 EFS 를 사용하여 파일을 암호화할 때 공개 키와 개인 키가 있어야 합니다. 사용자가 없으면 EFS 서비스가 자동으로 쌍을 생성합니다. 초보 사용자의 경우 암호화를 전혀 이해하지 못하더라도 파일, 단일 파일 또는 폴더를 암호화할 수 있으므로 폴더에 기록된 모든 파일이 자동으로 암호화됩니다.
사용자가 파일 암호화 명령을 실행하거나 암호화된 폴더에 파일을 추가하려고 하면 EFS 는 다음 단계를 수행합니다.
첫 번째 단계: NTFS 는 먼저 파일이 있는 볼륨의 볼륨 정보 디렉토리 아래에 efs0.log 라는 로그 파일 (루트 아래에 숨겨져 있음) 을 만들어 복제 중 오류가 발생할 경우 복구에 사용합니다.
두 번째 단계: 그런 다음 EFS 가 CryptoAPI 장치 환경을 호출합니다. 장치 환경은 Microsoft 기본 암호화 공급자 1.0 을 사용하여 키를 생성합니다. 이 장치 환경이 열리면 EFS 는 FEK (파일 암호화 키) 를 생성합니다. FEK 의 길이는 128 비트 (미국 및 캐나다만 해당) 이며 DESX 암호화 알고리즘을 사용하여 암호화됩니다.
3 단계: 공개 키/개인 키 쌍 얻기; 이 키를 사용할 수 없는 경우 (EFS 가 처음 호출될 때) EFS 는 새 키 쌍을 생성합니다. EFS 는 1024 비트 RSA 알고리즘을 사용하여 FEK 를 암호화합니다.
4 단계 4: EFS 는 현재 사용자를 위한 DDF (데이터 암호 해독 블록) 를 만들고, FEK 는 여기에 저장한 다음 공개 키로 암호화합니다.
5 단계: 암호화 에이전트가 시스템에 설정된 경우 EFS 는 동시에 DRF (데이터 복구 필드) 를 만든 다음 복구 에이전트 키로 암호화된 FEK 를 DRF 에 배치합니다. 정의된 각 복구 에이전트에 대해 EFS 는 DRA (데이터 복구 에이전트) 를 생성합니다. Winxp 에는 에이전트를 복구할 수 있는 기능이 없으므로 이 단계는 없습니다. 이 영역의 목적은 사용자가 파일을 해독할 때 해독된 파일을 사용하지 못할 수 있다는 것입니다. 이러한 사용자를 복구 에이전트라고 합니다. 복구 에이전트는 도메인 보안 정책인 EDRP (encryption data recovery policy) 에 정의되어 있습니다. 도메인에 대한 EDRP 가 설정되지 않은 경우 로컬 EDRP 가 사용됩니다. 두 경우 모두 암호화가 발생할 때 EDRP 가 있어야 합니다 (따라서 하나 이상의 복구 에이전트가 정의됨). DRF 에는 RSA 가 암호화한 FEK 및 복구 에이전트의 공개 키가 포함되어 있습니다. EDRP 목록에 복구 에이전트가 여러 개 있는 경우 FEK 는 각 복구 에이전트의 공개 키로 암호화해야 하므로 각 복구 에이전트에 대해 DRF 를 만들어야 합니다.
6 단계: 암호화된 파일에는 암호화된 데이터, DDF 및 모든 DRF 가 디스크에 기록됩니다.
7 단계: 암호화된 파일과 같은 폴더 아래에 Efs0.tmp 라는 임시 파일을 작성합니다. 암호화할 내용이 이 임시 파일에 복사되고 원본 파일이 암호화된 데이터로 덮어쓰여집니다. 기본적으로 EFS 는 128 비트 DESX 알고리즘을 사용하여 파일 데이터를 암호화하지만, Windows 는 FIPS 알고리즘인 보다 강력한 168 비트 3DES 알고리즘을 사용하여 파일을 암호화할 수 있습니다.
8 단계: 1 단계에서 만든 텍스트 파일과 7 단계에서 생성된 임시 파일을 삭제합니다.
암호화 프로세스의 그림은/EFS/pic/attribute/EFS _ example.gif 를 참조하십시오.
자주색: EFS 속성 크기
하늘색: 컴퓨터 보안 식별자와 사용자 번호입니다. EFS 가 인증서를 저장하는 폴더를 지정합니다. 서류를 얻기 위해서.
폴더의 이름, EFS 는 몇 가지 변환을 수행합니다.
5a56b3781c365429a851ff09d040000-데이터가 $EFS 에 저장됩니다.
78b3565a29543619ff15a800004d0-변환 결과.
2025018970-69384732-167712168-/kloc-
S-1-5-21-2025018970-693384732-1677
결과 폴더는 다음과 같습니다.
% userprofile% \ application data \ Microsoft \ crypto \ RSA \ s-1-5-2/kloc-
핑크: 공개 키 특징
노란색: 개인 키 전역 고유 식별자 (컨테이너 이름이라고도 함). EFS 가 CryptoAPI 공급자로부터 장치 환경을 가져올 때 이 이름을 사용합니다. $EFS 속성에 DDF 가 하나뿐인 경우 $efs 에서 컨테이너 이름을 계산할 수 있습니다. 그러나 더 많은 사용자가 이 파일에 가입하면 (더 많은 DDF 와 DRF 가 있을 것), 개인 키의 글로벌 고유 식별자로는 모든 사용자를 저장할 수 없으며, 다른 사용자는 공개 키의 저장 특성에 따라 인증서에서 복구해야 합니다.
빨간색: 암호화 공급자 이름 (Microsoft base cryptographic provider v.1.0).
녹색: 사용자 이름, DDF 및 DRF 의 소유자입니다.
파란색: 암호화 FEK. 일반적으로 FEK 는 128 비트이지만 1024 비트의 RSA 키를 통해 암호화되면 길이는 1024 비트가 됩니다.