Операция шифрования
Шифрование данных производится в следующем порядке:
- Незашифрованный файл пользователя шифруется с помощью случайно сгенерированного ключа шифрования файла (File Encryption Key, FEK).
- FEK шифруется с использованием открытой части пары ключей пользователя и сохраняется в поле дешифрования данных (Data Decryption Field, DDF).
- FEK дополнительно шифруется с помощью открытого ключа восстановления и сохраняется в поле восстановления данных (Data Recovery Field, DRF).
Использование отдельного ключа FEK для шифрования данных позволяет достичь высокой гибкости и безопасности. Такой подход обеспечивает возможность расшифровки файлов только владельцем или агентом восстановления, даже если открытый ключ пользователя скомпрометирован. Поскольку сам FEK хранится в зашифрованном виде, злоумышленник не сможет расшифровать данные без соответствующего приватного ключа.
После завершения процесса шифрования система автоматически сохраняет зашифрованные версии ключей в атрибутах NTFS. Это позволяет пользователям работать с файлами без необходимости вручную управлять ключами или вводить пароли при каждом обращении к зашифрованным данным. Такой механизм делает EFS удобным инструментом для защиты информации в среде Windows 2000.