一直浑浑噩噩,也没怎么看新闻,直到那天Alan和Ken告诉我一个天大的八卦,“艳照门”事件。地球人都知道,我也没必要再废话了。就我而言,当事人选择怎么生活是当事人的事情,首要谴责的是泄露照片的人,虽然让娱乐圈大大的“娱乐”了一把,但是毕竟有违职业操守,侵犯了别人隐私。
其次要谴责的是保存照片的人,既然知道事关重大,就该好好重视信息安全。看来很有必要给大家普及计算机安全知识啊,哈哈。这就扯到今天的主题了,EFS的应用。
别忙关闭窗口。我知道你可能在Windows 2000的时代就用过EFS了,甚至还因为EFS丢过重要的文件。全都因为开始大家不了解EFS的工作方式,没有备份至关重要的证书私钥。经过我和好多MVP持之以恒的产品反馈,微软终于在Vista的时候改进了产品体验,有了备份证书的提示。更在Ultimate版本中通过Windows Vista Extra提供了在线的证书备份。并且,Vista和Windows Server 2008都采用了2048-bit的RSA私钥,有别于之前的2000和XP。更重要的一点,Vista可以使用SmartCard存储加密文件证书了。
为什么说这些呢。是酱紫,EFS需要证书的公私钥来进行文件的加密,而通常情况下,由于使用习惯,证书和相应的密钥往往和数据同时存在于一个磁盘上。如果像***一样拿本本去送修,我保证有2种以上的办法可以访问EFS加密的信息。所以,需要想别的办法。
有一样东西可以帮忙。eToken Pro是Aladdin公司的产品,外形像一个小U盘,实质上一个USB接口的SmartCard。估计和银行的U盾阿什么的是一样的。它的作用很多很多,例如实现多因子智能卡登录、应用程序的SSO、访问网站的WSO等等。如果有人有兴趣,我今后可以给大家介绍。在这里可以将这个小玩意和EFS结合起来,让你再也不怕身陷“XX门”。
它的机理是这样的,eToken的客户端能够监控PKI,监测有关CAPI的活动。当你第一次使用EFS的时候,系统会根据用户的SID自动产生一个加密文件证书。这个技术细节可以在很多介绍EFS的文章里找到详细描述。在这里要强调的是,由于eToken的客户端监视,将会自动把这个证书保存到eToken的SmartCard上。这时,你使用证书的管理控制台能够在“个人”分支下看到这个证书,也能够使用证书正常进行文件加密。可是,当你拔出eToken的时候,刷新一下管理控制台,证书不见了。
因为系统缓存了证书私钥,你仍然可以继续访问EFS加密内容。(系统在登录时会从证书文件读取有关内容到注册表)等你注销或者重启了,如果没有插上eToken,你会发现,EFS加密的文件无法访问了。
我们再设想一下,这时假如你的机器在修理人员那里修理,因为维修的原因可能他们还有你的用户和口令,但是,他们没有你的eToken上的证书,因此,他们无法访问EFS加密的内容。至于在本地没有证书的情况下能否借助工具访问EFS加密信息的问题,还需要等我有时间的时候进一步验证。印象里有关工具好像也是扫描磁盘上保存的证书来进行破解的。
以上内容适用于Windows XP环境,因为手头的eToken Pro firmware较早,只支持1024-bit的RSA密钥。害得我找了半天原因为啥Vista不能用。Vista环境的等我拿到新的eToken测试了再和大家聊。