Mã hóa dữ liệu bằng tính năng EFS

nktung · 25/04/2015

Chắc nhiều bạn đã biết đến tính năng EFS trên windows (Encrypt File Service): khi dữ liệu đã được mã hóa bằng EFS thì chỉ có thể được truy cập và sử dụng bằng chính tài khoản thực hiện việc mã hóa đó. Mặc dù người dùng khác có thể nhìn thấy file dữ liệu đó, nhưng sẽ không thể xem nội dung. Sau đây là cách mã hóa một thư mục bằng EFS:
Chuột phải vào thư mục cần mã hóa>Properties>Advanced>Encrypt contents to secure data

Sau khi mã hóa xong, tên thư mục/file chuyển thành màu xanh lá cây. chỉ có bạn (là user mã hóa) mới có thể xem được nội dung. Một user khác có thể nhìn thấy thư mục mã hóa nhưng không thể xem được nội dung.
Tuy nhiên về tình huống áp dụng ứng dụng của phương pháp này hiện nay còn một số vấn đề mình muốn trao đổi với các bạn:
1. Nếu mình mã hóa một thư mục trong USB sau đó gửi USB cho một người bạn. Vậy làm thế nào để bạn đó có thể xem được nội dung đã mã hóa?
2. Mình muốn share thư mục mã hóa trên mạng LAN cho một vài user khác thì làm thế nào để các user đó xem được nội dung?
Mọi người cho ý kiến nhé

opter

Re: Mã hóa dữ liệu bằng tính năng EFS

Theo mình thì
1. Mình phải gửi key cho người mà mình muốn gửi USB
2. Khi share cho ai thì gửi key cho người đó

myquartz

Re: Mã hóa dữ liệu bằng tính năng EFS

nktung;25140 đã viết:
Tuy nhiên về tình huống áp dụng ứng dụng của phương pháp này hiện nay còn một số vấn đề mình muốn trao đổi với các bạn:
1. Nếu mình mã hóa một thư mục trong USB sau đó gửi USB cho một người bạn. Vậy làm thế nào để bạn đó có thể xem được nội dung đã mã hóa?
2. Mình muốn share thư mục mã hóa trên mạng LAN cho một vài user khác thì làm thế nào để các user đó xem được nội dung?
Mọi người cho ý kiến nhé

1. Mã hóa EFS nó gắn với AD của Windows, mỗi khi bạn active nó, Win tự động sinh ra key rồi publish lên public key lên AD. Khi bạn muốn chia sẻ cho người khác, click vào nút detail bên cạnh, và add và danh sách những ai giải mã được file đó (dĩ nhiên là user trong cùng AD và đã có key publish lên đó rồi). USB hay đĩa nội bộ có EFS đều phải như thế.
Nếu bạn không muốn AD, thì phải yêu cầu người nhận export public key ra thành file p12, rồi import vào máy bạn, rồi bấm Detail và làm thủ công việc chọn key đó. Công cụ đó gọi là certmgr.msc thì phải.
2. Việc chia sẻ EFS qua mạng về mặt lý thuyết là khó, phải setup lằng nhằng theo 1 số điều kiện nhất định như add 1 key đặc biệt vào server để giải mã. Lý do EFS là File System Encryption của NTFS, tức là 1 đặc tính của NTFS. Mà share file thông qua giao thức SMB/CIFS - không hỗ trợ việc mã hóa đó (có khác ở SMB/CIFS với Win server 2012 R2 - xem tham khảo dưới, tớ vừa mới ... đọc và cập nhật thông tin đó). Vì thế việc giải mã phải thực hiện trước ở server khi share file được đọc từ client (tức file server phải giải mã file khi đọc đĩa rồi mới gửi qua mạng, có nghĩ là file server phải có key giải mã, và phải có cái key đặc biệt kia tự động add vào tất cả các file bị EFS để giải mã).
Tham khảo: http://en.wikipedia.org/wiki/Encrypting_File_System
http://serverfault.com/questions/557099/current-state-of-efs

Lưu ý: EFS không được chuẩn PCI/DSS chấp nhận là giải pháp mã hoá hợp lệ, ở thời điểm này. Vì lý do nó dùng khóa gắn với user account đăng nhập để giải mã file (login được là giải mã được). Rất tiền lợi nhưng ko đạt chuẩn, nếu định dùng cho chuẩn đó thì có thể stop ở đây (BitLocker thì lại được chấp nhận). Nhưng mục địch khác thì EFS rất tốt hiện mô hình đó chưa có chứng minh nào từng có là đã bẻ khóa được.

CỘNG ĐỒNG AN NINH MẠNG VIỆT NAM

Mã hóa dữ liệu bằng tính năng EFS

nktung

Super Moderator

Mã hóa dữ liệu bằng tính năng EFS

nktung

Super Moderator

Số người đang xem

Thống kê diễn đàn