论文课题：Inside Encrypting File System（加密文件系统）.doc

《论文课题：Inside Encrypting File System（加密文件系统）.doc》由会员分享，可在线阅读，更多相关《论文课题：Inside Encrypting File System（加密文件系统）.doc（8页珍藏版）》请在三一办公上搜索。

1、专业论文翻译 论文课题：InsideEncryptingFileSystem指 导 教 师： 班 级: 姓 名: InsideEncryptingFileSystemThenextstepEfsRpcEncryptFileSrvperformsistocreatealogfileintowhichLSASRVwillRecordtheprogressoftheencryptionprocess.EfsRpcEncryptFileSrvcreatesthelogfileonthesamedriveasthefilethatEFSwillencrypt,andplacesthelogfileund

2、ertheroot directoryssubdirectorySystemVolumeInformation.Thelogfileusuallyhasthenameefs0.log,butifother filesareundergoingencryption,EfsRpcEncryptFileSrvreplacesthenumber0 withincreasingnumbersuntilLSASRVcancreateauniquelogfileforthecurrentencryption.Win2KscryptographyAPIsrelyoninformationthatausersR

3、egistryprofilestores,so EfsRpcEncryptFileSrvnextusestheLoadUserProfileAPIofuserenv.dll(UserEnvironmentDLL)toloadtheprofileintotheRegistryoftheuserEfsRpcEncryptFileSrvisimpersonating.Usuallytheuserprofileisalreadyloaded,becausewinlogon.exeloadsausersprofilewhenauserinteractivelylogson.However,ifyouus

4、etheMicrosoftWindowsNTServer4.0ResourceKitSuutilityortheWin2KRunAscommandtologontoadifferentaccount,whenyoutrytoaccessencryptedfilesfromthataccount,theaccountsprofilemightnotload.EfsRpcEncryptFileSrvsnextstepistocallanotherLSASRVfunction,EncryptFileSrv,tocarryouttherestoftheencryptionprocessforthefi

5、le.EncryptFileSrvbeginsbyqueryingNTFSaboutwhichdatastreamsexistwithinthefile,notingtheresultforlateruse.NTFSsupportsalternatenameddatastreamsinadditiontothedefaultunnamedstreaminwhichNTtypicallystoresdata.Win2Kmakesheavyuseofalternatestreamstosupportcompounddocumentstorage(i.e.,NativeStructuredStora

6、ge),asdoesServicesforMacintoshwhichusesalternatestreamstoimplementMacintoshresourceforks.EFSmustencryptallofafilesdatastreamsnotjustthestreamthatmostapplicationssee.EncryptFileSrvcallstheinternalfunctionGenerateFEKtogenerateaFEKforthefile.GenerateFEKusestheCryptoAPIfunctionCryptAcquireContexttoiniti

7、ateacryptographicsession.CryptAcquireContexttakesseveralparameters,includingthenameofthesessionscryptographicproviderandthecryptographyservicethatthecaller(inthiscase,GenerateFEK)isinterestedin.GenerateFEKspecifiesMicrosoftBaseCryptographicProvider1.0asthesessionscryptographicprovider.GenerateFEKals

8、osignalsthatitwantstousetheprovidersRSAencryptionfacilities.BaseCryptographicProviderisabuilt-inproviderthatispresentonallWin2Ksystems.However,thearchitectureoftheCryptoAPIletssoftwarevendorsimplementproprietaryprovidersanddynamicallyaddthemtoWin2K.Thus,GenerateFEKmustspecifyasessionscryptographicpr

9、ovider.RSAisapublic-key-basedencryptionalgorithmthahasbecomeadefactoworldwidestandard.Thefilersabase.dllimplementsRSAforBaseCryptographicProvider1.0.AftertheCryptAcquireContextfunctionreturnswithahandletotheprovider,GenerateFEKcallsCryptGenRandomtohavetheprovidergenerate16bytes(128bits)ofrandomdatat

10、oserveasthefilesFEK.GenerateFEKthencallsCryptCloseSessiontoclosethecryptographicprovidersession,andreturnscontroltoEncryptFileSrv.ConstructingKeyRings.Atthispoint,EncryptFileSrvhasaFEKandcanconstructEFSinformationto storewiththefile,includinganencryptedversionoftheFEK.Figure2illustratestheEFSinforma

11、tionslayout.EncryptFileSrvcallsanotherfunction,ConstructEFS,toconstructtheEFSinformation.Beforeitcandoso,ConstructEFSmustusetheCryptoAPItogetahandletotheuserspublickeyandprivatekeypair.Togetthishandle,ConstructEFScallsanotherfunction,GetCurrentKey,whichreadstheRegistryvalueHKEY_CURRENT_USERSoftwareM

12、icrosoftWindowsNTCurrentVersionEFSCurrentKeysCertificateHash.Everypublickey/privatekeypairhasadigitalcertificatethattheissuingcertificateauthoritysigns,andthatusersusetoobtaintheirpublickeys.Thedigitalsignature,orhash,uniquelyidentifiesthepublickey/privatekeypair.ByreadingtheCertificateHashvalue,Con

13、structEFSobtainsthecurrent userspublickeysignatureandusesittoaccessthepublickeyandencryptFEKs.WhentheCertificateHashvaluedoesntexist,whichisthecasethefirsttimeauserencryptsafile,EFSmustdeterminewhethertheuserhasanEFSpublickey/privatekeypair,orwhetheritmustcreatethekeypair.First,EFSopenstheMysystemce

14、rtificatestoragearea,inwhichtheOSstoresEFSkeypairs.(Severalcertificatestorageareascanexistonasystem,eachcontainingvariouscertificates.)EFSusestheCryptoAPIfunctionCertFindCertiragearea.IfCertFindCertificateInStoredoesntfindanEFSkey-paircertificate,ConstructEFScallsGenerateUserKeytocreateone.GenerateU

15、serKeycallsCryptUIWizCertRequesttocreatethekeypairandreturnasignedcertificateforthepair.Thekey-pairgenerationoccursonadomaincontroller(forasystemthatispartofadomain)orthelocalcomputer(foracomputerthatisnotpartofadomain).WhenEFSlocatesorcreatestheuserskey-paircertificate,EFSobtainsthecertificateshash

16、andstoresitintheRegistrykeyHKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionEFSCurrentKeysCertificateHash.InWin2Kbeta3,theproviderthatcreatespublickey/privatekeypairsisBaseCryptographicProvider1.0.Whenithastheuserskey-pairhash,EFSusestheCertGetCertificateContextPropertyCryptoAPItoobtaininfor

17、mationabouttheproviderthatCACreateLocalAutoEnrollmentObjectusedtogeneratethekeypair.ThisinformationincludestheprovidersnameandthenameofthecontainertheproviderusestostorekeypairsfortheuserwhomLSASRVisimpersonating.Thecontainernameismeaningfulonlytotheprovider,butinthecaseofBaseCryptographicProvider,t

18、hecontainernameisafilepathrelativetotheusersprofiledirectory.AnexamplecontainernameisM:DocumentsandSettingsAdministratorApplicationDataMicrosoftSystemCertificatesMyCertificatesCD099602FD898D7EFCDC4283C6742D30A15A0062.Win2KhidestheApplicationDatadirectorybydefault,andcontainerfilenamesvary.EFSusesCry

19、ptAcquireContexttoopenacryptographicsessionwiththeprovider.InthecalltoCryptAcquireContext,EFSspecifiestheprovidername,thecontainername,andthatitwantsto useRSAencryptionservices.Toobtainthecurrentuserspublickey,EFSusesthefunctionCryptExportKey,whichcausesthecryptographicprovidertoextractthekeyfromthe

20、container.ConstructEFScannowconstructthe informationthatEFSstoreswiththefile.TheLSASRV functionConstructKeyRingmakesuseoftheuserspublickeythatCryptExportKeyobtainedtostoretheEFSinformationwithafile.MicrosoftcallsthefunctionConstructKeyRingbecause,asImentionedearlier,EFSletsmultipleusersshareencrypte

21、dfiles.EFSstoresonlyoneblockofinformationinanencryptedfile,andthatblockcontainsanentryforeachuser sharingthefile.Theseentriesarecalledkeyentries,andEFSstoresthem intheDataDecryptionField(DDF)portionofthefilesEFSdata.Acollectionofmultiplekeyentriesisakeyring.Figure2showsafilesEFSinformationformatandk

22、eyentryformat.EFSstoresenoughinformationinthefirstpartofakeyentrytopreciselydescribeauserspublickey.Thisdataincludesthecryptographicprovidername,thecontainernameinwhichthekeyisstored,theuserssecurityID(SID),andthepublickey/privatekeypaircertificatehash.The待添加的隐藏文字内容3secondpartofthe keyentrycontainsa

23、nencryptedversionoftheFEK.ConstructKeyRingusestheCryptEncryptCryptoAPItoencrypttheFEKwiththeRSAalgorithmandtheuserspublickey.(WhenIdescribethedecryptionprocessnextmonth,IllexplainwhyEFSstoresthisinformationinkeyentries.)Next,EFScreatesanotherkeyringthatcontainsrecoverykeyentries.EFSstoresinformation

24、aboutrecoverykeyentriesinafiles DataRecoveryField(DRF).TheformatofDRFentriesisidenticaltotheformatofDDFentries.TheDRFspurposeistoletdesignatedaccounts,orRecoveryAgents,decryptausersfilewhen administrativeauthoritymusthaveaccesstotheusersdata.Forexample,supposeacompanyemployeeusedaCryptoAPItostorehis

25、privatekeyonasmartcard,thenlostthecard.WithoutRecoveryAgents,noonecouldrecoverhisencrypteddata.YoucandefineRecoveryAgentswith theEncryptedRecoveryAgentssecuritypolicy(whichisasubsetofpublickeypolicy)ofThe localcomputerordomain,asScreen2shows.WhenyouusetheRecoveryAgentWizardinthedomainorcomputermanag

26、ementMicrosoftManagementConsole(MMC)snap-in,youcanaddRecoveryAgentsandspecifywhichpublickey/privatekeypairs(designatedbytheircertificates)theagentsuseforEFSrecovery.LSASRVinterpretstherecoverypolicywhenitinitializesandwhenitreceivesnotificationthattherecoverypolicyhaschanged.EFSusesthecryptographicp

27、rovideryouregisterforEFSrecoverytocreateaDRFkeyentryforeachRecoveryAgent.Currently,thedefaultRecoveryAgentprovideristheRSAencryptionfacilityofBaseCryptographicProvider1.0thesameproviderGenerateFEKusesforuserkeys.InthefinalstepincreatingEFSinformationforafile,ConstructEFSusestheMD5hashfacilityofBaseC

28、ryptographicProvider1.0tocalculateachecksumfortheDRFandDDF.EFSstoresthechecksumsresultintheEFSinformationheader.EFSreferencesthischecksumduringdecryptiontoensurethatthecontentsofafilesEFSinformationhavenotbecomecorruptedorbeentamperedwith.Screen3showsanencryptedfiles$EFSattributeson-diskcontents.Som

29、eofthefieldsIvedescribedarehighlighted,includingthenameofthecryptographicstorethatstoresthekeypairtheencryptionuses(thestringbeginning5.d.c.3.b.3.e.b.-.5.),thenameofthecryptographicprovider(MicrosoftBaseCryptographicProviderv1.),andinformationusedfordisplaywhenapplicationsquerytheencryptionformat(L.

30、=.E.F.S.).DiskEdit,theutilityviewingthedatainScreen3,isanunsupportedtoolthatMicrosoftincludesontheServicePack4(SP4)CD-ROM.ToBeContinued Thatbringsustotheendofthismonthscolumn.Nextmonth,Illconcludemydescriptionoftheencryptionprocess,andIlldescribethefiledecryptionprocessandsomeoftheotherEFSAPIsthatLS

31、ASRVsupports.加密文件系统下一个步骤 EfsRpcEncryptFileSrv 表演乃是创作其 LSASRV 希望的一个记录文件记录编密码过程的进展。EfsRpcEncryptFileSrv 创作记录文件上作为 EFS 将加密，在根本目录下面的地方记录文件是的文件的同样的行驶子目录系统卷信息。记录文件通常有名字 efs0.log，但是如果其他文件在经受编密码， EfsRpcEncryptFileSrv 取代数字 0 通过增加直到 LSASRV 的数字能够创建一个独特的记录文件当前的 encryption.Win2K 是密码术 APIs 依赖一个用户的登记处简介储存的信息，所以 Ef

32、sRpcEncryptFileSrv 紧接着使用 userenv.dll 的 LoadUserProfile API（用户环境 DLL）装简介进用户 EfsRpcEncryptFileSrv 的登记处人格化。通常用户简介已经被装，因为 winlogon.exe 装一个用户的简介当一个用户交互地登录。可是，如果你使用微软 Windows NT 服务器 4.0资源个人装具 Su 设施或者到一个不同的理由登录的 Win2K RunAs 指挥，当你尝试从那个报告使用被加密的文件的时候，账户的简介可能不装货。EfsRpcEncryptFileSrv 的下一个步骤乃是叫另一种 LSASRV 功能，Encr

33、yptFileSrv，为了运载向外用于文件的编密码过程的其余部分。EncryptFileSrv 通过询问关于 NTFS 数据溪在文件以内存在，注意用于更迟的使用的结果的 NTFS 开始。NTFS 支持交替除了缺省值之外被命名是数据溪无名的溪在那 NT 典型地 storesdata。Win2K 做出交换的溪的大量使用支持复合的文件存储器（即，本地被组织的存储器），正如为了使用交换的溪实现的 Macintosh 服务Macintosh 资源不情愿地交付。EFS 必须加密所有一份文件的数据 streams 梟ot 刚刚溪那大多数申请明白。EncryptFileSrv 叫内在的功能 GenerateF

34、EK 产生一 FEK对 file.GenerateFEK 使用 CryptoAPI 功能 CryptAcquireContext 为了开始用密码写的会议。CryptAcquireContext 接受若干参数，包括会议的用密码写的提供者的名字和密码术服务那访问者（在这种情况下， GenerateFEK）是对有兴趣。GenerateFEKspecifies 微软基础用密码写提供者作为会议的用密码写的提供者的 1.0。GenerateFEK 也发信号那它想使用提供者的英国 rsa 实验室编密码设施。基本用密码写的提供者是在所有 Win2K 系统上是未缺失的一个固定的提供者。可是 CryptoAPI

35、的建筑让软件公司实现私人的提供者和动态地把他们加到 Win2K 上。这样， GenerateFEK 必须标示一届会议的用密码写的提供者。英国 rsa 实验室是一个公众为定基调基于的编密码算法 tha 成为一个事实上世界范围的标准。文件 rsabase.dll 因为 BaseCryptographic Provider 1.0.After 实现英国 rsa 实验室 CryptAcquireContext 功能用到提供者的一个把柄归来，GenerateFEK 给 CryptGenRandom 打电话有提供者产生 16 个字节（128 少量）担任文件的 FEK 的随便的数据中。GenerateFEK

36、 然后把 CryptCloseSession 叫到结束用密码写的提供者会议，归还控制到 EncryptFileSrv.Constructing 钥匙圈。在这一点上， EncryptFileSrv 有一 FEK 和能够构思 EFS 信息跟包括 FEK 的一个被加密的版本在内的文件一起储存。图 2 说明 EFS信息的规划。EncryptFileSrv 叫另一种功能， ConstructEFS，建造 EFS信息。在它能够这样做以前， ConstructEFS 必须使用 CryptoAPI 得到一个把柄到用户的公共主要和私人主要的对。为了得到这个把柄， ConstructEFS 叫另一种功能，GetC

37、urrentKey，读登记处价值 HKEY_CURRENT_USER 软件 微软 Windows NT CurrentVersion EFS CurrentKeys CertificateHash。每把公共主要/私营钥匙对有发行证书权力签名，用户使用弄到的一份数字证书他们的公共的钥匙。数字签名，或者杂乱信号，独特地识别公共主要/私营钥匙对。通过读 CertificateHash 价值， ConstructEFS 弄到当前的用户的公共的钥匙签名和使用它使用公共的钥匙，加密 FEKs.When CertificateHash 价值不存在，是一个用户加密的案例第一次一份文件， EFS 必须决定是否用

38、户有一 EFS 公众钥匙/列兵钥匙对，或者是否它必须创造主要的对。第一， EFS打开我的系统证书存储器地区，在那 OS 商店 EFS 钥匙配对。（一些证书存储器地区能够在一个系统上存在，每一个控制不同的证书。） EFS 使用 CryptoAPI 功能 CertFindCertirage 地区。如果 CertFindCertificateInStore 不找到一 EFS主要对的证书， ConstructEFS 给 GenerateUserKey 打电话创建一个。GenerateUserKey 叫喊CryptUIWizCertRequest 为了创造主要的对，归来对的一份被签名的证书。主要对的一代

39、在一个领域控制器上出现（对是领域部分的一个系统）或者本地计算机（对不是领域部分的一台计算机）。当 EFS 定居或者创造的时候用户的主要对的证书， EFS 弄到证书的杂乱信号和在登记处钥匙中储存它HKEY_CURRENT_USER 软件 微软 Windows NT CurrentVersion EFS CurrentKeys CertificateHash .在 Win2K beta 中 3，创造公共主要/私营钥匙的提供者对是基本用密码写的提供者 1.0。当它有用户的主要对的杂乱信号的时候， EFS 使用 CertGetCertificateContext 财产 CryptoAPI 弄到关于提供

40、者的信息那CACreateLocalAutoEnrollmentObject 常产生主要的对。这条信息包括提供者的名字和提供者使用把主要的对保存以供用户的容器的名字谁 LSASRV 人格化。容器名字对于提供者是有意义唯一的，但是在基本用密码写例的提供者，容器名字是一条文件路径与有关系用户是简介目录。一个例子容器名字是 M:Documents 和设置 主管 申请数据 微软 SystemCertificates 我的 证书 CD099602FD898D7EFCDC4283C6742D30A15A0062 .Win2K 隐藏申请数据由缺省值，和容器文件名所作的目录变化。EFS 使用 CryptAcq

41、uireContext 开放带提供者的用密码写的会议。在到 CryptAcquireContext， EFS 的电话标示提供者名字，容器名字，那它想使用英国 rsa 实验室编密码服务。为了弄到当前的用户的公共的钥匙， EFS 使用功能 CryptExportKey，导致从 container.ConstructEFS 抽取钥匙的用密码写的提供者现在能够建造EFS 跟文件一起储存的信息。LSASRV 功能 ConstructKeyRing 利用 CryptExportKey 弄到跟一份文件一起储存 EFS 信息的用户的公共的钥匙。微软叫功能 ConstructKeyRing 因为，当我更早提及，

42、 EFS 让多的用户分享被加密的文件。EFS 在一份被加密的文件中储存信息的仅仅一街区，那条街区为分享文件的每个用户包含进入。这些进入叫做主要的进入，以及 EFS 在数据中储存他们 Decryption 菲尔德（DDF）文件的 EFS 数据的部分。多主要的进入的收集是一主要的 ring.Figure 2 次展览会一份文件的 EFS 信息格式和为进入格式定基调。EFS 在头一个中储存足够信息主要的进入部分到精确描写一个用户的公共的钥匙。这数据包括用密码写的提供者名字，容器在其钥匙储存的名字用户的安全身份证 (SID)，公共主要/私人主要的对证书杂乱信号。第二个主要的进入部分包含 FEK 的一个被

43、加密的版本。ConstructKeyRing 使用 CryptEncrypt CryptoAPI 有英国 rsa 实验室算法加密 FEK 和用户的公共的钥匙。（当我描写译码解码过程下月的时候，我将解释为什么EFS 在主要的条目中储存这条信息。）下一个， EFS 创造包含的另一个钥匙圈恢复钥匙进入。EFS 储存关于恢复钥匙进入的信息在一份文件中是数据 RecoveryField（DRF）。DRF 进入的格式等同于 DDF 进入的格式。DRF 的目的乃是让被指定的报告，或者恢复代理人，解密一个用户的文件当行政的权力必须可接触到 usersdata。例如，猜想一家公司雇员使用一 CryptoAPI 在一张智能卡上储存他的私营钥匙，然后失掉卡片。无恢复代理人，没人能够重新获得他的被加密的 data.You 能够定义恢复代理人带被加密的恢复代理人安全政策（那是公共主要的政策的一个