次の YouTube ビデオは、EFS の仕組みを要約するのに非常に適しています。そのようなウィンドウの内容の要約に興味がある人のために、以下に添付しました。ただし、これにより、セキュリティに関する1つの質問が残ります。
- ユーザーが Windows にログオンすると、おそらくパスワードから (または、パスワードとユーザー名、およびおそらくソルトなどの他のデータから) ハッシュが計算されます。ユーザーが最初にパスワードを作成するとき、私が間違っていなければ、そのようなハッシュをハード ドライブのどこかに保存する必要があります。少なくとも、古い Unix システムはそのような方法で動作していました (/etc/passwd に格納されています)。したがって、ユーザーがログオンすると、パスワード ハッシュが計算され、そのようなファイルに保存されているものと比較されて、ユーザーが認証されます。ハッシュが一致する場合、ユーザーはログインしています。
ここまでは順調ですね。上記のメカニズムが (最新の Windows システムで) 使用されている場合、これは、誰かが Windows システムにハッキングしたときに、そのようなパスワード ハッシュを読み取ることができることを意味します。ハッカーはパスワード ハッシュと Microsoft の特別な対称アルゴリズムに加えて、暗号化された秘密キーがハード ドライブのどこに保存されているかを知っているため、ハッカーはそれを解読して秘密キーを取得できます。もちろん、秘密鍵が取得されると、証明書の公開鍵を使用して暗号化されたすべてのデータが、ハッカーによって復号化される可能性があります。
誰かが私の推論の欠陥を指摘できますか? おそらく、この欠陥は、Windows 認証の実行方法に関する私の誤解によるものです。
ありがとう。
http://www.youtube.com/watch?v=YxgWsa-slOU
上記のビデオの内容の要約: - EFS (NTFS ファイル システムで利用可能) は、ユーザーがファイルやフォルダーを暗号化できるように設計されているため、そのようなファイルやフォルダーを暗号化したユーザー以外はアクセスできません。盗まれたマシンの管理者アカウントは、最小限のハッキング知識で作成できるため、ハード ドライブに含まれるほぼすべてのファイルにアクセスできます。対称鍵暗号化アルゴリズムは、公開鍵暗号化アルゴリズムよりも約 100 倍から 1000 倍高速に動作します。右クリック -> プロパティ -> 一般 -> 詳細設定... -> コンテンツを暗号化してデータを保護し、[適用] をクリックします (ファイルのみを暗号化するか、ファイルとその親フォルダーを暗号化するかを選択して [OK] をクリックします)。 )。Windows によってファイルが緑色に変わりますが、ファイルへの完全なアクセスは引き続き可能です。これにより、管理者アカウントでログインした人はファイルを見ることができなくなります。実際には、「certmgr」コマンドを使用して証明書マネージャーにアクセスできます。そこから、空の状態で始まる可能性がある個人 -> 証明書アプリケーション フォルダーの内容を表示できます。上記の方法でファイルを暗号化すると、DESX アルゴリズム ファイル暗号化キー (FEK) と呼ばれる対称キーが生成され、証明書の公開キーを使用して FEK が暗号化され、暗号化されたデータと共に保存されます。証明書ストアに含まれる証明書では、公開鍵にはアクセスできますが、秘密鍵にはアクセスできません (証明書は、ユーザーなどの本人であることを証明し、ユーザーの公開鍵を表示します)。証明書は秘密鍵も指しています。