加密文件系统

加密文件系统（英语：Encrypting File System，缩写EFS）是微软Windows在NTFS 3.0中引入的一个功能，它能提供文件系统级加密。

EFS使用对称秘钥加密文件（File Encryption Key），简称FEK。使用对称加密演算法是因为加密和解密大量资料时这比使用非对称金钥密码本消耗更少的时间。

在不同的作业系统版本和组态上将使用不同的对称加密演算法，见下面的Algorithms used by Windows version。FEK（用来加密文件的对称金钥）然后会使用一个与加密文件的使用者相关联的公钥加密，加密的FEK将被储存在加密文件的$EFS可选资料流。要解密该文件，EFS组件驱动程式使用匹配EFS数位凭证（用于加密文件）的私钥解密储存在$EFS流中的对称金钥。EFS组件驱动程式然后使用对称金钥来解密该文件。因为加密和解密操作在NTFS底层执行，因此它对使用者及所有应用程式是透明的。 内容要被加密的资料夹会被文件系统标记为「加密」属性。EFS组件驱动程式会检查此「加密」属性，这类似NTFS中文件权限的继承：如果一个资料夹标记为加密，在里面建立文件和子资料夹就预设会被加密。

在加密文件移动到一个NTFS卷时，文件会继续保持加密。但是，在许多情况下，Windows可能不需询问使用者就解密文件。 被复制到另一种文件系统（如FAT32）的文件和资料夹会被解密。最后，加密的文件使用SMB/CIFS协定通过网路复制时，文件在传送到网路前会被解密。 避免「复制时解密」的最有效方法是使用支援「原始资料」API的备份软体。使用Raw API（页面存档备份，存于网际网路文件馆）的备份软体会直接复制已加密文件的流和$EFS备用资料流为单个文件。换句话说，这些文件以加密形式被「复制」，备份过程中不牵扯解密。 从Windows Vista开始，使用者的私钥可以储存在智慧卡上；资料恢复代理（DRA）金钥也可以储存在智慧卡上。

本词条内容引用自维基百科