《《非對(duì)稱(chēng)加密PKI》PPT課件.ppt》由會(huì)員分享，可在線閱讀，更多相關(guān)《《非對(duì)稱(chēng)加密PKI》PPT課件.ppt（66頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、SilenceisGold Donotletmobilephoneruinyourlecture 2 非對(duì)稱(chēng)加密 PKI隱私數(shù)據(jù)文件的保護(hù) 高峰f gao 3 RSA公鑰加密算法 密鑰產(chǎn)生算法 1 生成兩個(gè)隨機(jī)的大的素?cái)?shù)p和q 它們的大小近似相等 從而使它們的乘積n n pq 能滿(mǎn)足要求的比特長(zhǎng)度 例如1024比特 2 計(jì)算n pqand n p 1 q 1 4 RSA公鑰加密算法 3 選擇一個(gè)整數(shù)e 其中1 e n 使得gcd e n 1 即e與 n 互素 兩個(gè)不同時(shí)為0的整數(shù)a與b的最大公約數(shù)表示成gcd a b 例如 gcd 24 30 6 gcd 5 7 1 gcd 0 9 9 4 計(jì)

2、算秘密的指數(shù)d 其中1 d n 使得ed 1 mod n 5 RSA公鑰加密算法 5 則公鑰為 n e 私鑰為 n d 其中p q和 n 的值必須保密 n為模數(shù) e為公鑰的指數(shù)或者加密時(shí)的指數(shù) d為私鑰的指數(shù)或者解密時(shí)的指數(shù) 6 RSA公鑰加密算法 加密 發(fā)送者A進(jìn)行如下操作 1 獲取接收者B的公鑰 n e 2 將明文消息表示為一個(gè)正整數(shù)M 3 計(jì)算密文C Memodn 4 把密文C發(fā)送給B 7 RSA公鑰加密算法 解密 接收者B進(jìn)行如下操作 1 使用自己的私鑰 n d 來(lái)計(jì)算M Cdmodn 2 從M中提取出原始的明文 8 使用RSA進(jìn)行加密的一個(gè)簡(jiǎn)單例子 例如 已知 p 17 q 11 e

3、 7 M 88求 公鑰 n e 私鑰 n d 密文 C 1 選擇素?cái)?shù)p 17 q 11 2 n pq 17 11 187 9 使用RSA進(jìn)行加密的一個(gè)簡(jiǎn)單例子 3 n p 1 q 1 16 10 160 4 選擇e 7 5 計(jì)算一個(gè)d使得ed 1 mod n 即7d 1mod160 因?yàn)?3 7 161 1 160 1 則正確的值為d 23 10 使用RSA進(jìn)行加密的一個(gè)簡(jiǎn)單例子 5 公鑰 n e 187 7 私鑰 n d 187 23 11 使用RSA進(jìn)行加密的一個(gè)簡(jiǎn)單例子 現(xiàn)在我們開(kāi)始加密消息M 88 C Memodn 887mod187 11因此密文C 11 為了檢驗(yàn) 我們進(jìn)行解密計(jì)算

4、M cdmodn 1123mod187 88下圖描述了上述例子 12 13 安全性 公鑰 e N 私鑰 d N 安全性在于 通過(guò)e和N來(lái)計(jì)算d是不可行的 ed 1mod N 如果知道e和 N 則容易求得d 那困難在哪里 N 難求 N p 1 q 1 N p q 最終的困難在于很難將N分解為兩個(gè)素?cái)?shù)之積 500位數(shù)約需1025年 76 YouneedtocheckthatyourfriendBobhasyourcorrectphonenumber butyoucannotaskhimdirectly YoumustwritethequestiononacardandgiveittoEvewhow

5、illtakethecardtoBobandreturntheanswertoyou Whatmustyouwriteonthecard besidesthequestion toensureBobcanencodethemessagesothatEvecannotreadthephonenumber Inacountryinwhichpeopleonlywantboys everyfamilycontinuestohavechildrenuntiltheyhaveaboy Iftheyhaveagirl theyhaveanotherchild Iftheyhaveaboy theystop

6、 Whatistheproportionofboystogirlsinthecountry 組合密碼技術(shù) 產(chǎn)生一個(gè)一次性 對(duì)稱(chēng)密鑰 會(huì)話密鑰用會(huì)話密鑰加密信息最后用接收者的公鑰加密會(huì)話密鑰 因?yàn)樗芏?數(shù)字簽名 保證原始信息的真實(shí)性 完整性 數(shù)字簽名是用簽名方的私鑰對(duì)原始信息采取不可逆的單向散列算法提取出的一串唯一特征碼 稱(chēng)為 信息摘要 進(jìn)行加密的一個(gè)過(guò)程 這個(gè)過(guò)程所得到的密文即稱(chēng)為簽名信息 摘要算法 Hash 特性不可逆對(duì)任何長(zhǎng)度的信息進(jìn)行哈希后 結(jié)果都是一個(gè)固定長(zhǎng)度的數(shù)據(jù)摘要 摘要的長(zhǎng)度通常為128bits或160bits原始信息中一個(gè)字節(jié)的改變會(huì)導(dǎo)致摘要后的結(jié)果發(fā)生變化常用算法 MD5

7、SHA 1 哈希算法和數(shù)字簽名結(jié)合 RandomlyGeneratedSymmetricKey seed PRNG Alice Publickey Privatekey Privatekey Publickey Alice sPublickey Bob 發(fā)送機(jī)密數(shù)據(jù)的過(guò)程 Signingthemessage Encryptingthemessage Encryptingthesessionkey Bob sPublickey Bob spay slip Bob spay slip Alice01101001001001111010 Alice Publickey Privatekey Priv

8、atekey Publickey Alice sPublickey Bob Bob sPublickey Decryptingthesessionkey Decryptingthemessage Verifyingsignatureandmessageintegrity Bob spay slip Same Alice01101001001001111010 RandomlyGeneratedSymmetricKey seed PRNG PKI與密碼技術(shù) 只有公鑰密碼技術(shù)還不夠 如何將此技術(shù)應(yīng)用到具體的商業(yè)及應(yīng)用中 驗(yàn)證數(shù)字簽名對(duì)可信身份的需求我們需要找到某種方式確保一個(gè)特定的公鑰確實(shí)屬于一個(gè)

9、特定的人 認(rèn)證機(jī)構(gòu)數(shù)字證書(shū) PKI CA發(fā)展歷程 1976年 提出RSA算法20世紀(jì)80年代 美國(guó)學(xué)者提出了PKI的概念為了推進(jìn)PKI在聯(lián)邦政府范圍內(nèi)的應(yīng)用 1996年就成立了聯(lián)邦PKI指導(dǎo)委員會(huì)1996年 以Visa MastCard IBM Netscape MS 數(shù)家銀行推出SET協(xié)議 推出CA和證書(shū)概念1999年 PKI論壇成立2000年4月 美國(guó)國(guó)防部宣布要采用PKI安全倡議方案 2001年6月13日 在亞洲和大洋洲推動(dòng)PKI進(jìn)程的國(guó)際組織宣告成立 該國(guó)際組織的名稱(chēng)為 亞洲PKI論壇 其宗旨是在亞洲地區(qū)推動(dòng)PKI標(biāo)準(zhǔn)化 為實(shí)現(xiàn)全球范圍的電子商務(wù)奠定基礎(chǔ) 數(shù)字證書(shū) 什么是數(shù)字證書(shū) Na

10、me BrianLiuSerialnumber 484865Issuedby ABCcorpCAIssuedate 19970102Expirationdate 19990102Publickey 38ighwejbDigitalSignature hwefdsaf 身份信息姓名等唯一標(biāo)識(shí)公鑰 照片發(fā)證機(jī)關(guān)數(shù)字簽名 公章有效期 序列號(hào) 什么是數(shù)字證書(shū) CA的名稱(chēng) 頒發(fā)機(jī)構(gòu) Bob的名稱(chēng) 對(duì)象 Bob的公鑰 包含用戶(hù)身份信息的文件 由可信的第三方進(jìn)行簽名CertificationAuthority使用CA的私鑰保證信息的真實(shí)性和完整性 數(shù)字簽名 遵守X 509標(biāo)準(zhǔn) 什么是數(shù)字證書(shū) PKI系統(tǒng) C

11、A系統(tǒng) 的產(chǎn)物數(shù)字證書(shū)是PKI技術(shù)的現(xiàn)實(shí)載體 通過(guò)數(shù)字證書(shū)我們可以實(shí)現(xiàn)身份認(rèn)證 信息加密 簽名等一系列的安全操作網(wǎng)絡(luò)世界的電子身份證與現(xiàn)實(shí)世界的身份證類(lèi)似能夠證明個(gè)人 團(tuán)體或設(shè)備的身份包含相關(guān)信息 包含姓名 地址 公司 電話號(hào)碼 Email地址 與身份證上的姓名 地址等類(lèi)似包含所有者的公鑰擁有者擁有證書(shū)公鑰對(duì)應(yīng)的私鑰由可信的頒發(fā)機(jī)構(gòu)頒發(fā)比如身份證由公安局頒發(fā)一樣頒發(fā)機(jī)構(gòu)對(duì)證書(shū)進(jìn)行簽名與身份證上公安局的蓋章類(lèi)似可以由頒發(fā)機(jī)構(gòu)證明證書(shū)是否有效可防止擅改證書(shū)上的任何資料 什么是數(shù)字證書(shū) 數(shù)字證書(shū)是各類(lèi)實(shí)體 持卡人 個(gè)人 商戶(hù) 企業(yè) 網(wǎng)關(guān) 銀行等 在網(wǎng)上進(jìn)行信息交流及商務(wù)活動(dòng)的身份證明 在電子交易的各

12、個(gè)環(huán)節(jié) 交易的各方都需驗(yàn)證對(duì)方證書(shū)的有效性 從而解決相互間的信任問(wèn)題 證書(shū)是一個(gè)經(jīng)證書(shū)認(rèn)證中心數(shù)字簽名的包含公開(kāi)密鑰擁有者信息以及公開(kāi)密鑰的文件 從證書(shū)的用途來(lái)看 數(shù)字證書(shū)可分為簽名證書(shū)和加密證書(shū) 簽名證書(shū)主要用于對(duì)用戶(hù)信息進(jìn)行簽名 以保證信息的不可否認(rèn)性 加密證書(shū)主要用于對(duì)用戶(hù)傳送信息進(jìn)行加密 以保證信息的真實(shí)性和完整性 什么是數(shù)字證書(shū) 理解數(shù)字證書(shū)是理解PKI系統(tǒng)的中心問(wèn)題 一個(gè)網(wǎng)絡(luò)用戶(hù)的證書(shū)等于他的電子版的身份證 它由CA簽發(fā) 獲得證書(shū)的個(gè)人或組織可以用它來(lái)證明自己的身份或存取信息的權(quán)利 當(dāng)CA簽發(fā)證書(shū)時(shí) 它驗(yàn)證證書(shū)申請(qǐng)者的身份 一張數(shù)字證書(shū)是一個(gè)二進(jìn)制文件 它包含了證書(shū)持有者的名字 能

13、夠證明證書(shū)持有者身份的可靠信息還有證書(shū)持有者的公鑰 這給出了證書(shū)持有者和他的公鑰之間的對(duì)應(yīng)關(guān)系 證書(shū)中的公鑰既可被他人用于加密也可用來(lái)驗(yàn)證持有者的數(shù)字簽名 數(shù)字證書(shū)中也包含序列號(hào) 有效期 與證書(shū)相聯(lián)系的權(quán)利和使用信息等 最后 數(shù)字證書(shū)中包含發(fā)證機(jī)關(guān)CA的信息 所有證書(shū)都用CA的私鑰進(jìn)行數(shù)字簽名 證書(shū)格式 證書(shū)格式版本 目前是X509V3 V4 證書(shū)序列號(hào)簽名算法標(biāo)識(shí)符認(rèn)證機(jī)構(gòu)的X 500名字有效期主題X 500名字主題公鑰信息發(fā)證者唯一標(biāo)識(shí)符主題唯一標(biāo)識(shí)符擴(kuò)展域認(rèn)證機(jī)構(gòu)的數(shù)字簽名 PKI及其構(gòu)件 PKI體系 PublicKeyInfrastructure PKI 是硬件 軟件 人員 策略和操作

14、規(guī)程的總和 它們要完成創(chuàng)建 管理 保存 發(fā)放和廢止證書(shū)的功能 通過(guò)管理數(shù)字證書(shū)的生命周期來(lái)管理對(duì)應(yīng)的身份信息的生命周期 Endusers Face to face D B D B D B D B CrossCertification DirectoryServices LDAPv3 DAP EndUserDomain PKIenabledapplications LDAP PKIXCMP Cert SigningAlgorithmsRSA DSA ECDSA PKIX PKCS 12 PKCS 11 PKI系統(tǒng)標(biāo)準(zhǔn)結(jié)構(gòu) SPKM 密鑰管理中心 KMC 密鑰的生成密鑰的分發(fā)密鑰的備份密鑰的恢復(fù)密

15、鑰的更新密鑰的歸檔密鑰查詢(xún)密鑰銷(xiāo)毀 CertificationAuthority CA 發(fā)布本地CA策略對(duì)下級(jí)機(jī)構(gòu)進(jìn)行認(rèn)證和鑒別產(chǎn)生和管理下屬機(jī)構(gòu)的證書(shū)接收和認(rèn)證RA證書(shū)請(qǐng)求簽發(fā)和管理證書(shū) CRL發(fā)布證書(shū)CRL密鑰安全生成及管理交叉認(rèn)證 RegistrationAuthority RA 進(jìn)行用戶(hù)身份信息的審核 確保其真實(shí)性 本區(qū)域用戶(hù)身份信息管理和維護(hù) 數(shù)字證書(shū)的下載 數(shù)字證書(shū)的發(fā)放和管理登記黑名單 安全通道 SSL安全通道 通信流程 C 用戶(hù)端S 服務(wù)器端 STEP1 C S 發(fā)起對(duì)話 協(xié)商傳送加密算法 你好 S 我想和你進(jìn)行安全對(duì)話 我的對(duì)稱(chēng)加密算法有DES RC5 我的密鑰交換算法有RS

16、A和DH 摘要算法有MD5和SHA STEP2 C B 發(fā)送服務(wù)器數(shù)字證書(shū) 你好 B 那我們就使用DES RSA SHA這對(duì)組合進(jìn)行通訊 為了證明我確實(shí)是S 現(xiàn)在發(fā)送我的數(shù)字證書(shū)給你 你可以驗(yàn)證我的身份 STEP3 C S 傳送本次對(duì)話的密鑰 檢查S的數(shù)字證書(shū)是否正確 通過(guò)CA機(jī)構(gòu)頒發(fā)的證書(shū)驗(yàn)證了S證書(shū)的真實(shí)有效性后 生成了利用S的公鑰加密的本次對(duì)話的密鑰發(fā)送給S S 我已經(jīng)確認(rèn)了你的身份 現(xiàn)在將我們本次通訊中使用的對(duì)稱(chēng)加密算法的密鑰發(fā)送給你 STEP4 S C 獲取密鑰 S用自己的私鑰解密獲取本次通訊的密鑰 B 我已經(jīng)獲取了密鑰 我們可以開(kāi)始通信了 STEP5 SC 進(jìn)行通訊 隱私數(shù)據(jù)文件的

17、保護(hù) 隱私數(shù)據(jù)文件的保護(hù) MSOFFICE Word Excel PPT PDF圖片 EFS加密和安全 什么是EFS加密 EFS EncryptingFileSystem 加密文件系統(tǒng) 它可以幫助你針對(duì)存儲(chǔ)在NTFS磁盤(pán)卷上的文件和文件夾進(jìn)行加密操作 EFS加密是基于公鑰策略的 在使用EFS加密一個(gè)文件或文件夾時(shí) 系統(tǒng)首先會(huì)生成一個(gè)由偽隨機(jī)數(shù)組成的FEK FileEncryptionKey 文件加密鑰匙 然后將利用FEK和數(shù)據(jù)擴(kuò)展標(biāo)準(zhǔn)X算法創(chuàng)建加密后的文件 并把它存儲(chǔ)到硬盤(pán)上 同時(shí)刪除未加密的原始文件 隨后系統(tǒng)利用你的公鑰加密FEK 并把加密后的FEK存儲(chǔ)在同一個(gè)加密文件中 而在訪問(wèn)被加密的文

18、件時(shí) 系統(tǒng)首先利用當(dāng)前用戶(hù)的私鑰解密FEK 然后利用FEK解密出文件 在首次使用EFS時(shí) 如果用戶(hù)還沒(méi)有公鑰 私鑰對(duì) 統(tǒng)稱(chēng)為密鑰 則會(huì)首先生成密鑰 然后加密數(shù)據(jù) 如果你登錄到了域環(huán)境中 密鑰的生成依賴(lài)于域控制器 否則它就依賴(lài)于本地機(jī)器 EFS加密有什么好處 首先 EFS加密機(jī)制和操作系統(tǒng)緊密結(jié)合 因此我們不必為了加密數(shù)據(jù)安裝額外的軟件 這節(jié)約了我們的使用成本 其次 EFS加密系統(tǒng)對(duì)用戶(hù)是透明的 這也就是說(shuō) 如果你加密了一些數(shù)據(jù) 那么你對(duì)這些數(shù)據(jù)的訪問(wèn)將是完全允許的 并不會(huì)受到任何限制 而其他非授權(quán)用戶(hù)試圖訪問(wèn)加密過(guò)的數(shù)據(jù)時(shí) 就會(huì)收到 訪問(wèn)拒絕 的錯(cuò)誤提示 EFS加密的用戶(hù)驗(yàn)證過(guò)程是在登錄Win

19、dows時(shí)進(jìn)行的 只要登錄到Windows 就可以打開(kāi)任何一個(gè)被授權(quán)的加密文件 如何使用EFS加密 要使用EFS加密 首先要保證你的操作系統(tǒng)符合要求 目前支持EFS加密的Windows操作系統(tǒng)主要有Windows2000全部版本 WindowsXPProfessional和WindowsServer2003等操作系統(tǒng) 其次 EFS加密只對(duì)NTFS5分區(qū)上的數(shù)據(jù)有效 注意 這里我們提到了NTFS5分區(qū) 這是指由Windows2000 XP格式化過(guò)的NTFS分區(qū) 而由WindowsNT4格式化的NTFS分區(qū)是NTFS4格式的 雖然同樣是NTFS文件系統(tǒng) 但它不支持EFS加密 你無(wú)法加密保存在FAT

20、和FAT32分區(qū)上的數(shù)據(jù) 對(duì)于想加密的文件或文件夾 只需要用鼠標(biāo)右鍵點(diǎn)擊 然后選擇 屬性 在常規(guī)選項(xiàng)卡下點(diǎn)擊 高級(jí) 按鈕 之后在彈出的窗口中選中 加密內(nèi)容以保護(hù)數(shù)據(jù) 然后點(diǎn)擊確定 等待片刻數(shù)據(jù)就加密好了 如果你加密的是一個(gè)文件夾 系統(tǒng)還會(huì)詢(xún)問(wèn)你 是把這個(gè)加密屬性應(yīng)用到文件夾上還是文件夾以及內(nèi)部的所有子文件夾 按照你的實(shí)際情況來(lái)操作即可 解密數(shù)據(jù)也是很簡(jiǎn)單的 同樣是按照上面的方法 把 加密內(nèi)容以保護(hù)數(shù)據(jù) 前的鉤消除 然后確定 如果你不喜歡圖形界面的操作 還可以在命令行模式下用 cipher 命令完成對(duì)數(shù)據(jù)的加密和解密操作 至于 cipher 命令更詳細(xì)的使用方法則可以通過(guò)在命令符后輸入 ciph

21、er 并回車(chē)獲得 注意事項(xiàng) 如果把未加密的文件復(fù)制到具有加密屬性的文件夾中 這些文件將會(huì)被自動(dòng)加密 若是將加密數(shù)據(jù)移出來(lái) 如果移動(dòng)到NTFS分區(qū)上 數(shù)據(jù)依舊保持加密屬性 如果移動(dòng)到FAT分區(qū)上 這些數(shù)據(jù)將會(huì)被自動(dòng)解密 被EFS加密過(guò)的數(shù)據(jù)不能在Windows中直接共享 如果通過(guò)網(wǎng)絡(luò)傳輸經(jīng)EFS加密過(guò)的數(shù)據(jù) 這些數(shù)據(jù)在網(wǎng)絡(luò)上將會(huì)以明文的形式傳輸 NTFS分區(qū)上保存的數(shù)據(jù)還可以被壓縮 不過(guò)一個(gè)文件不能同時(shí)被壓縮和加密 最后一點(diǎn) Windows的系統(tǒng)文件和系統(tǒng)文件夾無(wú)法被加密 給鼠標(biāo)的右鍵菜單中增添 加密 和 解密 的選項(xiàng) 在運(yùn)行中輸入 regedit 并回車(chē) 打開(kāi)注冊(cè)表編輯器 定位到HKEY LO

22、CAL MACHINE SOFTWARE Microsoft Windows CurrentVersion Explorer Advanced 在 編輯 菜單上點(diǎn)擊 新建 Dword值 輸入 EncryptionContextMenu 作為鍵名 并設(shè)置鍵值為 1 現(xiàn)在退出注冊(cè)表編輯器 打開(kāi)資源管理器 任意選中一個(gè)NTFS分區(qū)上的文件或者文件夾 然后點(diǎn)擊鼠標(biāo)右鍵 就可以在右鍵菜單中找到相應(yīng)的選項(xiàng) 直接點(diǎn)擊就可以完成加密解密的操作 多用戶(hù)禁止特殊文件夾加密 如果你想設(shè)置禁止加密某個(gè)文件夾 可以在這個(gè)文件夾中創(chuàng)建一個(gè)名為 Desktop ini 的文件 然后用記事本打開(kāi) 并添加如下內(nèi)容 Encryp

23、tion Disable 1之后保存并關(guān)閉這個(gè)文件 這樣 以后要加密這個(gè)文件夾的時(shí)候就會(huì)收到錯(cuò)誤信息 除非這個(gè)文件被刪除 禁用EFS加密功能 如果要徹底禁用EFS加密 可以打開(kāi) 注冊(cè)表編輯器 定位到 HKEY LOCAL MACHINE SOFTWARE Microsoft WindowsNT CurrentVersion EFS 在 編輯 菜單上單擊 新建 Dword值 然后輸入EfsConfiguration作為鍵名 并設(shè)置鍵值為 1 這樣本機(jī)的EFS加密就被禁用了 注 注冊(cè)表項(xiàng)設(shè)置完成后 必須重新啟動(dòng)計(jì)算機(jī)才可使設(shè)置生效 如何保證EFS加密的安全和可靠 前面我們已經(jīng)了解到 在EFS加密體

24、系中 數(shù)據(jù)是靠FEK加密的 而FEK又會(huì)跟用戶(hù)的公鑰一起加密保存 解密的時(shí)候順序剛好相反 首先用私鑰解密出FEK 然后用FEK解密數(shù)據(jù) 可見(jiàn) 用戶(hù)的密鑰在EFS加密中起了很大作用 密鑰又是怎么來(lái)的呢 在Windows2000 XP中 每一個(gè)用戶(hù)都有一個(gè)SID SecurityIdentifier 安全標(biāo)示符 以區(qū)分各自的身份 每個(gè)人的SID都是不相同的 并且有唯一性 在第一次加密數(shù)據(jù)的時(shí)候 操作系統(tǒng)就會(huì)根據(jù)加密者的SID生成該用戶(hù)的密鑰 并把公鑰和私鑰分開(kāi)保存起來(lái) 供用戶(hù)加密和解密數(shù)據(jù) 如何避免不慎使用EFS加密帶來(lái)的損失 方法 備份密鑰和設(shè)置恢復(fù)代理1 備份密鑰1 在運(yùn)行中輸入 certmg

25、r msc 然后回車(chē) 打開(kāi)證書(shū)管理器 2 利用管理控制臺(tái)mmc打開(kāi)證書(shū)管理器 注意 在你加密過(guò)文件或文件夾后 打開(kāi)證書(shū)管理器 在 當(dāng)前用戶(hù) 個(gè)人 證書(shū) 路徑下 應(yīng)該可以看見(jiàn)一個(gè)以你的用戶(hù)名為名稱(chēng)的證書(shū) 如果你還沒(méi)有加密任何數(shù)據(jù) 這里是不會(huì)有證書(shū)的 導(dǎo)出的證書(shū)將是一個(gè)pfx為后綴的文件 具體步驟 第一步 首先以本地帳號(hào)登錄 最好是具有管理員權(quán)限的用戶(hù) 然后單擊 開(kāi)始 運(yùn)行 輸入 MMC 后回車(chē) 打開(kāi)控制臺(tái)面板界面 第二步 單擊控制臺(tái)面板的 文件 添加刪除管理單元 在彈出的 添加 刪除管理單元 對(duì)話框中單擊 添加 按鈕 在 添加獨(dú)立管理單元 對(duì)話框中選擇 證書(shū) 后 單擊 添加 按鈕添加該單元 如果

26、是管理員 會(huì)要求選擇證書(shū)方式 選擇 我的用戶(hù)證書(shū) 然后單擊 關(guān)閉 按鈕 單擊 確定 按鈕返回控制面板 第三步 依次展開(kāi)左邊的 控制臺(tái)根節(jié)點(diǎn) 證書(shū) 個(gè)人 證書(shū) 選擇右邊窗口中的賬戶(hù) 右擊選擇 所有任務(wù) 導(dǎo)出 彈出 證書(shū)導(dǎo)出向?qū)?如圖 第四步 單擊 下一步 按鈕 選擇 是 導(dǎo)出私鑰 單擊 下一步 按鈕 勾選 私人信息交換 下面的 如果可能 將所有證書(shū)包括到證書(shū)路徑中 和 啟用加強(qiáng)保護(hù) 項(xiàng) 單擊 下一步 按鈕 進(jìn)入設(shè)置密碼界面 第五步 輸入設(shè)置密碼 這個(gè)密碼非常重要 一旦遺忘 將永遠(yuǎn)無(wú)法獲得 以后也就無(wú)法導(dǎo)入證書(shū) 輸入完成以后單擊 下一步 按鈕 選擇保存私鑰的位置和文件名 第六步 單擊 完成 按鈕

27、彈出 導(dǎo)出成功 對(duì)話框 表示你的證書(shū)和密鑰已經(jīng)導(dǎo)出成功了 打開(kāi)保存密鑰的路徑 會(huì)看到一個(gè) 信封 鑰匙 的圖標(biāo) 這就是你寶貴的密鑰 丟失了它 不僅僅意味著你再也打不開(kāi)你的數(shù)據(jù) 也意味著別人可以輕易打開(kāi)你的數(shù)據(jù) 重裝操作系統(tǒng)之后找到之前導(dǎo)出的pfx文件 鼠標(biāo)右鍵點(diǎn)擊 并選擇 安裝PFX 之后會(huì)出現(xiàn)一個(gè)導(dǎo)入向?qū)?按照導(dǎo)入向?qū)У奶崾就瓿刹僮?注意 如果你之前在導(dǎo)出證書(shū)時(shí)選擇了用密碼保護(hù)證書(shū) 那么在這里導(dǎo)入這個(gè)證書(shū)時(shí)就需要提供正確的密碼 否則將不能繼續(xù) 而之前加密的數(shù)據(jù)也就全部可以正確打開(kāi) 小提示 確保你導(dǎo)入的密鑰有查看的權(quán)利 否則就是導(dǎo)入了也沒(méi)有用的 這一點(diǎn)要求在導(dǎo)出時(shí)就要做到 記住導(dǎo)出時(shí)設(shè)置的密碼

28、最好使用和導(dǎo)出是相同的用戶(hù)名 2 設(shè)置恢復(fù)代理 略 EFS加密的常見(jiàn)疑問(wèn) 1 為什么打開(kāi)加密過(guò)的文件時(shí)沒(méi)有需要我輸入密碼 這正是EFS加密的一個(gè)特性 同時(shí)也是EFS加密和操作系統(tǒng)緊密結(jié)合的最佳證明 因?yàn)楦话愕募用苘浖煌?EFS加密不是靠雙擊文件 然后彈出一個(gè)對(duì)話框 然后輸入正確的密碼來(lái)確認(rèn)的用戶(hù)的 EFS加密的用戶(hù)確認(rèn)工作在登錄到Windows時(shí)就已經(jīng)進(jìn)行了 一旦你用適當(dāng)?shù)馁~戶(hù)登錄 那你就能打開(kāi)相應(yīng)的任何加密文件 并不需要提供什么額外的密碼 2 我的加密文件已經(jīng)打不開(kāi)了 我能夠把NTFS分區(qū)轉(zhuǎn)換成FAT32分區(qū)來(lái)挽救我的文件嗎 這是不可能的了 很多人嘗試過(guò)各種方法 例如把NTFS分區(qū)轉(zhuǎn)換成

29、FAT32分區(qū) 用NTFSDOS之類(lèi)的軟件到DOS下去把文件復(fù)制到FAT32分區(qū)等 不過(guò)這些嘗試都以失敗告終 畢竟EFS是一種加密 而不是一般的什么權(quán)限之類(lèi)的東西 這些方法對(duì)付EFS加密都是無(wú)濟(jì)于事 而如果你的密鑰丟失或者沒(méi)有做好備份 那么一旦發(fā)生事故所有加密過(guò)的數(shù)據(jù)就可能都沒(méi)救了 3 我加密數(shù)據(jù)后重裝了操作系統(tǒng) 現(xiàn)在加密數(shù)據(jù)不能打開(kāi)了 如果我使用跟前一個(gè)系統(tǒng)相同的用戶(hù)名和密碼可以嗎 這當(dāng)然也是不行的 我們?cè)谇懊嬉呀?jīng)了解到 跟EFS加密系統(tǒng)密切相關(guān)的密鑰是根據(jù)每個(gè)用戶(hù)的SID得來(lái)的 盡管你在新的系統(tǒng)中使用了相同的用戶(hù)名和密碼 但是這個(gè)用戶(hù)的SID已經(jīng)變了 這個(gè)可以理解為兩個(gè)同名同姓的人 雖然他

30、們的名字相同 不過(guò)指紋絕不可能相同 那么這種想法對(duì)于只認(rèn)指紋不認(rèn)人名的EFS加密系統(tǒng)當(dāng)然是無(wú)效的 4 被EFS加密過(guò)的數(shù)據(jù)是不是就絕對(duì)安全了呢 當(dāng)然不是 安全永遠(yuǎn)都是相對(duì)的 以被EFS加密過(guò)的文件為例 如果沒(méi)有合適的密鑰 雖然無(wú)法打開(kāi)加密文件 不過(guò)仍然可以刪除 所以對(duì)于重要文件 最佳的做法是NTFS權(quán)限和EFS加密并用 這樣 如果非法用戶(hù)沒(méi)有合適的權(quán)限 將不能訪問(wèn)受保護(hù)的文件和文件夾 而即使擁有權(quán)限 沒(méi)有密鑰同樣還是打不開(kāi)加密數(shù)據(jù) 5 我只是用Ghost恢復(fù)了一下系統(tǒng) 用戶(hù)賬戶(hù)和相應(yīng)的SID都沒(méi)有變 怎么以前的加密文件也打不開(kāi)了 這也是正常的 因?yàn)镋FS加密所用到的密鑰并不是在創(chuàng)建用戶(hù)的時(shí)候生成 而是在你第一次用EFS加密文件的時(shí)候 如果你用Ghost創(chuàng)建系統(tǒng)的鏡像前還沒(méi)有加密過(guò)任何文件 那你的系統(tǒng)中就沒(méi)有密鑰 而這樣的系統(tǒng)制作的鏡像當(dāng)然也就不包括密鑰 一旦你加密了文件 并用Ghost恢復(fù)系統(tǒng)到創(chuàng)建鏡像的狀態(tài) 解密文件所用的密鑰就丟失了