EFS Abk: Encrypting File System
Übers: Verschlüsselndes Datensystem
Das verschlüssende Datensystem von Windows 2000 ermöglicht es Benutzern, ihre Daten in sicherer Form zu speichern. Die Verschlüsselung kann sowohl auf Datei- als auch auf Verzeichnisebene implementiert werden. Die Dateien werden mit symmetrischer Verschlüsselung Blockweise verschlüsselt. Dabei wird je Block ein anderer Schlüssel verwendet. Die Schlüssel für die einzelne Datei werden auf dem Dateisystem im Vorspann der Datei im Datenverschlüsselungsfeld „Data Decryption Field“ (DDF) und im Datenwiderherstellungsfeld „Data Recovery Field“ (DRF) gespeichert. Der automatisch generierte Schlüssel wird für jede Datei individuell ermittelt. Als Kryptoalgorithmus kommt DESX (DESExtended, eine Erweiterung des DES-Algorithmus, um sog. Brute-Force-Attacken zu erschweren) zum Einsatz, wobei innerhalb der USA die volle Schlüssellänge von 120 Bit, ausserhalb jedoch – aufgrund US-amerikanischer Exportbestimmungen – nur 40 Bit angeboten werden. Auf verschlüsselte Dateien hat, neben dem Eigentümer, nur der sog. Wiederherstellungs-Agent (Encrypted Data Recovery Agent), der standardmässig mit dem Administrator der lokalen Domäne übereinstimmt, Zugriff. Er verfügt sozusagen über einen Generalschlüssel. Das „Kopieren“ solchermassen geschützter Dateien ist nur denn möglich, wenn das Benutzerkonto des Eigentümers umbenannt wird. die SID bleibt dann gleich, nur der Name des Eigentümers ändert sich.
