HỌC VIỆN KỸ THUẬT MẬT MÃ

KHOA AN TỒN THƠNG TIN

BÁO CÁO MƠN HỌC

AN TỒN HỆ ĐIỀU HÀNH 
Đề tài: Trình bày cơ chế mã hóa của EFS trong hệ điều
hành Windows

Nhóm sinh viên thực hiện:
TRẦN TUẤN LÂM                    AT150530
PHẠM VĂN THÁI                
ĐẶNG TRỌNG ĐẠT                 
NGUYỄN TÀI DƯƠNG
NGUYỄN ĐỨC
VŨ HOÀNG LONG


Giảng viên hướng dẫn: Trần Sỹ Nam 

Hà Nội, 11-2021
.MỤC

LỤC

LỜI NÓI ĐẦU......................................................................................................................1
Chương 1. Tổng Quan Về Mã Hóa Dữ Liệu......................................................................2
1.1. Khái niệm Mã hóa.........................................................................................................2
1.2. Thuật tốn Mã hóa........................................................................................................2
1.3. Phân loại các phương pháp Mã hóa............................................................................2

1.3.1.
1.3.2.
1.3.3.
1.3.4.

Mã hóa cổ điển.................................................................................................3
Mã hóa một chiều............................................................................................3
Mã hóa đối xứng..............................................................................................4
Mã hóa bất đối xứng.......................................................................................5

CHƯƠNG 2. GIỚI THIỆU EFS TRONG WINDOWS....................................................6
2.1 EFS là gì..........................................................................................................................6
2.2 Mơ hình và cơ chế hoạt động của EFS.........................................................................8
2.2.1 Mơ hình EFS...........................................................................................................8
2.2.2 Cơ chế hoạt động của EFS.....................................................................................8
2.3 Một số điểm cần lưu ý khi sử dụng EFS trên Windows...........................................12
2.4 So sánh Bitlocker với EFS...........................................................................................13
CHƯƠNG 3. QUÁ TRÌNH HOẠT ĐỘNG CỦA EFS....................................................16
3.1 Mã hóa tệp lần đầu.......................................................................................................16
3.2 Mã hóa dữ liệu tệp........................................................................................................18
3.3 Quá trình giải mã.........................................................................................................19


3.4 Sao lưu các tệp được mã hóa.......................................................................................19
3.5 Sao chép các tệp mã hóa..............................................................................................21
CHƯƠNG 4: ƯU VÀ NHƯỢC CỦA EFS........................................................................22
4.1 Ưu điểm.........................................................................................................................22
4.2 Nhược điểm...................................................................................................................22
4.3 Làm thế nào một người có thể mất quyền truy cập vào dữ liệu được mã hóa bằng
EFS?.....................................................................................................................................23

4.4 EFS Recovery Agent là gì ?.........................................................................................24
4.5 Cần làm gì khi gặp lỗi hệ thống ?................................................................................25
CHƯƠNG 5: HƯỚNG DẪN SỬ DỤNG EFS TRONG WINDOWS.............................28
5.1 Mã hóa một thư mục sử dụng EFS.............................................................................28
5.2 Khởi tạo và sao lưu khóa giải mã dữ liệu cho tệp đã được mã hóa EFS................32
5.3 Giải mã tệp mã hóa EFS..............................................................................................35
5.4 Bật hoặc tắt tính năng EFS trong Windows.............................................................38
TÀI LIỆU THAM KHẢO..................................................................................................44


LỜI NĨI ĐẦU

Sự phát triển và bùng nổ cơng nghệ thông tin hiện nay thực sự đã tạo nên một cuộc
cách mạng trong việc học tập, nghiên cứu và làm việc và giải trí của hàng triệu người. Trước
đây khi chưa có máy tính, máy in thì việc làm việc với bàn giấy đơn thuần, điện thoại đường
dây cố định, máy điện tín là phổ biến hơn hết. Nhưng với sự phát triển thần kỳ của ngành
công nghệ thông tin và máy tính điện tử đã giúp cho hiệu quả cơng việc, trải nghiệm ngừơi
dùng và cơng nghiệp giải trí số phát triển hơn bao giờ hết.
Lợi ích của ngành đem lại là khơng thể chối cãi, chúng ta có thể lướt web xem tin tức
nghe nhạc xem phim, đồng thời cũng có thể gửi mail hay soạn thảo văn bản… Máy tính văn
phịng, laptop cá nhân xuất hiện ở khắp mọi nơi. Phục vụ từ mục đích của tổ chức, cá nhân,
làm việc cho đến giải trí. Tuy nhiên, ngành cơng nghệ thơng tin cũng khơng chỉ tồn những
điều tốt đẹp. Ngày nay, mọi người đều nói về bảo mật thơng tin bởi vì nó thực sự ảnh hưởng
đến bất kỳ ai sử dụng (tương đối) các thiết bị điện tử hiện đại. Trong số rất nhiều ý tưởng để
tăng cường bảo mật thơng tin, mã hóa là một biện pháp được khuyến nghị theo bất kỳ chuyên
gia bảo mật nào.
Mã hóa là một biện pháp bảo vệ quyền riêng tư thơng tin mạnh mẽ, hỗ trợ tính tồn vẹn
của thơng tin và thậm chí có thể giúp bạn tránh bị phạt theo quy định nếu bạn làm việc trong
ngành được quản lý chặt chẽ. Windows đã bắt kịp xu hướng này và cung cấp cho người dùng
một vài tùy chọn khác nhau để mã hóa thơng tin. Trong số các tùy chọn này là Hệ thống tệp

được mã hóa (EFS).

1


CHƯƠNG 1. TỔNG QUAN VỀ MÃ HÓA DỮ LIỆU

1.1. Khái niệm Mã hóa
Mã hóa là một phương pháp bảo vệ thông tin, bằng cách chuyển đổi thông tin từ dạng rõ
sang dạng mã. Nó có thể giúp bảo vệ thơng tin khỏi những kẻ đánh cắp thơng tin, dù có được
thông tin cũng không thể hiểu được nội dung của nó.

1.2. Thuật tốn Mã hóa
Thuật tốn mã hóa là một thuật tốn nhằm mã hóa thơng tin, biến đổi thơng tin từ dạng
rõ sang dạng mờ, để ngăn cản việc đọc trộm nội dung của thông tin
Thông thường các thuật tốn sử dụng một hoặc nhiều khóa để mã hóa và giải mã (Ngoại
trừ những thuật tốn cổ điển). Có thể coi khóa này như một mật khẩu để có thể đọc được nội
dung mã hóa. Người gửi sẽ dùng khóa mã hóa để mã hóa thơng tin sang dạng mờ, và người
nhận sẽ sử dụng khóa giải mã để giải mã thông tin sang dạng rõ. Chỉ những người nào có
khóa giải mã mới có thể đọc được nội dung.
Nhưng đơi khi "kẻ thứ ba" (Hacker) khơng có khóa giải mã vẫn có thể đọc được thơng
tin, bằng cách phá vỡ thuật tốn. Và có một ngun tắc là bất kì thuật tốn mã hóa nào cũng
đều có thể bị phá vỡ. Do đó khơng có bất kì thuật tốn mã hóa nào được coi là an tồn mãi
mãi. Độ an tồn của thuật tốn được dựa vào ngun tắc:


Nếu chi phí để giải mã một khối lượng thơng tin lớn hơn giá trị của khối lượng thơng

tin đó thì thuật tốn đó được tạm coi là an tồn.



tồn.

2

Nếu thời gian để phá vỡ một thuật toán là quá lớn thì thuật tốn được tạm coi là an


1.3. Phân loại các phương pháp Mã hóa
Có rất nhiều loại phương pháp mã hóa khác nhau đã ra đời. Mỗi loại có những ưu và
nhược điểm riêng. Có thể phân chia các phương pháp mã hóa thành 4 loại chính:


Mã hóa cổ điển



Mã hóa một chiều



Mã hóa đối xứng



Mã hóa bất đối xứng

1.3.1. Mã hóa cổ điển
Đây là phương pháp mã hóa đầu tiên và cố xưa nhất, hiện nay rất ít được dùng đến so
với các phương pháp khác. Ý tưởng của phương pháp này rất đơn giản, bên A mã hóa thơng

tin bằng thuật tốn mã hóa cổ điển, và bên B giải mã thông tin, dựa vào thuật tốn của bên A,
mà khơng dùng đến bất kì khóa nào. Do đó, độ an tồn của thuật tốn sẽ chỉ dựa vào độ bí
mật của thuật tốn, vì chỉ cần ta biết được thuật tốn mã hóa, ta sẽ có thể giải mã được thơng
tin.
1.3.2. Mã hóa một chiều
Đơi khi ta chỉ cần mã hóa thơng tin chứ khơng cần giải mã thơng tin, khi đó ta sẽ dùng
đến phương pháp mã hóa một chiều (Chỉ có thể mã hóa chứ khơng thể giải mã). Thơng
thường phương pháp mã hóa một chiều sử dụng một hàm băm (hash function) để biến một
chuỗi thông tin thành một chuỗi hash có độ dài nhất định. Ta khơng có bất kì cách nào để
khơi phục (hay giải mã) chuỗi hash về lại chuỗi thông tin ban đầu.
Đặc điểm của hash function là khi thực hiên băm hai chuỗi dữ liệu như nhau, dù trong
hồn cảnh nào thì nó cũng cùng cho ra một chuỗi hash duy nhất có độ dài nhất định và
thường nhỏ hơn rất nhiều so với chuỗi gốc, và hai chuỗi thơng tin bất kì dù khác nhau rất ít
cũng sẽ cho ra chuỗi hash khác nhau rất nhiều. Do đó hash function thường được sử dụng để
kiểm tra tính tồn vẹn của dữ liệu. 

3


Ngồi ra có một ứng dụng mà có thể thường gặp, đó là để lưu giữ mật khẩu. Vì mật
khẩu là một thứ cực kì quan trọng, do đó khơng nên lưu mật khẩu của người dùng dưới dạng
rõ, vì như vậy nếu bị kẻ thứ ba tấn công, lấy được CSDL thì có thể biết được mật khẩu của
người dùng. Do đó, mật khẩu của người dùng nên được lưu dưới dạng chuỗi hash, và đối với
máy chủ thì chuỗi hash đó chỉnh là “mật khẩu” đăng nhập. Dù kẻ đó có lấy được CSDL thì
cũng khơng tài nào có thể giải mã được chuỗi hash để tìm ra mật khẩu của người dùng.
Thuật tốn mã hóa một chiều (hàm băm) thường gặp nhất là MD5 và SHA.
1.3.3. Mã hóa đối xứng
Mã hóa đối xứng (Hay cịn gọi là mã hóa khóa bí mật) là phương pháp mã hóa mà khóa
mã hóa và khóa giải mã là như nhau (Sử dụng cùng một khóa bí mật để mã hóa và giải mã).
Đây là phương pháp thông dụng nhất hiện nay dùng để mã hóa dữ liệu truyền nhận giữa hai

bên. Vì chỉ cần có khóa bí mật là có thể giải mã được, nên bên gửi và bên nhận cần làm một
cách nào đó để cùng thống nhất về khóa bí mật.
Để thực hiện mã hóa thơng tin giữa hai bên thì:


Đầu tiên bên gửi và bên nhận bằng cách nào đó sẽ phải thóa thuận khóa bí mật được

dùng để mã hóa và giải mã. Vì chỉ cần biết được khóa bí mật này thì bên thứ ba có thể giải
mã được thơng tin, nên thơng tin này cần được bí mật truyền đi.


Sau đó bên gửi sẽ dùng một thuật tốn mã hóa với khóa bí mật tương ứng để mã hóa

dữ liệu sắp được truyền đi. Khi bên nhận nhận được sẽ dùng chính khóa bí mật đó để giải mã
dữ liệu.
Vấn đề lớn nhất của phương pháp mã hóa đối xứng là làm sao để “thỏa thuận” khóa bí
mật giữa bên gửi và bên nhận, vì nếu truyền khóa bí mật từ bên gửi sang bên nhận mà không
dùng một phương pháp bảo vệ nào thì bên thứ ba cũng có thể dễ dàng lấy được khóa bí mật
này.

4


Các thuật tốn mã hóa đối xứng thường gặp: DES, AES…
1.3.4. Mã hóa bất đối xứng
Mã hóa bất đối xứng (Hay cịn gọi là mã hóa khóa cơng khai) là phương pháp mã hóa
mà khóa mã hóa (public key – khóa cơng khai) và khóa giải mã (private key – khóa bí mật)
khác nhau. Nghĩa là khóa sử dụng để mã hóa dữ liệu sẽ khác với khóa dùng để giải mã dữ
liệu. Tất cả mọi người đều có thể biết được khóa cơng khai (kể cả hacker), và có thể dùng
khóa cơng khai này để mã hóa thơng tin. Nhưng chỉ có người nhận mới nắm giữ khóa bí mật,

nên chỉ có người nhận mới có thể giải mã được thơng tin.
Để thực hiện mã hóa bất đối xứng:


Bên nhận sẽ tạo ra một gặp khóa (khóa cơng khai và khóa bí mật). Bên nhận sẽ dữ lại

khóa bí mật và truyền cho bên gửi khóa cơng khai. Vì khóa này là cơng khai nên có thể
truyền tự do mà không cần bảo mật.


Bên gửi trước khi gửi dữ liệu sẽ mã hóa dữ liệu bằng thuật tốn mã hóa bất đối xứng

với khóa là khóa cơng khai từ bên nhận.


Bên nhận sẽ giải mã dữ liệu nhận được bằng thuật tốn được sử dụng ở bên gửi, với

khóa giải mã là khóa bí mật.
Điểm yếu lớn nhất của mã hóa bất đối xứng là tốc độ mã hóa và giải mã rất chậm so với
mã hóa đối xứng, nếu dùng mã hóa bất đối xứng để mã hóa dữ liệu truyền – nhận giữa hai
bên thì sẽ tốn rất nhiều chi phí.
Do đó, ứng dụng chỉnh của mã hóa bất đối xứng là dùng để bảo mật khóa bí mật cho mã
hóa đối xứng: Ta sẽ dùng phương pháp mã hóa bất đối xứng để truyền khóa bí mật của bên
gửi cho bên nhận. Và hai bên sẽ dùng khóa bí mật này để trao đổi thơng tin bằng phương
pháp mã hóa đối xứng.
Thuật tốn mã hóa bất đối xứng thường thấy: RSA

5



CHƯƠNG 2. GIỚI THIỆU EFS TRONG WINDOWS.

2.1 EFS là gì
EFS (Encrypting File System) là một dịch vụ mã hóa tệp được cung cấp trong
Windows 10 và tất cả các phiên bản Windows từ Windows 200 trở lại. Được coi là anh
em họ với BitLocker, EFS mã hóa các tệp và thư mục một cách nhanh chóng và đặc
biệt hữu ích khi các tệp này được lưu trữ trên hệ thống Windows có nhiều người dùng.
Điều này là do EFS được kết nối với người dùng, khơng phải máy, vì vậy nhiều người
dùng có thể mã hóa tệp của họ mà không gây rủi ro cho những người dùng khác cũng
nhận được quyền truy cập trên máy tính đó.
EFS có cách tiếp cận gia tăng đối với mã hóa. Điều này có nghĩa là nó có khả
năng mã hóa các tệp và thư mục riêng lẻ và không được thực hiện ở cấp độ ổ đĩa. Điều
này mang lại sự lựa chọn của người dùng nhiều hơn so với các phương pháp mã hóa
khác.
Đây là một phương pháp nhanh và đáng tin cậy để mã hóa dữ liệu trên hệ thống
Windows. Mặc dù vậy, nó khơng phải là khơng có nhược điểm bảo mật. Khóa mã hóa
tệp được lưu trữ cục bộ hoặc trên ổ đĩa flash, có thể rất dễ bị dịm ngó bởi những người
dùng khác. Thơng tin cũng có thể bị rị rỉ vào các tệp tạm thời của hệ thống vì các tệp
này khơng được mã hóa.
EFS cho phép chúng ta mã hóa các tệp và thư mục bằng khóa mã hóa cơng khai
gắn với một người dùng cụ thể. Sau đó, chỉ có thể sử dụng các tệp được mã hóa này
bằng cách sử dụng khóa riêng tư mà người dùng đã mã hóa tệp có quyền truy cập. Q
trình này được gọi là mã hóa khóa cơng khai (PKI - Public Key Infrastructure). Trong
PKI, người dùng có hai khóa. Một là khóa cơng khai được lưu trong chứng chỉ và khóa
riêng tư. Người dùng có thể sử dụng khóa cơng khai để mã hóa dữ liệu và khóa riêng
tư để đọc dữ liệu đã mã hóa. Khóa cá nhân được lưu giữ trong kho lưu trữ chứng chỉ
riêng tư của người dùng. Vì vậy, bất cứ thứ gì mà chúng ta mã hóa bằng khóa cơng
khai chỉ có thể được giải mã bằng khóa riêng tư.
Hệ thống tệp mã hóa (EFS) là một chức năng của Hệ thống tệp công nghệ mới
(NTFS – New Technology File System) được tìm thấy trên các phiên bản khác nhau



của Microsoft Windows. EFS tạo điều kiện thuận lợi cho việc mã hóa và giải mã các
tệp trong suốt bằng cách sử dụng các thuật toán mật mã tiêu chuẩn, phức tạp.
Các thuật toán mật mã được sử dụng trong EFS để cung cấp các biện pháp đối
phó bảo mật hữu ích, theo đó chỉ người nhận theo chủ đích mới có thể giải mã mật
mã. EFS sử dụng các khóa đối xứng và khơng đối xứng trong q trình mã hóa, nhưng
nó khơng bảo vệ việc truyền dữ liệu. Nói đúng hơn, nó bảo vệ các tệp dữ liệu trong hệ
thống. Ngay cả khi ai đó có quyền truy cập vào một máy tính nhất định, cho dù được
phép hay khơng, họ vẫn khơng thể mở khóa mật mã EFS mà khơng có khóa bí mật.
EFS thực sự là một cơng nghệ mã hóa khóa cơng khai minh bạch hoạt động với
quyền NTFS để cho phép hoặc từ chối quyền truy cập của người dùng vào các tệp và
thư mục trong các hệ điều hành Windows (OS) khác nhau, bao gồm NT (không bao
gồm NT4), 2000 và XP (không bao gồm XP Home Edition).
Các tính năng chính của EFS như sau:
 Q trình mã hóa rất dễ dàng. Chọn check box trong thuộc tính của tệp
hoặc thư mục để bật mã hóa.
 EFS cung cấp quyền kiểm sốt ai có thể đọc tệp.
 Các tệp được chọn để mã hóa sẽ được mã hóa sau khi đóng nhưng sẽ tự
động sẵn sàng để sử dụng sau khi mở.
 Tính năng mã hóa của tệp có thể bị xóa bằng cách xóa check box trong
thuộc tính tệp.
Mặc dù được nhiều tổ chức sử dụng, EFS phải được thực hiện một cách thận
trọng, để tránh việc mã hóa nội dung đáng ra là phải minh bạch, thay vì an tồn. Điều
này khá phức tạp bởi thực tế là có thể gặp khó khăn khi giải mã nội dung dữ liệu
khơng được mã hóa ngay từ đầu.
Cần lưu ý rằng khi một thư mục được đánh dấu là mã hóa, tất cả các tệp chứa
trong thư mục đó cũng được mã hóa, bao gồm cả các tệp trong tương lai được chuyển
đến thư mục cụ thể đó. Tuy nhiên, chúng ta có thể tùy chỉnh lại cài đặt này.
Mật khẩu mã hóa là đặc điểm nhận dạng, vì vậy điều quan trọng là nhân viên

phải tránh chia sẻ mật khẩu và điều quan trọng không kém là người dùng phải nhớ mật
khẩu của họ.


2.2 Mơ hình và cơ chế hoạt động của EFS
2.2.1 Mơ hình EFS
Mơ hình được EFS sử dụng là mã hóa các tệp và thư mục bằng cách sử dụng
mã hóa đối xứng (một khóa được sử dụng để mã hóa và giải mã tệp). Sau đó, khóa mã
hóa đối xứng được mã hóa bằng cách sử dụng mã hóa khơng đối xứng (một khóa để
mã hóa — thường được gọi là khóa cơng khai — và một khóa khác để giải mã —
thường được gọi là khóa “riêng tư”) cho mỗi người dùng được cấp quyền truy cập vào
tệp.
EFS sử dụng mã hóa khóa đối xứng với thuật tốn đối xứng gọi là DESX. Mã
hóa đối xứng. Mã hóa khóa đối xứng này được tạo thành từ hai thành phần - khóa mã
hóa tệp (FEK) và cơng nghệ khóa cơng khai.
Khi một tệp hoặc thư mục được mã hóa, FEK được lưu trữ trong header (tiêu
đề) của tệp được mã hóa và người dùng sẽ tự lưu trữ khóa cơng khai. Mã hóa đối xứng
này mang lại cho EFS một lợi thế về thời gian so với bản sao bất đối xứng của nó bởi
cách mã hóa tệp này nhanh hơn hàng nghìn lần. Việc sao lưu khóa được coi là nên làm
vì khóa đó thậm chí có thể cung cấp cho bạn quyền truy cập vào các tệp được mã hóa
nếu bạn mất quyền truy cập vào tài khoản người dùng.
2.2.2 Cơ chế hoạt động của EFS
EFS sử dụng một thuộc tính mã hố để đưa vào các file bảo vệ EFS. Khi thuộc
tính này được kích hoạt, EFS lưu trữ các file dưới dạng file được mã hoá bằng mật mã.
Khi một người dùng được cho phép mở File mã hố này trong một ứng dụng thì EFS
sẽ tiến hành giải mã file và cung cấp một bản có thể đọc cho ứng dụng đó. Người dùng
này có thể xem hoặc chỉnh sửa file mã hố này và EFS sẽ lưu trữ các chỉnh sửa này lại
dưới dạng đã được mã hoá. Những người dùng khác sẽ khơng thể mở hoặc chỉnh sửa
file mã hố này.
Những File được bảo vệ bởi EFS có độ tin cậy và an toàn ngay cả trong trường

hợp những người truy nhập trái phép muốn dùng các công cụ đọc nội dung đĩa cứng
cấp thấp để đọc các file này. Khi sử dụng EFS để mã hoá File hay thư mục, EFS sẽ
sinh ra một File Encryption Key (FEK) chứa một con số ngẫu nhiên. Số ngẫu nhiên
này được hệ thống sử dụng trong giải thuật DESX để tạo ra File mã hố và ghi nó vào


ổ cứng. Hệ thống cũng tiến hành mã hoá FEK bằng Public key của người dùng và lưu
trữ nó với file mã hoá. Khi truy nhập vào file mã hoá này hệ thống sữ dùng Private key
của người dùng để giải mã FEK và dùng FEK vừa được giải mã này để giải mã File đã
mã hoá. Khi sử dụng EFS lần đầu, hệ thống sẽ sinh ra một cặp khố Private/Public
Key nếu nó chưa có. (Trong mơi trường AD cặp khố này được lưu trữ trên Domain
controller cịn trong mơi trường khơng có AD nó được lưu trên máy tính mà bạn tiến
hành mã hố file).
EFS là hệ thống mã hố dựa trên hạ tầng khố cơng (Public key Cryptography),
sử dụng FEK được sinh ngẫu nhiên để mã hoá dữ liệu. Hệ thống cơ sở mã hố khố
cơng sử dụng một cặp khoá Public/Private key để tiến hành quá trình mã hố và giải
mã. Khố cơng (Public key) sẵn có cho tất cả người dùng sử dụng để mã hố FEK và
khố riêng (Private key – phần bí mật của người dùng) để giải mã FEK. Hệ thống định
dạng tập tin NTFS lưu trữ một danh mục các FEK cùng với các file mã hố bằng các
thuộc tính đặc biệt của EFS là Data Decryption Fields (DDFs) và Data Recovery
Fields (DRFs).
Q trình mã hố EFS thực hiện như sau:
1. Sinh ra một a bulk symmetric encryption key
2. Mã hoá file bằng bulk symmetric encryption key đã sinh ra
3. Mã hoá bulk encryption key bằng EFS public key của người dùng
4. Lưu trữ encrypted bulk key trong data decryption field (DDF) và đưa nó vào
EFS file.
EFS có thể dùng private key của người dùng để giải mã bulk encryption key và giải
mã ln file đã mã hố.
Kỹ thuật lưu trữ khoá của EFS dựa trên kiến trúc mã hoá Win2k CryptoAPI.

Kiến trúc mã hố này lưu trữ khố cơng (public key) và khoá riêng (private key) của
người dùng độc lập với nhau từ FEK được sinh ngẫu nhiên. Điều này cho việc lưu trữ
Public/private key của người dùng có thể thực hiện trên nhiều thiết bị lưu trữ khác
nhau như NTFS Folder, Smart card,…phục vụ cho các hệ thống chứng thực khác nhau.
EFS hoạt động với API Windows Cryptography Next Generation (CNG) và do
đó có thể được định cấu hình để sử dụng bất kỳ thuật toán nào được hỗ trợ bởi (hoặc
được thêm vào) CNG. Theo mặc định, EFS sẽ sử dụng Advanced Encryption Standard


(AES) cho mã hóa đối xứng (khóa 256 bit) và Rivest-Shamir-Adleman (RSA) thuật
tốn khóa cơng khai cho mã hóa khơng đối xứng (khóa 2.048 bit).
Người dùng có thể mã hóa tệp qua Windows Explorer bằng cách mở hộp thoại
Properties của tệp, nhấp vào Advanced, rồi chọn tùy chọn Encrypt contents to secure
dât, như trong Hình 1.1.
(Một tệp có thể được mã hóa hoặc nén, nhưng thực hiện cả 2 thì khơng thể.)
Người dùng cũng có thể mã hóa tệp thơng qua tiện ích command-line có tên Cipher (%
SystemRoot% \ System32 \ Cipher.exe) hoặc lập trình bằng Windows API như
EncryptFile và AddUsersToEncryptedFile.

Hình 1.1: Mã hóa tệp bằng cách sử dụng hộp thoại Advanced Attributes

Windows tự động mã hóa các tệp nằm trong các thư mục được chỉ định, là các
thư mục được mã hóa. Khi một tệp được mã hóa, EFS tạo một số ngẫu nhiên cho tệp
mà EFS gọi là File Encryption Key (FEK). EFS sử dụng FEK để mã hóa nội dung của


tệp bằng mã hóa đối xứng. Sau đó, EFS mã hóa FEK bằng khóa cơng khai khơng đối
xứng của người dùng và lưu trữ FEK được mã hóa trong luồng dữ liệu thay thế $EFS
cho tệp. Nguồn của khóa cơng khai có thể được chỉ định bằng quyền hạn đến từ chứng
chỉ X.509 hoặc thẻ thông minh hoặc được tạo ngẫu nhiên (sau đó sẽ được thêm vào

kho lưu trữ chứng chỉ của người dùng, có thể xem bằng cách sử dụng Certificate
Manager - Trình quản lý chứng chỉ (% SystemRoot% \ System32 \ Certmgr.msc). Sau
khi EFS hoàn thành các bước này, tệp được bảo mật: người dùng khác không thể giải
mã dữ liệu mà khơng có FEK giải mã của tệp và họ không thể giải mã FEK mà khơng
có chìa khóa cá nhân.
Các thuật tốn mã hóa đối xứng thường rất nhanh, điều này làm cho chúng phù
hợp để mã hóa những dữ liệu có dung lượng lớn, chẳng hạn như dữ liệu tệp. Tuy
nhiên, các thuật toán mã hóa đối xứng có một điểm yếu: bạn có thể vượt qua bảo mật
của chúng nếu bạn lấy được khóa. Nếu nhiều người dùng muốn chia sẻ một tệp được
mã hóa chỉ được bảo vệ bằng cách sử dụng mã hóa đối xứng, mỗi người dùng sẽ yêu
cầu quyền truy cập vào FEK của tệp. Việc để cho FEK khơng được mã hóa rõ ràng sẽ
là một vấn đề bảo mật, nhưng đã từng mã hóa FEK một lần sẽ yêu cầu tất cả người
dùng chia sẻ cùng một khóa giải mã FEK — một vấn đề bảo mật tiềm ẩn khác.
Giữ an toàn cho FEK là một vấn đề khó khăn khi mà EFS giải quyết bằng khóa
cơng khai dựa trên một nửa kiến trúc mã hóa của nó. Việc mã hóa FEK của tệp cho các
người dùng cá nhân truy cập tệp cho phép nhiều người dùng chia sẻ một tệp được mã
hóa. EFS có thể mã hóa FEK của tệp bằng khóa cơng khai của mỗi người dùng và có
thể lưu trữ FEK đã được mã hóa của mỗi người dùng trong luồng dữ liệu $EFS của
tệp. Bất kỳ ai cũng có thể truy cập vào khóa cơng khai của người dùng, nhưng khơng
một ai có thể sử dụng khóa cơng khai để giải mã dữ liệu mà khóa cơng khai đã mã hóa.
Cách duy nhất người dùng có thể giải mã một tập tin là sử dụng khóa cá nhân của họ.
Khóa riêng tư của một người dùng để giải mã bản sao được mã hóa của người dùng
trong FEK của tệp. Các thuật tốn dựa trên khóa cơng khai thường khá chậm, nhưng
EFS chỉ sử dụng các thuật tốn này để mã hóa FEK. Phân tách sự quản lý khóa giữa
một khóa cơng khai khả dụng và khóa riêng tư giúp cho việc quản lý khóa dễ dàng hơn
một chút so với các thuật tốn mã hóa đối xứng và giải quyết vấn đề nan giải trong
việc giữ an toàn cho FEK.


Một số thành phần cần phải hoạt động cùng nhau để EFS hoạt động, như sơ đồ

của kiến trúc EFS ở hình dưới. EFS được hợp nhất vào trình điều khiển NTFS. Bất cứ
khi nào NTFS gặp phải tệp được mã hóa, NTFS thực thi các chức năng EFS mà nó
chứa đựng. Các chức năng EFS mã hóa và giải mã dữ liệu tệp như ứng dụng truy cập
các tệp được mã hóa. Mặc dù EFS lưu trữ FEK với dữ liệu của tệp, nhưng khóa cơng
khai của người dùng mã hóa FEK. Để mã hóa hoặc giải mã dữ liệu tệp, EFS phải giải
mã FEK của tệp với sự hỗ trợ của dịch vụ quản lý khóa CNG nằm trong chế độ người
dùng.

Hình 1.2: Kiến trúc EFS
Local Security Authority Subsystem (LSASS;% SystemRoot% \ System32 \
Lsass.exe) quản lý các phiên đăng nhập và lưu trữ dịch vụ EFS. Ví dụ: khi EFS cần


giải mã FEK để giải mã dữ liệu tệp mà người dùng muốn truy cập, NTFS sẽ gửi yêu
cầu đến dịch vụ EFS bên trong LSASS.

2.3 Một số điểm cần lưu ý khi sử dụng EFS trên Windows
 EFS chỉ làm việc trên hệ thống định dạng tập tin NTFS
 EFS khơng làm việc nếu hệ thống khơng có Recovery Agent (nếu bạn không
thực hiện hệ thống sẽ tự động gán một user để làm việc này)
 EFS có thể dùng để mã hoá và giải mã đối với tập tin và thư mục trên một máy
tính khác.
 EFS khơng thực hiện mã hoá tập tin hay thư mục hệ thống được
 EFS không thực hiện được trên các tập tin và thư mục đã được Compress
(NTFS compress)
 Khi copy tập tin hay thư mục vào một thư mục đã mã hố nó cũng bị mã hố
theo.
 Khi di chuyển một tập tin hay một thư mục từ một thư mục mã hoá đến một thư
mục khác hãy để ý đến thuộc tính mã hố vẫn cịn thực thi đối với nó sau khi di
chuyển

 Khi di chuyển một tập tin hay thư mục được mã hoá sang thư mục nằm trên
phân vùng có định dạng tập tin là FAT thì thuộc tính mã hố sẽ khơng cịn
 EFS chỉ tiến hành mã hố nội dung của các file. Nó chỉ ngăn cấm các truy xuất
để đọc dữ liệu trái phép, không ngăn cấm các thao tác như sao chép, xoá, di
chuyển, đổi tên,… Các thao tác này được thực hiện bằng NTFS permission.

2.4 So sánh Bitlocker với EFS
 BitLocker là giải pháp mã hóa tồn bộ ổ đĩa của bạn.
Khi thiết lập BitLocker, bạn sẽ mã hóa tồn bộ một phân vùng - như phân vùng
hệ thống Windows, một phân vùng trên một ổ đĩa nội bộ, hoặc ngay cả một phân vùng
trên ổ đĩa USB flash.... Bạn có thể mã hóa một số file với BitLocker bằng cách tạo ra
một file có chứa mã hóa. Về cơ bản file có chứa mã hóa này là một ổ cứng ảo (virtual
disk hay disk image). BitLocker sẽ hoạt động bằng cách làm việc với ổ cứng ảo và mã
hóa tồn bộ những gì có trong ổ cứng ảo đó. Nếu bạn muốn mã hóa ổ cứng để bảo vệ
dữ liệu nhạy cảm không bị rơi vào tay kẻ xấu, đặc biệt là trong trường hợp Laptop của
bạn bị trộm thì BitLocker là lựa chọn hàng đầu. BitLocker sẽ mã hóa toàn bộ ổ đĩa do


đó bạn khơng cần phải lo lắng file nào đã được mã hóa và file nào chưa được mã hóa.
Tồn bộ hệ thống của bạn sẽ được mã hóa. Việc mã hóa cũng khơng phụ thuộc vào tài
khoản người dùng. Khi một Admin kích hoạt BitLocker, các file trên các tài khoản
người dùng khác trên máy tính sẽ được mã hóa. Trên Windows 10 và 8.1, mã hóa ổ đĩa
(drive encryption) có phần hạn chế hơn, bởi vì nó chỉ mã hóa tồn bộ ổ đĩa mà khơng
mã hóa các file cá nhân trên đó.

Hình 1.5: Bitlocker trong Windows

 EFS mã hóa các file cá nhân
Thay vì mã hóa tồn bộ ổ đĩa của bạn, bạn có thể sử dụng EFS để mã hóa riêng
các tập tin và thư mục. Trong khi tính năng của bitlocker là "thiết lập và qn nó

đi" thì EFS u cầu bạn lựa chọn các tập tin mà bạn muốn mã hóa và thay đổi thiết
lập. Để lựa chọn các tập tin mà bạn muốn mã hóa, trên cửa sổ File Explorer, chọn
một thư mục hoặc tập tin cá nhân, sau đó mở cửa sổ Properties. Ở tùy chọn
Attributes, bạn chọn Advanced, sau đó kích hoạt tùy chọn "Encrypt contents to
secure data". Việc mã hóa này dựa trên cơ sở mỗi người sử dụng. Bạn chỉ có thế


truy cập các tập tin mã hóa bằng tài khoản người dùng cụ thể đã mã hóa các tập tin
đó. Khi bạn đăng nhập tài khoản người dùng đã mã hóa các tập tin, bạn có thể truy
cập các tập tin mà không cần phải xác nhận bất kỳ thông tin bổ sung nào. Nếu bạn
đăng nhập bằng một tài khoản khác, bạn không thể truy cập được các tập tin.Các
key mã hóa được lưu trữ trong hệ điều hành của nó và hầu như khơng sử dụng đến
phần cứng TPM trên máy tính của bạn. Tuy nhiên các key này có thể bị hacker tấn
cơng.
EFS khơng mã hóa tồn bộ ổ đĩa mà chỉ mã hóa các tập tin cá nhân, do đó các
tập tin trên một hệ thống cụ thể sẽ khơng được bảo vệ. Ngồi ra các tập tin được
mã hóa có thể bị "rị rỉ" ra các khu vực khơng được mã hóa. Ví dụ, nếu một chương
trình tạo ra một file cache tạm thời sau khi bạn mở một tài liệu được mã hóa bằng
EFS, các thông tin nhạy cảm, tập tin bộ nhớ cache và dữ liệu nhạy cảm của tài liệu
đó sẽ được lưu trữ trong thư mục khác khơng được mã hóa.Về cơ bản BitLocker là
một tính năng của Windows có thể mã hóa tồn bộ ổ đĩa thì EFS mất điểm trong
việc bảo vệ các file hệ thống NTFS.

Hình 1.6: EFS trong Windows


CHƯƠNG 3. Q TRÌNH HOẠT ĐỘNG CỦA EFS

3.1 Mã hóa tệp lần đầu
Trình điều khiển NTFS gọi các chức năng hỗ trợ EFS khi nó gặp một tệp mã

hóa. Các thuộc tính của tệp lưu lại thơng tin tệp mã hóa theo cùng một cách mà tệp lưu
lại thơng tin khi nó được nén . NTFS có các giao diện cụ thể để chuyển đổi tệp từ dạng
khơng mã hóa sang dạng mã hóa, nhưng các thành phần chế độ người dùng chủ yếu là
để thúc đẩy quá trình. Như đã mơ tả trước đó, Windows cho phép chúng ta mã hóa tệp
theo hai cách: bằng cách sử dụng tiện ích command-line cipher hoặc bằng cách chọn
Encrypt Contents To Secure Data trong hộp thoại Advanced Attributes cho tệp trong
Windows Explorer. Cả Windows Explorer và lệnh cipher đều dựa vào API Windows
EncryptFile mà file Advapi32.dll ((Advanced Windows APIs DLL) xuất ra.
EFS chỉ lưu trữ một khối thông tin trong một tệp được mã hóa và khối đó chứa
một mục nhập cho mỗi người dùng chia sẻ tệp. Các mục nhập này được gọi là key
entry và EFS lưu trữ chúng trong phần trường giải mã dữ liệu (DDF) của dữ liệu EFS
của tệp. Tập hợp nhiều key entry được gọi là key ring bởi vì, như đã đề cập trước đó,
EFS cho phép nhiều người dùng chia sẻ các tệp được mã hóa.
Hình 1.3 bên dưới cho thấy định dạng thơng tin EFS và định dạng key entry
của tệp. EFS lưu trữ đủ thông tin trong phần đầu tiên của key entry để mơ tả chính xác
khóa cơng khai của người dùng. Dữ liệu này bao gồm ID bảo mật của người dùng
(SID) (lưu ý rằng SID không cần thiết phải có xuất hiện), tên vùng chứa mà ở đó khóa
được lưu trữ, tên nhà cung cấp mật mã và hàm băm chứng chỉ cặp khóa bất đối xứng.
Quy trình giải mã chỉ sử dụng hàm băm chứng chỉ cặp khóa bất đối xứng. Phần thứ hai
của key entry có chứa phiên bản được mã hóa của FEK. EFS sử dụng CNG để mã hóa
FEK với thuật tốn mã hóa bất đối xứng đã chọn và khóa cơng khai của người dùng.


Hình 1.3: Định dạng thơng tin EFS và các key entry
EFS lưu trữ thông tin về các key entry khôi phục trong trường khôi phục dữ liệu
của tệp (DRF). Định dạng của các mục DRF giống với định dạng của các mục DDF.
Mục đích của DRF là cho phép các tài khoản được chỉ định, hoặc các Recovery Agent,
giải mã tệp của người dùng khi quản trị viên có quyền truy cập vào dữ liệu. Ví dụ: giả
sử một nhân viên của công ty quên mật khẩu đăng nhập của mình. Một quản trị viên
có thể đặt lại mật khẩu cho người dùng, nhưng khi khơng có Recovery Agent, khơng ai

có thể khơi phục dữ liệu đã được mã hóa của người dùng.
Recovery Agent được định nghĩa với chính sách bảo mật Encrypted Data
Recovery Agents trong máy tính cục bộ hoặc miền. Chính sách này có sẵn từ phần
đính kèm Local Security Policy MMC, như được hiển thị trong Hình 1.4. Khi bạn sử
dụng Add Recovery Agent Wizard (bằng cách nhấp chuột phải vào Encrypting File
System và sau đó nhấp vào Add Data Recovery Agent), bạn có thể thêm Recovery
Agent và chỉ định riêng các cặp khóa cơng khai hoặc riêng tư (được chỉ định bởi
chứng chỉ của chúng) mà các Recovery Agent sử dụng để khôi phục EFS. Lsasrv
(Lsasrv.dll là một tập tin DLL (Thư Viện Liên Kết Thông Minh) , phát triển bởi
Microsoft, một thành phần thiết yếu, đảm bảo cho các chương trình Windows hoạt
động bình thường) thơng dịch chính sách khơi phục khi nó khởi tạo và khi nó nhận
được thơng báo rằng việc khơi phục chính sách đã thay đổi. EFS tạo một key entry
DRF cho mỗi Recovery Agent bằng cách sử dụng mật mã mà nhà cung cấp đã đăng ký
cho việc khôi phục EFS.


Hình 1.4: Nhóm chính sách Encrypted Data Recovery Agents
Bước cuối cùng trong việc tạo thông tin EFS cho một tệp, Lsasrv tính tốn
checksum cho DDF và DRF bằng cách sử dụng cơ sở hàm băm MD5 của Base
Cryptographic Provider 1.0. Lsasrv lưu trữ kết quả checksum trong header thông tin
EFS. EFS tham chiếu đến checksum này trong quá trình giải mã để đảm bảo rằng nội
dung của thông tin EFS của tệp không bị hỏng hoặc bị giả mạo.

3.2 Mã hóa dữ liệu tệp
Khi người dùng mã hóa một tệp hiện có, q trình sau sẽ xảy ra:
1. Dịch vụ EFS mở tệp để truy cập một cách độc quyền.
2. Tất cả các luồng dữ liệu trong tệp được sao chép sang tệp plaintext (bản rõ) tạm
thời trong thư mục tạm thời của hệ thống.
3. Một FEK được tạo ngẫu nhiên và được sử dụng để mã hóa tệp bằng cách sử
dụng DESX hoặc 3DES, tùy thuộc vào chính sách bảo mật an toàn.

4. Một DDF được tạo để chứa FEK được mã hóa bằng cách sử dụng khóa cơng
khai của người dùng. EFS tự động lấy khóa cơng khai của người dùng từ chứng
chỉ mã hóa tệp X.509 version 3 của người dùng.
5. Nếu một Recovery Agent đã được chỉ định thơng qua Group Policy (Chính sách
Nhóm), một DRF sẽ được tạo để chứa FEK được mã hóa bằng cách sử dụng
RSA và khóa cơng khai của Recovery Agent. EFS tự động lấy khóa cơng khai
của Recovery Agent để khôi phục tệp từ chứng chỉ X.509 version 3 của
Recovery Agent, được lưu trữ trong chính sách khơi phục EFS. Nếu có nhiều
Recovery Agent, một bản sao của FEK được mã hóa bằng cách sử dụng khóa
cơng khai của từng agent và DRF được tạo để lưu trữ mỗi FEK được mã hóa.


6. EFS ghi dữ liệu được mã hóa cùng với DDF và DRF trở lại tệp. Tại vì mã hóa
đối xứng không thêm dữ liệu bổ sung, thước tệp tang rất ít sau khi được mã
hóa. Siêu dữ liệu, chủ yếu bao gồm các FEK được mã hóa, thường nhỏ hơn 1
KB. Kích thước tệp trong byte trước và sau khi mã hóa thường được cho là
giống nhau.
7. “ Tệp bản rõ tạm thời” (temporary plaintext) bị xóa.
Khi người dùng lưu tệp vào một thư mục đã được định cấu hình để mã hóa, q
trình này cũng tương tự xảy ra ngoại trừ việc khơng có tệp tạm thời nào được tạo
ra.

3.3 Quá trình giải mã
Khi một ứng dụng truy cập vào một tệp được mã hóa, q trình giải mã sẽ diễn ra như
sau:
1. NTFS nhận ra rằng tệp đã được mã hóa và gửi u cầu đến trình điều khiển
EFS.
2. Trình điều khiển EFS truy xuất DDF và chuyển nó đến dịch vụ EFS.
3. Dịch vụ EFS truy xuất khóa riêng tư của người dùng từ hồ sơ của người dùng
và sử dụng khóa đó để giải mã DDF và lấy FEK.

4. Dịch vụ EFS chuyển FEK trở lại trình điều khiển EFS.
5. Trình điều khiển EFS sử dụng FEK để giải mã các phần của tệp khi cần thiết
cho ứng dụng.
6. Trình điều khiển EFS trả về dữ liệu đã giải mã cho NTFS, sau đó sẽ gửi dữ liệu
đến ứng dụng đang yêu cầu.

3.4 Sao lưu các tệp được mã hóa
Một khía cạnh quan trọng trong việc thiết kế bất kỳ phương tiện mã hóa tệp nào
là dữ liệu tệp khơng bao giờ có sẵn ở dạng khơng được mã hóa ngoại trừ các ứng
dụng truy cập tệp qua các phương tiện mã hóa. Hạn chế này đặc biệt ảnh hưởng
đến các tiện ích sao lưu, nơi mà phương tiện lưu trữ lưu giữ tệp ở đó. EFS giải
quyết vấn đề này bằng cách cung cấp điều kiện cho các tiện ích sao lưu để chúng
có thể sao lưu và khôi phục các tệp đang trong trạng thái được mã hóa. Do đó, các
tiện ích sao lưu không cần phải giải mã dữ liệu tệp, cũng như khơng cần mã hóa dữ
liệu tệp trong các thủ tục sao lưu của chúng.


Tiện ích sao lưu sử dụng các hàm API EFS OpenEncryptedFileRaw,
ReadEncryptedFileRaw, WriteEncryptedFileRaw và CloseEncryptedFileRaw trong
Windows để truy cập nội dung được mã hóa của tệp. Sau khi tiện ích sao lưu mở
một tệp để truy cập thơ trong q trình sao lưu, tiện ích này gọi
ReadEncryptedFileRaw để lấy dữ liệu tệp.
EFS có một số hàm API khác mà các ứng dụng có thể sử dụng để thao tác với
các tệp được mã hóa.
Ví dụ: các ứng dụng sử dụng hàm API AddUsersToEncryptedFile để cung cấp
quyền truy cập người dùng bổ sung vào một tệp được mã hóa và dùng
RemoveUsersFromEncryptedFile để thu hồi quyền truy cập của người dùng tới
một tệp được mã hóa. Các ứng dụng sử dụng hàm QueryUsersOnEncryptedFile để
lấy thơng tin về các trường khóa DDF và DRF được liên kết của tệp. API
QueryUsersOnEncryptedFile trả về SID, giá trị hàm băm chứng chỉ và hiển thị

thông tin mà mỗi trường khóa DDF và DRF chứa. Các output sau đây là từ tiện ích
EFSDump, từ Sysinternals, khi một tệp được mã hóa được chỉ định làm đối số
dịng lệnh:
C:\>efsdump test.txt
EFS Information Dumper v1.02
Copyright (C) 1999 Mark Russinovich
Systems Internals –
test.txt:
DDF Entry:
DARYL\Mark:
CN=Mark,L=EFS,OU=EFS File Encryption Certificate
DRF Entry:
Unknown user:
EFS Data Recovery
Ta có thể thấy rằng tệp test.txt có một mục nhập DDF cho Mark người dùng và
một mục nhập DRF cho agent phục hồi dữ liệu EFS, là Recovery Agent duy nhất
hiện được đăng ký trên hệ thống


3.5 Sao chép các tệp mã hóa
Khi một tệp mã hóa được sao chép, hệ thống khơng giải mã và mã hóa lại tệp
đó tại đích đến của nó; nó chỉ sao chép dữ liệu được mã hóa và các luồng dữ liệu
thay thế EFS đến đích được chỉ định. Tuy nhiên, nếu điểm đích khơng hỗ trợ các
luồng dữ liệu thay thế — nếu đó khơng phải là ổ đĩa NTFS (chẳng hạn như ổ đĩa
FAT) hoặc là chia sẻ mạng (ngay cả khi chia sẻ mạng là ổ đĩa NTFS) — bản sao
không thể tiến hành một cách bình thường vì các luồng dữ liệu thay thế sẽ bị mất.
Nếu bản sao được thực hiện với Explorer, một hộp thoại thơng báo cho người dùng
rằng ổ đĩa đích khơng hỗ trợ mã hóa và hỏi người dùng xem tệp có nên được sao
chép đến điểm đích khơng được mã hóa hay khơng. Nếu người dùng đồng ý, tập tin
sẽ được giải mã và sao chép đến đích được chỉ định. Nếu sao chép được thực hiện

từ command promp, lệnh sao chép sẽ không thành công và trả về thông báo lỗi
"Tệp được chỉ định không thể được được mã hóa ”

CHƯƠNG 4: ƯU VÀ NHƯỢC CỦA EFS

4.1 Ưu điểm
Công nghệ EFS giúp người dùng khác không thể mở các tệp được mã hóa bởi
một người dùng nếu người đến sau khơng có quyền thích hợp. Sau khi mã hóa được
kích hoạt, tệp vẫn được mã hóa ở bất kỳ vị trí lưu trữ nào trên đĩa, bất kể nó được di
chuyển ở đâu. Mã hóa có thể được sử dụng trên bất kỳ tệp nào, bao gồm cả tệp thực
thi. Người dùng có quyền giải mã tệp có thể làm việc với tệp như với bất kỳ tệp nào


khác mà không cần gặp bất kỳ hạn chế hoặc khó khăn. Trong khi đó, những người
dùng khác nhận được thông báo quyền truy cập hạn chế khi họ cố gắng truy cập tệp
được mã hóa EFS.
Cách tiếp cận này chắc chắn là rất thuận tiện. Người dùng có thể dễ dàng hạn
chế quyền truy cập thơng tin bí mật của các thành viên khác trong gia đình hoặc những
đồng nghiệp cũng sử dụng máy tính.

4.2 Nhược điểm
EFS có vẻ giống như một cơng cụ chiến thắng tồn diện, nhưng sự thật khơng
phải như vậy. Dữ liệu được mã hóa bằng cách sử dụng cơng nghệ này có thể bị mất
hồn tồn, chẳng hạn như trong q trình cài đặt lại hệ điều hành. Chúng ta nên nhớ
rằng các tệp trên đĩa được mã hóa bằng FEK (Khóa mã hóa tệp), được lưu trữ trong
các thuộc tính của chúng. FEK được mã hóa bằng khóa chính, khóa này được mã hóa
bằng các khóa tương ứng của người dùng hệ thống có quyền truy cập vào tệp. Các
phím người dùng bản thân chúng được mã hóa bằng các hàm băm mật khẩu của người
dùng và các hàm băm mật khẩu sử dụng tính năng bảo mật SYSKEY.
Chuỗi mã hóa này, theo các nhà phát triển EFS, có thể bảo vệ dữ liệu một cách

đáng tin cậy, nhưng trên thực tế, như được giải thích bên dưới, khả năng bảo vệ cuối
cùng có thể giảm xuống giống như là chuỗi kết hợp đăng nhập mật khẩu cũ kĩ ngày
nào. Bởi chuỗi mã hóa này, nếu mật khẩu bị mất hoặc đặt lại hoặc nếu hệ điều hành bị
lỗi hoặc được cài đặt lại, sẽ không thể truy cập vào các tệp được mã hóa EFS trên ổ
đĩa. Trong trên thực tế, quyền truy cập có thể bị mất và khơng thể phục hồi. Người
dùng thông thường không hiểu đầy đủ về cách thức hoạt động của EFS và thường phải
trả tiền khi họ mất dữ liệu. Microsoft đã phát hành tài liệu EFS giải thích cách thức
hoạt động và các vấn đề chính có thể gặp phải khi mã hóa, nhưng những điều này rất
khó hiểu đối với người dùng thơng thường, và ít người đọc tài liệu trước khi bắt đầu
làm việc.

4.3 Làm thế nào một người có thể mất quyền truy cập vào dữ liệu được mã
hóa bằng EFS?
Hầu như tất cả chúng ta đều gặp phải trường hợp phải cài lại tồn bộ Windows.
Điều này có thể là do hoạt động của hệ điều hành bị gián đoạn bởi phần mềm độc hại,
một cuộc tấn công vi rút hoặc một sai lầm do người dùng thiếu kinh nghiệm thực hiện,