备份和恢复EFS加密文件私钥

 电脑中数据的安全性越来越受到大家的关注，因此很多人使用Windows2000/XP/2003的NTFS文件系统自带的EFS加密功能把自己的重要数据加密保存起来。虽然EFS加密功能很容易使用，但如果碰到用户帐号被无意删除、重新安装操作系统等情况，这些数据就无法解密了。所以备份和恢复EFS加密文件私钥是件非常重要的工作。

一、EFS加密介绍

   EFS（Encrypting File System加密文件系统）加密是基于公钥策略的。当用户使用EFS加密文件时，首先系统会生成一个“文件加密钥匙（FEK）”，接着使用这个FEK和一定的算法加密文件。随后系统使用用户的公钥加密FEK，并把它存储在同一个加密文件中。当访问EFS加密文件时，系统首先利用该用户的私钥解密FEK，接着使用FEK解密文件。

●文件加密钥匙（File Encryption Key）

它是由系统生成的一组伪随机数构成的，EFS文件系统使用它加密和解密文件。

●公钥和私钥

 它们是在用户第一次使用EFS加密文件时，根据每个用户的SID（Secuity identifiers）产生的，分别用来加密和解密FEK。在Windows系统中用户的SID是唯一，不会出现重复。

二、备份EFS加密文件私钥

  笔者以Windows XP为例，点击“开始à运行”，在运行对话框中输入“certmgr.msc”，点击“确定”按钮后，弹出“证书”窗口（图一），依次展开“证书－当前用户à个人à证书”，在右边框体中右键点击当前用户的证书，在弹出的菜单中选择“所有任务à导出”。

接下来弹出“证书导出向导”对话框，点击“下一步”按钮，在“导出私匙”对话框中选择“是，导出私匙”单选项（图二），点击“下一步”后，指定导出文件格式，使用默认的“私人信息交换”即可（图三），如果想删除与该用户相关联的私钥，一定要选中“如果导出成功，删除密钥”复选框，点击“下一步”后，在“密码”对话框中为私匙设置一个密码（图四），保证它的使用安全，输入私匙保护密码后点击“下一步”，接着要指定导出文件的路径和文件名，应该将此文件保存在比较安全的地方，如优盘、移动硬盘中，为文件起一个适合的文件名后，点击“下一步”，最后完成文件的导出。

注意：该用户需要有管理员权限才能完成私匙的导出。

三、恢复EFS加密文件私钥

当用户帐号被删除或重新安装系统后，用户就无法打开以前使用EFS加密的文件。首先将备份的.pfx文件拷贝到某一目录下，右键单击该文件，在弹出的菜单中选择“安装”（图五），弹出”证书导入向导“对话框”，两次点击“下一步”后，弹出“密码”对话框，在密码栏中输入你设置私匙的保护密码，点击“下一步”后，指定证书存储区（图六），这里选择“根据证书类型，自动选择证书存储区”选项即可，点击“下一步”，接着就完成EFS加密文件私钥的恢复，这样就可以操作以前的EFS加密文件了。