Восстановление зашифрованных файлов NTFS
Разработчики профессионального ПО для восстановления данных UFS Explorer пояснили принципы восстановления зашифрованных файлов в системах NTFS.
Все зашифрованные файлы хранятся в файловой системе NTFS в специальном формате, который позволяет оперативно дешифровать данные при наличии у пользователя прав доступа. Для простоты шифрования все файлы на диске состоят из двух частей:
• собственно файловые данные в зашифрованной форме;
• необходимые для дешифровки файла метаданные.
Сами файлы хранятся в стандартной форме — исключение составляет только зашифрованное наполнение. Метаданные шифрования хранятся в виде так называемого «сервисного потока» (utility stream) со специальным именем $EFS и содержат идентификационную информацию пользователя и копии ключа шифрования от защищенного файла. Расшифровать экземпляр файлового ключа и тем самым получить доступ к данным пользователь может лишь после аутентификации.
При утрате файла исчезают и метаданные, и зашифрованная информация. Поэтому программа восстанавливает как эти данные, так и взаимосвязи между обеими частями. Возможно использование Windows API для восстановления зашифрованного файла с получением зашифрованной информации и метаданных. Дешифрования файла при этом не происходит, поэтому отвечающий за восстановление специалист не получает доступа к засекреченным данным пользователя. Открыть восстановленный файл пользователь сможет только из оригинального контрольного списка доступа к файлам (т. е. это должен быть владелец файла).
Если же файл не подлежит восстановлению в зашифрованном виде из-за особенностей операционной системы (не Windows или Windows NT4) либо целевая ОС не поддерживает шифрование, он будет пересохранен в специальном зашифрованном формате для резервного копирования. Предложенный Microsoft формат содержит зашифрованную информацию вместе с метаданными. Для восстановления таких файлов используют систему резервного копирования/восстановления Windows EFS API. Для приведения файлов из резервной копии обратно в зашифрованный вид разработчики UFS Explorer предлагают бесплатный инструмент EFS Restoration Tool, входящий в установочный пакет.
Кроме того, в компании отмечают, что ПО UFS Explorer прошло тестирование на соответствие техническим требованиям операционных систем Windows 7 и Windows 8, включая 64-битные версии ПО (пакеты Standard, RAID и Professional Recovery, начиная с версии 5.4).