Как расшифровать данные EFS с помощью сертификата пользователя

С помощью технологии EFS любой пользователь Windows может надежно защитить свои приватные данные путем их шифрования. В предыдущей статье мы подробно рассматривали практическое применение технологии EFS для шифрования данных. Доступ любых других пользователей к зашифрованным папкам и файлам невозможен.

Чтобы предоставить другим пользователям возможность расшифровать зашифрованные с помощью EFS файлы или чтобы иметь возможность работы с зашифрованными файлами на другом компьютере, необходимо экспортировать сертификат EFS и импортировать его в другую учетную запись / на другой компьютер.

Определить учетную запись, зашифровавшую файл можно с помощью команды:

cipher /c c:SecretDataprinter.xlsx

Как вы видите, данный файл зашифрован пользователем root.

Чтобы у пользователя появилась возможность работы с файлом, зашифрованным с помощью EFS необходимо, чтобы в локальном хранилище сертификатов пользователя хранился сертификат EFS с закрытым ключом пользователя, который зашифровал файл (или закрытый ключ сертификата агента восстановления Recovery Agent). Сертификат может быть экспортирован только самим пользователем (в данном примере root) и передан вместе с паролем защиты сертификата другому пользователю, которому необходимо предоставить право работы с зашифрованными данными (еще раз напомним, что при принудительной смене пароля пользователя-владельца сертификата, выгрузить корректный сертификат с EFS ключом не получится).

Сначала нужно перенести EFS-сертификат и связанный с ним закрытый ключ на компьютер, содержащий зашифрованные файлы. Сертификат и ключ хранятся в полученном от владельца-сертификата .pfx файле (достаточно просто скопировать этот файл).

Примечание. Импорт сертификата должен выполнятся из-под учетной записи, обладающей правами локального администратора.

Чтобы импортировать EFS сертификат дважды щелкните по pfx файлу, в результате чего запустится мастер импорта сертификата. Укажите, что сертификат импортируется для текущего пользователя (Current User)

Проверьте путь к файлу сертификата.

Далее необходимо указать пароль защиты сертификата, указанный при экспорте.

Если необходимо можно отметить опции защиты закрытого ключа:

• Enable strong private key protection – при каждом использовании сертификата будет запрашиваться пароль защиты закрытого ключа (не рекомендуется)
• Mark this key as exportable – разрешить в дальнейшем экспортировать данный ключ
• Include all extended properties – импортировать все расширенные атрибуты (опция должна быть выбрана обязательно)

Затем необходимо выбрать хранилище сертификата. Выберите Place all certificates in the following store и нажмите на кнопку обзор (Browse).

Укажите, что сертификат будет хранится в личном (Personal) хранилище и нажмите OK.

Осталось нажать Next и Finish. В случае успешного импорта сертификата появится сообщение

The import was successful

После того, как EFS сертификат импортирован , он появится в консоли управления сертификатами (certmgr.msc) в разделе Personal.

После импорта сертификата из под текущей учетной записи можно прозрачно работать с данными, зашифрованными EFS, или полностью расшифровать данные, сняв атрибут Encrypt contents to secure data.

Примечание. Чтобы система (учетная запись SYSTEM) могла работать с зашифрованными файлами, EFS сертификат пользователя необходимо также импортировать в раздел Personal сертификатов локального компьютера (certmgr.msc ->Certificates (Local Computer)).