Encrypting File System (EFS) kennzeichnet ein System derDateiverschlüsselung aufNTFS-Datenträgern unterWindows-NT-basierten Betriebssystemen wieWindows 2000,Windows XP,Windows Vista,Windows 7,Windows 8,Windows 10 undWindows 11.
Diese Erweiterung ermöglicht es, dass Dateiinhalte selbst dann vertraulich bleiben, wenn fremde Personen – z. B. durch ungenügend gesetzte oder unwirksameZugriffsrechte oder durch den Diebstahl von Datenträgern – Zugriff auf diese erhalten, da sie nur durch den passenden Schlüssel entschlüsselt werden können.
Wenn eine Datei per EFS verschlüsselt wird, generiert das System zunächst einen zufälligenSchlüssel, den sogenanntenFile Encryption Key (FEK), mit dem die Datei dann mittels des symmetrischenVerschlüsselungsverfahrensDES oder ab Windows XP SP1 mittelsAES chiffriert wird. Der FEK wird dann mittels des asymmetrischenRSA-Algorithmus unter Benutzung desöffentlichen Schlüssels des Benutzers verschlüsselt und mit der Datei zusammen abgespeichert. Soll die Datei gelesen werden, wird der FEK mittels desgeheimen Schlüssels des Benutzers entschlüsselt, um damit denKlartext der verschlüsselten Datei wiederherzustellen.
Ein Verlust des geheimen Schlüssels zieht natürlich den Verlust der verschlüsselten Daten nach sich. Um diesem Problem zu begegnen, gibt es die Möglichkeit, den FEK zusätzlich mit dem öffentlichen Schlüssel eines weiteren Benutzers verschlüsselt abzuspeichern. Dieser Benutzer, der sogenannteKey Recovery Agent (KRA), ist standardmäßig der Administrator der verwendeten Windows-Installation (nur Windows 2000). Ab Windows XP muss dieser KRA nachträglich eingerichtet werden (cipher /R:EFS-RA). Es ist jedoch auch möglich, andere Einstellungen vorzunehmen: So kann man beispielsweise einen zentralenKey Recovery Agent in einer gesamten Windows-Netzwerkdomäne einrichten oder auch keinenKey Recovery Agent einstellen.
Ebenso wie zum Zweck der Datenwiederherstellung ist es auch möglich, den FEK jeweils mit den öffentlichen Schlüsseln mehrerer Benutzer verschlüsselt abzuspeichern, sodass in einem Netzwerk oder an einem Computer mit mehrerenBenutzerkonten der gemeinsame Zugriff auf verschlüsselte Dateien ermöglicht wird.
