问天阁笔记

版权声明：转载时请以超链接形式标明文章原始出处和作者信息及本声明
http://bufferpool.blogbus.com/logs/41691448.html

    昨天，女朋友告诉我，她的机器上图片都打不开，让我帮他修修。我接过来一看，JPG的照片在Windows Picture Manager里全部显示红色的小叉。一开始我觉得可能是他最近用Ghost恢复系统后Office的安装有什么问题，于是在网上下载了ACDSee，结果依旧无法打开。随后试了试昨天刚刚照的照片，存在同一个目录下，却能够正常显示。看来问题跟软件没有关系，跟Ghost恢复系统有关系。

    将文件夹选项中的“用彩色显示加密或压缩文件”选项打上勾之后，果然，整个目录名和文件名变成了淡绿色，说明确实是NTFS加密或者压缩过的。仔细检查了文件的属性之后发现，所有的文件和目录的高级属性里，都选择了“加密内容以便保护数据”一项。看来果然是加密的问题。

    可问题是，用Ghost恢复了之后，系统应该完全回复到了最初的样子，为什么这些图片具有读写的权限，却不能被打开呢？上网搜了一下，心里顿时凉了半截。原来NTFS文件系统自带的EFS加密并不是以口令的方法加密的，而是以非对称加密方法加密的。第一次选择加密的时候Windows会自动帮你生成证书和私钥，用证书里的公钥加密文件，然后将原始文件删除。这和一般的保护软件使用的口令方法本质不同，一般的保护软件只是做了访问控制，对没有权限的用户拒绝访问，不会改变文件本身的数据。因此，即使忘了密码，一般也有方法能够绕开或者破解。而EFS显然已经将原始文件变成了密文，如果没有私钥的话，是断然不可能破解的。

    想到这里，事情已经清楚了：系统刚安装不久的时候，用Ghost做了备份。中间的某个时候，选中了加密选项，于是系统生成了证书和私钥存储在系统分区。前一阵子，用该备份恢复了系统。然而，关键的关键是，加密是在备份做完之后才启动的。换句话说，备份的映像里根本没有证书和私钥，而恢复前也没有将证书和私钥导出。最终的结果是，证书丢失，数据永远也打不开了。至于为什么仍然有访问和读写权限，那是因为用Ghost恢复后，账户的SID没有改变。如果是重装系统，SID已经改变，就不一定有读写权限了。

     事情的经过就是这样，结果就是两年来一些经历的照片永远也找不回来了，教训不可不谓惨痛也。非对称加密现在虽然被广泛使用在安全领域里，可是它是否真的适合普通用户去操作，我觉得确实还有待研究。加密手段的强力，确实能够安全的保护数据，然后一旦密钥丢失，却也完全没有办法恢复。对于普通用户来说，相比于隐私数据被他人访问，数据永远无法找回也许是更大的损失。（当然，对于cgx君，可能不一定正确）

      最后给大家点建议：轻易不要使用加密的方法来保护你不想让别人看到的数据，因为密码很容易忘记，密钥也会常常因为疏忽而丢失。现代的加密算法都非常强力，一旦没有密钥，数据将用于无法取回。可以使用改名，隐藏，设置访问权限等其他方法来保护数据。同时还要注意，数据放置在一个地方，永远是不安全的，多多备份，分开存储才是王道。