允许访问复制加密文件 - 加密方法与程序
问题描述
用户califauna在Windows账户上启用了EFS加密,希望将数据同步到OneDrive,但要求文件以加密形式复制,而不是解密形式,确保文件永远不会以解密形式出现在OneDrive或离开电脑。
提出的解决方案是在同一台机器的另一个Windows账户上安装Goodsync同步软件,并且不在该用户账户中安装EFS证书,这样软件只能看到文件的加密版本。
技术挑战
当登录到第二个Windows账户进行测试时,虽然可以看到文件,但无法复制粘贴任何文件。尝试将文件复制到桌面时,会出现"没有权限访问该文件"的错误消息。
核心问题:如何设置EFS/文件权限,使得Goodsync能够访问文件进行同步(可能从同一台机器上的不同账户运行),但不能以解密形式查看文件?
技术讨论要点
Windows版本信息
- 用户使用Windows 10 Pro
- 主账户具有管理员权限
- 第二个账户可以设置为管理员或普通用户
加密技术特性
- EFS加密不仅加密文件内容,还涉及访问控制
- 加密与加密用户绑定,而不仅仅是密钥
- 某些加密程序会阻止文件复制作为额外安全措施
技术争议
用户califauna认为从技术原理上,加密文件应该能够被复制:
- 加密文件只是磁盘上的数据段
- 复制加密数据不需要先解密(计算机可以读取加密形式的数据,只是保持乱码状态直到解密)
- 这就是为什么加密驱动器可以通过克隆/镜像复制 - 它只是复制原始数据
然而在实际测试中,Windows确实阻止了这种复制过程,特别是在某些Windows操作系统上。
未解决的技术问题
-
为什么Windows 10运行EFS不仅加密文件,有时还会阻止没有EFS密钥安装的用户读取加密文件(原始加密形式)?
-
是否存在EFS策略阻止这种操作?这种策略是什么,是否可以移除,为什么不能移除?
-
是否有可行的解决方案或变通方法实现加密文件的同步,同时保持文件始终处于加密状态?
该问题自2024年1月提出,至今仍在寻求技术解决方案和原理解释。