[发明专利]一种加密文件系统数据的恢复方法和装置

权利要求书

1.一种加密文件系统数据的恢复方法，其特征在于包括：

获取加密文件的完整文件和/或碎片文件；

解析出所述加密文件的私钥GUID、公钥指纹和FEK；

根据所述私钥GUID和公钥指纹检索并解密对应私钥文件以提取私钥，利用私钥解密所述FEK，以得到FEK明文；

从所述FEK明文中提取对称加密算法标识符和对称加密算法密钥，再根据所述加密文件数据的相对偏移量解密出所述加密文件数据的明文；

将所述加密文件数据的明文输出给用户。

2.根据权利要求1所述的加密文件系统数据的恢复方法，其特征在于，所述解析出所述加密文件的私钥GUID、公钥指纹和FEK具体包括：

获取所述EFS加密文件和/或碎片文件，提取出所述加密文件的加密属性数据流；

解析所述加密文件的加密属性数据流以得到所述加密文件的私钥GUID、公钥指纹和加密FEK。

3.根据权利要求1所述的加密文件系统数据的恢复方法，其特征在于，所述根据所述私钥GUID和公钥指纹检索并解密对应私钥文件以提取私钥，利用私钥解密所述FEK具体包括：

根据所述私钥GUID和公钥指纹检索所述加密文件的私钥文件和包含私钥文件的个人信息交换标准PFX证书文件；

解密加密文件的私钥文件或PFX证书文件提取对应的私钥。

4.根据权利要求3所述的加密文件系统数据的恢复方法，其特征在于，所述根据所述私钥GUID和公钥指纹检索对应的私钥文件或包含私钥文件的PFX证书文件具体包括：

如果检索到的加密文件的私钥文件，则提取私钥文件中标准的DPAPI加密块，从标准的DPAPI加密块提取主密钥GUID；

以所述主密钥GUID为关键字在所述数据源的用户主密钥存储区下检索主密钥文件及其历史凭据文件；

根据用户登录密码和加密用户SID从所述主密钥文件及其历史凭据文件中解析出64字节主密钥；

根据所述DPAPI加密块信息从所述主密钥派生出会话密钥，使用所述会话密钥解析出所述加密文件的私钥块明文；

从所述私钥块明文的指定位置中提取RSA参数并构造出OPENSSL编码结构的私钥。

5.根据权利要求3所述的加密文件系统数据的恢复方法，其特征在于，所述根据所述私钥GUID和公钥指纹检索对应的私钥文件或包含私钥文件的PFX证书文件具体包括：

如果检索到的私钥为PFX证书文件，将所述PFX证书文件读入内存，并在内存中将所述PFX证书文件从DER编码转化成OPENSSL编码结构；

输入所述PFX证书文件中私钥的加密密码，使用PFX证书中的散列算法，计算对应的消息认证代码以验证加密密码是否正确，验证通过后从所述PFX证书文件中提取OPENSSL编码结构的私钥。

6.根据权利要求1所述的加密文件系统数据的恢复方法，其特征在于，所述从所述FEK明文中提取对称加密算法标识符和对称加密算法密钥具体包括：

从所述FEK明文偏移0字节处读取双字长密钥长度，从所述FEK明文偏移8字节处读取双字长对称加密算法标识符，从所述FEK明文偏移16字节处读取双字长密钥长度的对称加密算法密钥。

7.根据权利要求1所述的加密文件系统数据的恢复方法，其特征在于，所述根据所述加密文件数据的相对偏移量解密出所述加密文件数据的明文具体包括：

根据所述对称加密算法标识符获取对称加密算法的分组长度，将所述加密文件的完整文件和/或碎片文件按照分组长度进行分组，并计算各个分组数据的相对偏移量；

如果第i个分组数据的相对偏移量为512的倍数，则以对称加密算法密钥为密钥，全0向量为初始化向量，以对称加密算法解密该分组数据，以得到该分组数据的明文。

8.根据权利要求7所述的加密文件系统数据的恢复方法，其特征在于，在所述对称加密算法为AES-256高级加密算法时，将所述第i个分组数据转化成二个64位整型数据，并将上述二个64位整型数据与所述第i个分组数据的相对偏移量进行异或操作。

9.根据权利要求7所述的加密文件系统数据的恢复方法，其特征在于，在所述对称加密算法为DES标准加密算法时，将所述第i个分组数据作为一个64位整型数据，并将上述一个64位整型数据与所述第i个分组数据的相对偏移量进行异或操作。