A criptografia EFS presente no Windows 2000, XP e 2003 é muito importante para a segurança das informações. Sem a chave de descriptografia, uma pessoa não autorizada não possuiria acesso a seus arquivos (ele teria em mãos alguns bytes criptografados sem qualquer sentido). Entretanto, sem algumas medidas de segurança, você mesmo poderá se tornar vítima da proteção.
Por exemplo, quando conectamos um disco criptografado como slave em outro computador. Os dados estão lá, mas inacessíveis.
É possível usar o EFS para criptografar arquivos de dados com o objetivo de impedir o acesso não-autorizado. O EFS usa uma chave de criptografia gerada dinamicamente para criptografar o arquivo. O File Encryption Key (FEK) é criptografado com a chave pública EFS e adicionada ao arquivo como um atributo EFS chamado de Data Decryption Field (DDF). Para descriptografar o FEK, é preciso ter a chave particular EFS correspondente do par de chaves pública-particular. Depois do FEK ser descriptografado, é possível usá-lo na descriptografia do arquivo.
Se a chave particular EFS estiver perdida, será possível usar um agente para recuperar arquivos criptografados. Sempre que um arquivo está criptografado, o FEK também está com a chave particular do Agente de recuperação. O FEK criptografado está anexado ao arquivo com a cópia criptografada pela chave pública EFS no Data Recovery Field DRF. Caso a chave particular do agente de recuperação seja usada, é possível descriptografar o FEK e o arquivo.
Por padrão, se um computador executando o Microsoft Windows 2000 Professional é membro de um grupo de trabalho ou de um domínio do Microsoft Windows NT 4.0, o primeiro administrador local que fizer logon no computador será definido como agente de recuperação padrão. Por padrão, se o computador executando o Windows XP ou o Windows 2000 é membro de um domínio do Windows Server 2003 ou do Windows 2000, a conta Administrador interna no primeiro controlador de domínio será definida como agente de recuperação padrão.
Observe que um computador executando o Windows XP e que é membro de um grupo de trabalho não possui um agente de recuperação padrão. É preciso criar manualmente um agente de recuperação local.
Exportar a chave particular do agente de recuperação de um computador membro de um grupo de trabalho
Para exportar a chave particular do agente de recuperação de um computador membro de um grupo de trabalho, execute as seguintes etapas:
1. Faça logon no computador, usando a conta de usuário local do agente de recuperação.
2. Clique em Iniciar, em Executar, digite mmc e clique em OK.
3. No menu Arquivo, clique em Adicionar/remover snap-in e em Adicionar.
4. Em Snap-ins autônomos disponíveis, clique em Certificados e em Adicionar.
5. Clique em Minha conta de usuário e em Concluir.
6. Clique em Fechar e em OK.
7. Clique duas vezes em Certificados – usuário atual, em Pessoal e em Certificados.
8. Localize o certificado com as palavras "Recuperação de arquivo" (sem as aspas) na coluna Finalidades.
9. Clique com o botão direito do mouse no certificado localizado na etapa 8, aponte para Todas as tarefas e clique em Exportar. O Assistente para exportação de certificados é iniciado.
10. Clique em Avançar.
11. Clique em Sim, exportar a chave particular e em Avançar.
12. Clique em Troca de informações – PKCS nº 12 (*.pfx). Observação: É altamente recomendável que a caixa de seleção Ativar proteção de alta segurança (requer IE 5.0, NT 4.0 SP4 ou superior) também seja marcada para proteger a chave particular de acesso não-autorizado. Se a caixa de seleção Excluir chave particular se a exportação tiver êxito for marcada, a chave particular será removida do computador, e não será possível descriptografar nenhum arquivo criptografado.
13. Clique em Avançar.
14. Especifique a senha e clique em Avançar.
15. Especifique um nome de arquivo e o local para o qual deseja exportar o certificado e a chave particular e clique em Avançar. Observação: É recomendável fazer backup do arquivo em um disco ou dispositivo de mídia removível e o armazenamento deste backup em um local em que é possível confirmar a segurança física do backup.
16. Verifique as configurações exibidas na página Concluindo o Assistente para exportação de certificados e clique em Concluir.
Para exportar a chave particular do agente de recuperação de um computador membro de um grupo de trabalho, execute as seguintes etapas:
1. Faça logon no computador, usando a conta de usuário local do agente de recuperação.
2. Clique em Iniciar, em Executar, digite mmc e clique em OK.
3. No menu Arquivo, clique em Adicionar/remover snap-in e em Adicionar.
4. Em Snap-ins autônomos disponíveis, clique em Certificados e em Adicionar.
5. Clique em Minha conta de usuário e em Concluir.
6. Clique em Fechar e em OK.
7. Clique duas vezes em Certificados – usuário atual, em Pessoal e em Certificados.
8. Localize o certificado com as palavras "Recuperação de arquivo" (sem as aspas) na coluna Finalidades.
9. Clique com o botão direito do mouse no certificado localizado na etapa 8, aponte para Todas as tarefas e clique em Exportar. O Assistente para exportação de certificados é iniciado.
10. Clique em Avançar.
11. Clique em Sim, exportar a chave particular e em Avançar.
12. Clique em Troca de informações – PKCS nº 12 (*.pfx). Observação: É altamente recomendável que a caixa de seleção Ativar proteção de alta segurança (requer IE 5.0, NT 4.0 SP4 ou superior) também seja marcada para proteger a chave particular de acesso não-autorizado. Se a caixa de seleção Excluir chave particular se a exportação tiver êxito for marcada, a chave particular será removida do computador, e não será possível descriptografar nenhum arquivo criptografado.
13. Clique em Avançar.
14. Especifique a senha e clique em Avançar.
15. Especifique um nome de arquivo e o local para o qual deseja exportar o certificado e a chave particular e clique em Avançar. Observação: É recomendável fazer backup do arquivo em um disco ou dispositivo de mídia removível e o armazenamento deste backup em um local em que é possível confirmar a segurança física do backup.
16. Verifique as configurações exibidas na página Concluindo o Assistente para exportação de certificados e clique em Concluir.
Exportar a chave particular do agente de recuperação do domínio
O primeiro controlador de domínio contém o perfil Administrador interno com o certificado público e a chave particular para o agente de recuperação padrão do domínio. O certificado público é importado para a Diretiva do domínio padrão e aplicado aos clientes do domínio, usando a Diretiva de grupo. Se o perfil Administrador ou o primeiro controlador de domínio não estiverem mais disponíveis, a chave particular usada para descriptografar os arquivos criptografados será perdida, e os arquivos não poderão ser recuperados por meio deste agente de recuperação.
Para localizar a Recuperação de dados criptografados, abra a Diretiva do domínio padrão no snap-in Editor de objeto da diretiva de grupo, expanda Configuração do computador, Configurações do Windows, Configurações de segurança e Diretivas de chave pública.
Para exportar a chave particular do agente de recuperação do domínio, execute as seguintes etapas:
1. Localize o primeiro controlador de domínio promovido.
2. Faça logon no controlador de domínio, usando a conta Administrador interna.
3. Clique em Iniciar, em Executar, digite mmc e clique em OK.
4. No menu Arquivo, clique em Adicionar/remover snap-in e em Adicionar.
5. Em Snap-ins autônomos disponíveis, clique em Certificados e em Adicionar.
6. Clique em Minha conta de usuário e em Concluir.
7. Clique em Fechar e em OK.
8. Clique duas vezes em Certificados – usuário atual, em Pessoal e em Certificados.
9. Localize o certificado com as palavras "Recuperação de arquivo" (sem as aspas) na coluna Finalidades.
10. Clique com o botão direito do mouse no certificado localizado na etapa 9, aponte para Todas as tarefas e clique em Exportar. O Assistente para exportação de certificados é iniciado.
11. Clique em Avançar.
12. Clique em Sim, exportar a chave particular e em Avançar.
13. Clique em Troca de informações – PKCS nº 12 (*.pfx). Observação: É altamente recomendável que a caixa de seleção Ativar proteção de alta segurança (requer IE 5.0, NT 4.0 SP4 ou superior) seja marcada para proteger a chave particular de acesso não-autorizado. Se a caixa de seleção Excluir a Chave particular se a exportação tiver êxito for marcada, a chave particular será removida do controlador de domínio. Como melhor prática, recomendamos o uso desta opção. Somente instale a chave particular do agente de recuperação em situações em que for preciso recuperar arquivos. Em todas as demais, exporte e armazene a chave particular do agente de recuperação offline para manter a segurança.
14. Clique em Avançar.
15. Especifique a senha e clique em Avançar.
16. Especifique um nome de arquivo e o local para o qual deseja exportar o certificado e a chave particular e clique em Avançar. Observação: É recomendável fazer backup do arquivo em um disco ou dispositivo de mídia removível e o armazenamento deste backup, em um local em que é possível confirmar a segurança física do backup.
17. Verifique as configurações exibidas na página Concluindo o Assistente para exportação de certificados e clique em Concluir.
O primeiro controlador de domínio contém o perfil Administrador interno com o certificado público e a chave particular para o agente de recuperação padrão do domínio. O certificado público é importado para a Diretiva do domínio padrão e aplicado aos clientes do domínio, usando a Diretiva de grupo. Se o perfil Administrador ou o primeiro controlador de domínio não estiverem mais disponíveis, a chave particular usada para descriptografar os arquivos criptografados será perdida, e os arquivos não poderão ser recuperados por meio deste agente de recuperação.
Para localizar a Recuperação de dados criptografados, abra a Diretiva do domínio padrão no snap-in Editor de objeto da diretiva de grupo, expanda Configuração do computador, Configurações do Windows, Configurações de segurança e Diretivas de chave pública.
Para exportar a chave particular do agente de recuperação do domínio, execute as seguintes etapas:
1. Localize o primeiro controlador de domínio promovido.
2. Faça logon no controlador de domínio, usando a conta Administrador interna.
3. Clique em Iniciar, em Executar, digite mmc e clique em OK.
4. No menu Arquivo, clique em Adicionar/remover snap-in e em Adicionar.
5. Em Snap-ins autônomos disponíveis, clique em Certificados e em Adicionar.
6. Clique em Minha conta de usuário e em Concluir.
7. Clique em Fechar e em OK.
8. Clique duas vezes em Certificados – usuário atual, em Pessoal e em Certificados.
9. Localize o certificado com as palavras "Recuperação de arquivo" (sem as aspas) na coluna Finalidades.
10. Clique com o botão direito do mouse no certificado localizado na etapa 9, aponte para Todas as tarefas e clique em Exportar. O Assistente para exportação de certificados é iniciado.
11. Clique em Avançar.
12. Clique em Sim, exportar a chave particular e em Avançar.
13. Clique em Troca de informações – PKCS nº 12 (*.pfx). Observação: É altamente recomendável que a caixa de seleção Ativar proteção de alta segurança (requer IE 5.0, NT 4.0 SP4 ou superior) seja marcada para proteger a chave particular de acesso não-autorizado. Se a caixa de seleção Excluir a Chave particular se a exportação tiver êxito for marcada, a chave particular será removida do controlador de domínio. Como melhor prática, recomendamos o uso desta opção. Somente instale a chave particular do agente de recuperação em situações em que for preciso recuperar arquivos. Em todas as demais, exporte e armazene a chave particular do agente de recuperação offline para manter a segurança.
14. Clique em Avançar.
15. Especifique a senha e clique em Avançar.
16. Especifique um nome de arquivo e o local para o qual deseja exportar o certificado e a chave particular e clique em Avançar. Observação: É recomendável fazer backup do arquivo em um disco ou dispositivo de mídia removível e o armazenamento deste backup, em um local em que é possível confirmar a segurança física do backup.
17. Verifique as configurações exibidas na página Concluindo o Assistente para exportação de certificados e clique em Concluir.
EFSINFO.EXE
O utilitário Efsinfo.exe do Windows 2000 Resource Kit. Você pode usar Efsinfo para determinar quem o agente de recuperação sistema de arquivos com criptografia (EFS) (EFS) designado é para um arquivo criptografado, e para determinar que originalmente criptografou o arquivo. Veja o documento http://support.microsoft.com/kb/243026/
Práticas recomendadas para o sistema de arquivos com criptografia – http://support.microsoft.com/kb/223316/
Software para recuperação de informações EFS
Mas já vou avisando que nem sempre é possível recuperar… Download http://www.elcomsoft.com/aefsdr.html
Fernando Nishimura de Aragão 
criptografei um arquivo no meu windows xp formatei o pc e instalei o windows 7 professional!! é possivel recuperar esses arqvuios atraves desse metodo??