Encryptie in Windows met Encrypting File System (EFS)
Sommige data houd je wellicht liever voor jezelf en dat lijkt ons niet meer dan een basisrecht. De beste manier om dat te doen blijft vooralsnog stevige encryptie. Je hoeft daar niet per se extra software voor te installeren. Encryptie in Windows is ook mogelijk via Encrypting File System, of EFS. Lees hier hoe.
In de duurdere varianten van Windows XP en hoger (zoals in Windows 10 Pro, Enterprise en Education) zit een degelijk versleutelingsmechanisme ingebouwd: EFS (encrypting file system). Onderliggend werkt EFS met een persoonlijk encryptiecertificaat, dat zowel je publieke als je private sleutel bevat. Windows gebruikt je publieke sleutel om de eigenlijke bestandsencryptiesleutel (FEK, File Encryption Key) te versleutelen.
Deze laatste sleutel is symmetrisch en wordt dus ook gebruikt om de gegevens te ontsleutelen. Aangezien die echter met je publieke sleutel is versleuteld, moet die eerst met je private sleutel worden gedecodeerd. Dit sleutelpaar is echter gekoppeld aan je Windows-account: een andere gebruiker die bij Windows is aangemeld kan je versleutelde data dus niet ontsleutelen.
Er zit hier wel een addertje onder het gras: ben je je wachtwoord voor je login-account vergeten of wijzigt de administrator je wachtwoord, dan krijg je geen toegang meer tot je versleutelde data. Het valt evenmin helemaal uit te sluiten dat data in tijdelijke bestanden kunnen ‘lekken’, gezien bij EFS niet de gehele schijf wordt versleuteld.
Bestanden versleutelen
Je gaat als volgt met EFS aan de slag. Start de Verkenner en rechtsklik op het een bestand of map. Vanaf Windows 10 (1607) hoeven die data zich trouwens niet noodzakelijk op een ntfs-partitie te bevinden; EFS werkt ook op exfat en fat(32). Vervolgens kies je Eigenschappen en klik je op het tabblad Algemeen de knop Geavanceerd aan. Plaats een vinkje bij Inhoud versleutelen om gegevens te beveiligen en bevestig met OK (2x).
Gaat het om een map, dan krijg je de bijkomende vraag of je de wijzigingen – lees: de encryptie – alleen op de inhoud van deze map wilt toepassen, dan wel ook op onderliggende mappen bestanden. Kies je voor de eerste optie dan worden alleen nieuwe bestanden in de hoofdmap versleuteld. Bij de tweede optie worden alle (bestaande en nieuwe) data in hoofd- en submappen versleuteld. Versleutelde bestanden herken je aan het icoon met het gele hangslotje.
Het ontsleutelen gebeurt geheel transparant voor de rechtmatige gebruiker; voor andere gebruikers blijven de data echter versleuteld.
©PXimport
Back-up maken
Je doet er in elk geval verstandig aan een back-up van je certificaat te maken: op die manier kun je nog bij je versleutelde data komen als je certificaat verloren of corrupt is geraakt. Zodra je data met EFS hebt versleuteld, verschijnt een EFS-pictogram in het systeemvak van Windows. Klik dit aan, geef aan dat je een back-up wilt maken en volg de verdere instructies.
Duikt dit pictogram niet op, dan kan het ook nog via de opdrachtprompt met het commando:
cipher /x "%UserProfile%\Desktop\MijnEfsCertificaat"
Zodra je dan het wachtwoord hebt ingetikt waarmee je het back-upbestand wilt afschermen, verschijnt het bestand MijnEfsCertificaat.pfx op je bureaublad, vanwaaruit je het bij voorkeur naar een extern medium kopieert. Of je zet de certificaatsbeheerder in (druk op Windows-toets+R en voer certmgr.msc uit). Open hier de rubriek Persoonlijk / Certificaten, rechtsklik op het certificaat met Encrypting File System in de kolom Beoogde doeleinden en kies Alle taken / Exporteren, waarna je de instructies van de wizard volgt.
Doet zich een calamiteit voor dan kun je je back-up via deze certificaatsbeheerder alsnog importeren: rechtsklik op Persoonlijk, kies Alle taken, Importeren en volg de instructies van de wizard.