如何使用特定於應用程序的密鑰加密目錄？

Question

我正在研究一個C++應用程序，它通過衆多的類，數據庫庫等存儲（並經常訪問）其單個目錄中的許多文件的數據。我想開始使用託管密鑰加密磁盤上的所有數據由應用程序。

在Windows上，通過編程啓用目錄的EFS將是完美的如果應用程序可以直接設置加密密鑰，而不是基於登錄用戶的密碼使用加密密鑰。這似乎不可能。

因爲在讀取/寫入文件的代碼中有很多地方，有些是完全隨機訪問的，所以在沒有直接操作系統支持的情況下，導出類似於操作系統文件操作API的庫是最容易的。

Windows是最大的用戶羣，但在Mac和Linux上可用的東西將是一大利好。

有什麼建議嗎？

Answer 1

您是否考慮過將文件存儲在加密存檔中，如zip文件？不知道你在用什麼語言，很難給出更具體的答案。

Answer 2

我不是專家，但我有幾個建議，
（「用戶」被認爲是男性這裏）

在Windows中，當用戶登錄時，他將所有操縱的權利文件或文件夾屬於他。
但是，如果他試圖操作屬於其他用戶的文件或文件夾，則不允許他這樣做。所以，他不能操縱其他用戶的文件。
如果用戶是管理員，他將擁有操縱文件的所有權限。
在你的情況下，我相信用戶不是管理員。

所以，我建議給你：
創建該應用程序的用戶，說鮑勃（Bob是不是誰去使用這個應用程序的用戶）。
然後，您創建一個文件夾來存儲您的文件，並授予所有權限只有鮑勃（和管理員）。
對於所有其他人，沒有權限對文件夾執行任何操作。
您的應用程序必須由管理員安裝。

當您開始時，您的應用程序會向當前用戶詢問Bob的密碼。
如果密碼正確，
使用您的應用程序允許當前用戶具有完全訪問文件夾權限。然後應用程序可以按照你的意願工作
如果用戶退出應用程序，
刪除當前用戶的所有權限，以便在退出此應用程序後，其他人無法訪問該內容。
但管理員仍然可以訪問此內容。

這與Linux用戶管理類似。
當你得到一個shell時，你可以在完成工作時使用su username來更改用戶，並且他退出shell後，其他人就不能使用這些文件。但root用戶可以在Linux中做任何事情。

但是有一個問題。
管理員可以獲得完整的內容和訪問權限，因爲他可以修改權限。
要禁止此操作，請通過使用任何技術和使用密碼進行壓縮來保存文件。該密碼只有使用它的用戶才知道。在將文件保存到文件夾之前，請使用密碼對其進行壓縮。在使用該文件之前，使用密碼解壓縮它。

如果壓縮密碼與用戶密碼相同，則出現問題。
管理員可以重置用戶密碼，並打開他的帳戶。
爲防止出現這種情況，您可以使用以下技術：
使用zip密碼作爲用戶密碼的反向，以便如果他的密碼是1234，則壓縮密碼是4321，或者使用用戶密碼的哈希值作爲壓縮密碼。
如果zip密碼是散列值，如MD5散列或SHA-1，則由於密碼長度的原因，對zip文件的暴力破解將不起作用。
我不知道這是否是一個工作解決方案或者如果這可以實施或不。
但是，如果你認爲這裏有一些好的想法，你可以從中得到一些想法。

Answer 3

將應用程序配置爲作爲服務帳戶運行，僅用於它。然後，配置EFS。由於應用程序的服務帳戶將擁有這些文件，因此其用戶特定的密鑰應該是唯一有效的EFS密鑰，因此只有應用程序（這是在此新服務帳戶下運行的唯一應用程序）才能夠訪問這些文件。

Answer 4

除非我錯過了你的問題，TrueCrypt似乎是你的理想解決方案。

這將允許：

1. 利用現有的操作系​​統文件API（如安裝量將表現就像正常的音量）
2. 編程管理訪問密鑰（密碼）
3. 限制進入安裝體積（由OS力學）
4. 利用上的所有平臺相同的原則（在Windows，Mac和Linux）

或者，如果您願意，您可以使用它加密/解密單個文件。

有很多關於如何使用它的例子。