eCryptfs 是一种应用广泛的加密文件系统，可以对某些文件或目录进行选择性保护。虽然它可靠易用，但当需要恢复已删除或丢失的加密数据时，可能会带来一些挑战。如果没有适当的解密措施，检索到的数据将毫无价值，甚至授权用户也无法访问。幸运的是，UFS Explorer Professional Recovery 使还原和解密使用 eCryptfs 加密的文件变得简单，如下所示。

内容：

• eCryptfs 介绍
• 在 NAS 设备的加密共享文件夹上恢复文件
• 从 Linux 下的加密主文件夹还原数据

---

eCryptfs 介绍

eCryptfs是Linux上流行的加密软件包。它在大多数 Linux 发行版的标准存储库中可用，并且通常被 NAS 供应商用于加密群晖 Synology、威联通 QNAP、Asustor、TerraMaster 等设备上的共享文件夹。eCryptfs 不是加密整个驱动器，而是可以保护包含敏感信息的单个文件和目录。它还允许加密文件和目录名称。加密元数据直接存储在文件的标头中，这使得加密项彼此独立。

其部署的整个过程非常简单，结果通常如下所示：

• 文件名由固定前缀“ECRYPTFS_FNEK_ECRYPTED.”组成，后跟 base64 编码的“加密 ID”和 base64 编码的加密文件名;

• 文件的标头具有指示加密的特定格式;

• 实际文件的内容是加密的。

当此类文件被意外删除或丢失时，使用数据恢复软件可以检索到它。然而，由于它的数据是加密的，仍然必须通过有效凭据解锁。可以通过存储文件加密密钥（“加密密码”）的“包装密码”文件或密码本身来完成，密码必须保留为备份副本。

UFS Explorer Professional Recovery 能够解密由各种配置的 eCryptfs 加密的数据，并可以进一步顺利地处理获得的内容。让我们看看如何使用此数据恢复软件处理 eCryptfs 的不同实例。

在 NAS 设备的加密共享文件夹上恢复文件

在第一个示例中，我们有一个群晖 Synology NAS 设备，其“受保护”共享文件夹使用 eCryptfs 加密。

与大多数 NAS 设备一样，该设备采用了简单的 eCryptfs 加密。它使用固定的标准“包装密钥”，而不是从用户密码生成的包装密钥。此密钥用于加密用户定义的“加密密码”，而该密码短语又用于加密给定共享文件夹中的文件。

“加密密码短语”以被“包装”的形式存储在一个特殊的“*.key”文件中。

然而，必须提到的是，来自其他供应商的NAS设备，例如西部数据可能有自己的eCryptfs配置设置及其相应的解密信息。其“加密密码”的备份文件也可能具有不同的格式或位置。

如果正确的“加密密码”或原始的“*.key”文件可用，则可以解密我们 Synology NAS 上的共享文件夹。

使用 UFS Explorer Professional Recovery 组装 Synology NAS 后，我们可以通过该程序检查其“数据”分区的内容。

要访问 NAS 上的共享文件夹列表，需要打开“@syno”文件夹，然后转到“@eaDir”文件夹。

在与“受保护”共享文件夹对应的文件夹中找到的“SYNO@.encrypt”文件显示它已被加密。

实际的加密数据存储在根目录的另一个文件夹中，具有相同的名称，但前后是“@”符号。

要解密文件，我们可以打开文件系统对象的右键菜单，然后选择“转换文件系统文件”选项。

在打开的对话框中，在“解密密码”字段中指定创建共享文件夹时使用的加密密码。

结果，软件中出现了一个新的“eCryptfs过滤器文件系统”选项卡。此选项卡包含与提供的密码匹配的解密文件。

如果忘记了解密密码，也可以从导出的备份“*.key”文件中导出。从 UFS Explorer Professional Recovery 主菜单的“工具”项中，可以找到 “eCryptfs password unwrap” 选项。

在打开的对话框中，浏览到备份“*.key”文件的位置，来设置“密钥文件路径”。

之后，选择“Synology NAS 默认密码”选项，然后单击“unwrap”，从此文件中获取我们的加密密码。

计算出的加密密码可以复制到剪贴板，并在“转换文件系统文件”选项的帮助下用于文件解密。

从 Linux 下的加密主文件夹还原数据

与大多数 NAS 平台不同，Linux 允许通过 eCryptfs 的全功能实现来加密用户的主文件夹。默认情况下，它会创建一个随机文件加密密钥，并且需要用户的密码才能将其从“包装的密码短语”文件中“解包”。这种方法使系统能够支持用户密码的更改，但在文件夹解密方面使事情变得更加复杂。只有在用户的密码（“登录密码”）和“包装密码”文件都可用的情况下，才能执行此操作。

让我们来看看以下 Ubuntu 示例。“User”用户的主文件夹未加密，而“Test 用户已为其主文件夹启用加密。

加密内容位于“.ecryptfs”文件夹中与“测试”用户对应的文件夹的".private"子文件夹中。

“.ecryptfs”子文件夹包含“包装密码”文件。我们可以将此文件保存到其他位置，以便进一步提取原始加密密钥。

现在我们可以应用 UFS Explorer Professional Recovery 主菜单的“工具”项中的“eCryptfs密码解包”选项，从文件中“解包”文件加密密钥。

在打开的对话框中，我们使用“密钥文件路径”选项加载“包装密码”文件，然后将用户的密码（“登录密码”）指定为“包装密码”以解密随机文件加密密钥。

按下“解包”按钮后，程序将显示可以复制到剪贴板的文件加密密钥。

现在我们可以继续执行“转换文件系统文件”选项，该选项显示在文件系统对象的上下文菜单中。

在打开的对话框中，我们将复制的随机加密密钥粘贴到“解密密码”字段中，并将“文件名密钥长度”属性更改为 128 位。

但是，请注意，eCryptfs 的特定实例不包含用于文件名解密的密钥长度信息。如果选择了错误的密钥长度，则即使使用有效的用户密码，也无法正确解密文件名。如果发生这种情况，请尝试使用其他密钥长度选项。

点击“确定”后，软件将打开一个新的“eCryptfs过滤器卷”，其中包含我们“测试”用户的解密主文件夹。