EFS nos da un encriptación segura de la información. La encriptación es tan segura, que si perdemos la clave para desencriptar los datos, la información. estará irremediablemente perdida. Windows XP no tiene una "puerta trasera" si la clave se pierde.
Inocentemente podemos perder la clave por varios motivos:
* Por ejemplo, manipulando en la caja de dialogo de Certificados o en la consola de Certificados (certmgr.msc) podemos sin querer, borrar el certificado de encriptación.
* Podemos tener, por ejemplo, los datos almacenados en carpetas encriptadas en un segundo volumen (disco D:, por ejemplo). E imaginemos que decidimos por problemas reinstalar Windows. Formateamos C:\ e instalamos. Por desgracia, en cada instalación de Windows, aunque los nombre y claves de usuario sean las mismas, Windows crea un nuevo identificador de seguridad (SID) para cada usuario. Por tanto, las claves de encriptación y el certificado de seguridad, serán diferentes al ser nuevo el SID del usuario. En este caso, o tenemos copia de los certificados anteriores, o habremos perdido también irremediablemente la información. encriptada en nuestro segundo disco duro (D
.
Con un poco de cuidado, estos escenarios tan dramáticos pueden prevenirse. Para ello, sigamos los siguientes pasos (por primera vez):
1) Creamos una carpeta vacía, y le colocamos los atributos de encriptada.
2) Creamos o guardamos cualquier fichero de texto en dicha carpeta. Esto encriptará un archivo por primera vez.
3) Si nuestra máquina no es parte de un Dominio, creamos un agente de recuperación. Una segunda cuenta de usuario podrá ser usada con este agente para desencriptar los ficheros. Veremos más adelante como crear este agente de recuperación.
4) Guardamos el certificado de agente de recuperación. y el certificado personal de encriptación (en un disquete, por ejemplo y a salvo de terceras personas). Este último certificado no se creará hasta que hayamos realizado la primera encriptación, por ello es por lo que hemos realizado, por primera y única vez, los pasos 1) y 2).
5) Ahora ya podemos empezar a encriptar los datos sensibles.