5 ミニッツ セキュリティ アドバイザ
EFS を使用して暗号化されたデータを回復する
それでは、あなたの管理するユーザーが暗号化ファイル システム (EFS) (英語) の素晴らしさを知り、あたりさわりのない文書以外はすべて公共の目に触れないようにするとします。ユーザーの 1 人、ここではボブと呼ぶことにしますが、ボブが 1 時間以内に送らなければならない重要な企業メモの草稿を解読するのに手間取っています。数分後、経理担当者から電話があり、新しいラップトップを入手したため、もう、財務報告を解読できなくなったとのことでした。あなたはアスピリンをさらに 2 粒飲みましたが、効きません。
これらの障害の原因、そしてその解決方法を探るために、EFS およびそのファイルの暗号化、解読方法を見てみましょう。
EFS 回復はどのように機能するか
EFS は公開キー (非対称型) 暗号化と対称型暗号化の両方を使用します。非対称型暗号化は 2 つの異なるキーを使用する暗号化スキームです。これらのキーの 1 つはデータを暗号化するためのもので、もう 1 つは解読用です。同様に、対称型暗号化では、同じキーをデータの暗号化と解読の両方に使用することができます。対称型暗号化は、暗号化スキームの側面 (特にキーです) が公開されないため、公開キー暗号化よりもセキュリティの管理が困難です。しかし、対称型暗号化はプロセッサではさらに容易です。この理由は非対称型暗号化よりも、約 100 から 1,000 倍の速度で行われるためです。EFS は両方のメソッドを組み合わせ、優れたパフォーマンスと強力なセキュリティを同時に提供します。
新しいファイルが暗号化 (英語) されると、EFS サービスはファイルに排他的なロックを行い、ファイル暗号化キー (FEK) を生成します。FEK は対称型キーであり、ファイルの暗号化と解読の両方に使用できます。FEK はそのファイルのみに使用されます。FEK が生成されると、ファイルは暗号化されます。次にEFS はユーザーの公開キーを探します。(英語) EFS はこの公開キーを FEK を暗号化するために使用し、暗号化されたファイルのヘッダーのデータ解読フィールド (DDF) に暗号化された FEK を保存します。
ユーザーがファイルを解読したい場合、EFS はユーザーの秘密キーを取得します。次にその秘密キーを使用して、ファイル ヘッダーの DDF に保存されている FEK を解読し、FEK でファイルを解読します。
ファイル暗号化キーは直接ユーザーに付属しないことに注意して下さい。実際、EFS はファイルのヘッダーの複数の DDF を保存することができます。これにより、複数のユーザーがファイルを解読できるようになります。各 DDF は異なるユーザーの公開キーで暗号化された同じキーを含みます。
アクション : 機密データがシステムのページ ファイルを介し利用可能になってしまう場合もあります。しかし、これは修正が容易です。(英語) ラップトップで休止状態をオフにし、コンピュータをシャットダウンする時、Windows がページ ファイルを削除することを確認して下さい。
データ回復エージェント
DDF を保存するだけでなく、EFS はデータ回復エージェント (DRA) (英語) として指定されている各ユーザー アカウントについて、データ回復フィールド (DRF) を保存します。ここでの目的として、DDF および DRF は同様に動作します。ただし、DDF はファイルのレベルで決定されますが、ローカル コンピュータまたはドメインのすべてのファイルは同じ DRF を持ちます。この動作により、ユーザーがプライマリ キーを紛失した場合でも、信頼される管理者はファイルを解読することができます。Windows XP では、DRA は EFS に現在では必要とされていません。 FEK は、ファイルのヘッダーの DDF および DRF フィールドにのみ存在します。ファイルが 1 つの DDF フィールドのみを持ち、DRF フィールドを持たない場合、ユーザーのみがそのファイルを解読することができます。これは非常にセキュアですが、危険でもあります。ユーザーが秘密キーを紛失した場合、ファイルは失われます。
データを適切に保護するためには、少なくとも 1 つの DRA を使用する必要があります。これは Windows 2000 ドメイン コンピュータで自動です。Windows ドメインを使用していない場合、これらの手順 に従うことにより、DRA を EFS ファイルに指定することができます。
暗号化されたデータをバックアップする
暗号化されたデータをバックアップすることはそのほかのファイルをバックアップすることと同じように容易です。FEK はファイルと保存されるため、ファイルをバックアップする時に特別な事前対策を行う必要はありません。しかし、許可されたユーザーがそのユーザーの秘密キーにアクセスすることができるドメインまたはローカル コンピュータにファイルを復元しない場合、そのファイルを解読することはできません。
公開/秘密キーの組と公開キー証明書をバックアップすることも重要です。公開キーおよび公開キー証明書はユーザー プロファイルの \username\Application Data\ Microsoft\SystemCertificates\My\Certificates フォルダに保存されます。秘密キーは \Documents and Settings\username\Application Data\Microsoft\Crypto\RSA フォルダに保存されます。RSA フォルダに保存されるすべてのデータのように、秘密キーはユーザーのマスタ キー で暗号化されます。キーの組と証明書はユーザー プロファイルに保存されるため、これらはプロファイルがバックアップされる時にバックアップされます。
さらに、キーの組と証明書 (DRA キーを含む) はリムーバブル メディアにエクスポート され、セキュリティで保護された場所に保存されます。DRA のキーを持つユーザーであれば DRA に解読可能なすべてのものを解読できることに注意して下さい。したがって、これらのキーおよびそのバックアップ メディアは安全な場所に保存することが必須です。
データへのユーザーアクセスを復元する
回復アクセスは基本的には、回復されているデータが保存されるコンピュータの回復ポリシーにより制御されます。ドメインの一部ではないスタンドアロン コンピュータについては、ローカル コンピュータでポリシーを設定 します。コンピュータがドメイン内に存在している場合、グループ ポリシー メカニズムを介し、ドメイン EFS 回復ポリシーを設定することができます。これはドメイン全体のコンピュータについて回復エージェントとしての役割を果たすことを許可されるユーザーを管理します。いずれにしても、ユーザーがファイルを解読できない場合、そのユーザーは自分の秘密キーへのアクセスを所有していないことが原因となります。この問題に対する最善の解決策は、可能な限り、ユーザーとそのユーザーのキーを再構成することです。ユーザー プロファイルを復元する、またはユーザーのキーおよび証明書をインポートすることにより、これを行います。ユーザーがそのユーザーのキーにアクセスできるようになると、ファイル内の DDF を解読することにより、FEK を取得することができます。ユーザーのキーの有効なバックアップがない場合、データ回復エージェントはキーをユーザーのコンピュータにインポートするか、またはそのファイルを解読するために DRA キーの組が保存されているコンピュータへ暗号化されたファイルを復元することができます。これを機能させるためには、efsinfo ユーティリティを使用して、そのファイルに指定された DRA はどのユーザーであるかを調べる必要がある場合があります。
ユーザーのキーが復元できなくても DRA キーにアクセスを持つ場合、実際の回復のプロセス (英語) は非常に分かり易いものです。DRA の秘密キーを持つコンピュータにファイルを移動 (英語) し、エクスプローラでファイルを探してください。右クリックでそのファイルの [プロパティ] ダイアログを開き、[全般] タブに切り替えます。[詳細設定] ボタンをクリックし、[内容を暗号化してデータをセキュリティで保護する] チェックボックスのチェックをオフにします。これですべての操作が完了です!
では、この新しい情報を頭に入れ、経理部へ行きましょう。経理担当者が自分のローカル ワークステーションにドメイン アカウントなしでログインしようとしています。その経理担当者のキーは自分の古いローカル プロファイルに保存されていることに気づきます。あなたは IT に連絡し、その経理担当者の古いラップトップがまだ使用可能であるかどうかを確認します。残念ながら、そのラップトップは既に廃棄されました。経理担当者は辛抱強くなく、そしてあなたがその経理担当者のバックアップされたラップトップを復元し、彼女のプロファイルを回復することを待てないため、あなたは自分の DRA キーを彼女のラップトップに読み込み、そのファイルを彼女のために解読します。これを行っている間、あなたは彼女が今からドメインにログオンすることを確認します。そしてあなたはメモの作成者のボブのデスクに行き、彼のプロファイルが破損していることが分かりました。ふたたび IT に連絡し、彼のプロファイルを復元するよう依頼します。これにより、彼はメモをほぼ時間に間にあうように送ることができました! そしてあなたは自分のデスクに戻り、すみやかに昇給のリクエストを送信します。
EFS 回復の機能方法および自分のニーズを満たすように EFS 回復ストラテジをデザインするための最善の方法に関する詳しい情報は、http://www.microsoft.com/の Data Protection and Recovery Whitepaper (英語) および Windows XP Resource Kit の Chapter 17 (英語) をご覧下さい。
