EFS - Encrypted File System ? (暗号化ファイルシステム)
- @IT / Windows Server Insider / 運用 / 2014-09-09: Windowsの標準機能だけでできるノートPC情報漏えい対策のポイント 5.対策4:EFSによるファイル暗号化
鍵の管理は certmgr.msc または cipher.exe から行う模様。
まず、フォルダのプロパティから
「詳細設定」→「☑内容を暗号化してデータをセキュリティで保護する」
を設定してフォルダを暗号化すると、
certmgr に秘密鍵と証明書が新規作成される。
鍵付きのアイコンが秘密鍵付きの証明書で、なしが証明書のみ。
証明書をダブルクリックで開き「詳細」→「拇印」でフィンガープリントを確認する事で
個体識別出来る。
これらをエクスポートする場合、デフォルトだと
秘密鍵付きの場合は Personal Information Exchange - PKCS #12 (.PXF) ファイル
証明書のみの場合は DER encoded binary X509 (.CER) ファイル
を出力する。
生成されたファイルは
.CER ファイルはダブルクリックで証明書の詳細が表示されるが、
.PXF はインポートダイアログが開き、そのままでは鍵の詳細が分からないため、
別途 .CER ファイルを生成する必要がある。
OpenSSL で .CER ファイルを確認する場合は以下のようにする。
OpenSSL で .PFX ファイルを確認する場合、
Enter Import Password:
と表示されるので、
エクスポート時に設定したパスワードを入力すると PEM 形式の CERTIFICATE が出力される。
従って、以下のようにすると証明書の詳細が得られる。
問題なのはインポートやエクスポートをすることで、
certmgr の「個人用」や「信頼されたユーザー」の所に複数のキーを登録出来るのだが、
各フォルダの暗号化に使われている鍵が具体的にどれなのかを知る方法が良く分からない点。
cipher /r:hoge とかすると、新規に秘密鍵と証明書がいくらでも出来るんだけどどうすれば良いんだ?これは?
あと、フォルダを暗号化した状態で、certmgr から鍵を削除しても、
キャッシュされている鍵が消えてないらしく
ログイン中は鍵を失った暗号化フォルダへのアクセスが可能なままである。
まず、フォルダのプロパティから
「詳細設定」→「☑内容を暗号化してデータをセキュリティで保護する」
を設定してフォルダを暗号化すると、
certmgr に秘密鍵と証明書が新規作成される。
鍵付きのアイコンが秘密鍵付きの証明書で、なしが証明書のみ。
証明書をダブルクリックで開き「詳細」→「拇印」でフィンガープリントを確認する事で
個体識別出来る。
これらをエクスポートする場合、デフォルトだと
秘密鍵付きの場合は Personal Information Exchange - PKCS #12 (.PXF) ファイル
証明書のみの場合は DER encoded binary X509 (.CER) ファイル
を出力する。
生成されたファイルは
.CER ファイルはダブルクリックで証明書の詳細が表示されるが、
.PXF はインポートダイアログが開き、そのままでは鍵の詳細が分からないため、
別途 .CER ファイルを生成する必要がある。
OpenSSL で .CER ファイルを確認する場合は以下のようにする。
openssl -inform der -in hoge.cer -noout -text -fingerprint
OpenSSL で .PFX ファイルを確認する場合、
openssl pkcs12 -in hoge.pxf -nokeysとすると
Enter Import Password:
と表示されるので、
エクスポート時に設定したパスワードを入力すると PEM 形式の CERTIFICATE が出力される。
従って、以下のようにすると証明書の詳細が得られる。
$ openssl pkcs12 -in EFS4.pfx -nokeys | openssl x509 -noout -text -fingerprint
問題なのはインポートやエクスポートをすることで、
certmgr の「個人用」や「信頼されたユーザー」の所に複数のキーを登録出来るのだが、
各フォルダの暗号化に使われている鍵が具体的にどれなのかを知る方法が良く分からない点。
cipher /r:hoge とかすると、新規に秘密鍵と証明書がいくらでも出来るんだけどどうすれば良いんだ?これは?
あと、フォルダを暗号化した状態で、certmgr から鍵を削除しても、
キャッシュされている鍵が消えてないらしく
ログイン中は鍵を失った暗号化フォルダへのアクセスが可能なままである。
タグ
コメントをかく