PIB

• Microsoft
  • 暗号化ファイル システム (EFS) の証明書をバックアップする
  • 暗号化されたファイルの回復証明書を作成する
  • 暗号化されたファイルを共有する
  • EFS ファイルおよび証明書の移行方法

• @IT / Windows Server Insider / 運用 / 2014-09-09: Windowsの標準機能だけでできるノートPC情報漏えい対策のポイント 5．対策4：EFSによるファイル暗号化

鍵の管理は certmgr.msc または cipher.exe から行う模様。

まず、フォルダのプロパティから
「詳細設定」→「☑内容を暗号化してデータをセキュリティで保護する」
を設定してフォルダを暗号化すると、
certmgr に秘密鍵と証明書が新規作成される。
鍵付きのアイコンが秘密鍵付きの証明書で、なしが証明書のみ。
証明書をダブルクリックで開き「詳細」→「拇印」でフィンガープリントを確認する事で
個体識別出来る。

これらをエクスポートする場合、デフォルトだと
秘密鍵付きの場合は Personal Information Exchange - PKCS #12 (.PXF) ファイル
証明書のみの場合は DER encoded binary X509 (.CER) ファイル
を出力する。
生成されたファイルは
.CER ファイルはダブルクリックで証明書の詳細が表示されるが、
.PXF はインポートダイアログが開き、そのままでは鍵の詳細が分からないため、
別途 .CER ファイルを生成する必要がある。

OpenSSL で .CER ファイルを確認する場合は以下のようにする。

openssl -inform der -in hoge.cer -noout -text -fingerprint

OpenSSL で .PFX ファイルを確認する場合、

openssl pkcs12 -in hoge.pxf -nokeys

とすると
Enter Import Password:
と表示されるので、
エクスポート時に設定したパスワードを入力すると PEM 形式の CERTIFICATE が出力される。
従って、以下のようにすると証明書の詳細が得られる。

$ openssl pkcs12 -in EFS4.pfx -nokeys | openssl x509 -noout -text -fingerprint

問題なのはインポートやエクスポートをすることで、
certmgr の「個人用」や「信頼されたユーザー」の所に複数のキーを登録出来るのだが、
各フォルダの暗号化に使われている鍵が具体的にどれなのかを知る方法が良く分からない点。
cipher /r:hoge とかすると、新規に秘密鍵と証明書がいくらでも出来るんだけどどうすれば良いんだ？これは？

あと、フォルダを暗号化した状態で、certmgr から鍵を削除しても、
キャッシュされている鍵が消えてないらしく
ログイン中は鍵を失った暗号化フォルダへのアクセスが可能なままである。