Windows XP Professional のスタンドアロン環境 (ドメイン環境でないシステム) で暗号化ファイルシステム (EFS: Encrypting File System) を使う場合の注意点

〔目次〕  〔全項展開〕

Windows 7 で Windows XP と互換の EFS を使用する

暗号化アルゴリズムの進化は続いており、Windows 7 (Business 以上のエディション) の EFS では新たに ECC (楕円曲線暗号) も導入された。暗号化アルゴリズムの進化に対応して新しい暗号化アルゴリズムを利用することが安全性の強化の観点からは望ましいが、全ての PC を一斉にアップグレードすることができない場合、古い暗号化アルゴリズムを使い続けざるをえないこともある。Windows XP マシンが多数ある環境に Windows 7 マシンを導入する場合、ファイルのやり取りの都合上 Windows XP がサポートする方法で EFS を使用し続けなければならない場合もあろう。

【EFS の変更点】
http://technet.microsoft.com/ja-jp/library/dd630631(v=ws.10).aspx

Windows 7 の EFS のデフォルトの暗号化アルゴリズムは Windows Vista と同じく AES (256bit) と RSA (2048bit) である。ただし Windows XP で作成した 1024bit の RSA 自己署名証明書もインポートして使用できる。またデフォルトの鍵長も変更できる。Windows 7 マシンと従来の Windows XP マシンで暗号化ファイルを共用するためには、下記のようにする。RSA の鍵長を 1024 ビットにすることがポイントである。

  1. [Windows] キーを押しながら R キーを押す。またはスタートメニューのカスタマイズで [ファイル名を指定して実行] コマンドを有効にして、スタートメニューから「ファイル名を指定して実行...」を選ぶ。
  2. 「ファイル名を指定して実行」ウィンドウが開くので、「名前」欄に gpedit.msc と入力して「OK」をクリックする。
  3. 「ローカル グループ ポリシー エディタ」が開くので、左側のツリーから [ローカル コンピューター ポリシー] - [コンピューターの構成] - [Windows の設定] - [セキュリティの設定] - [公開キーのポリシー] - [暗号化ファイル システム] をクリックして選ぶ。
  4. 「操作」メニューから「すべてのタスク」−「データ回復エージェントの追加」を選び、「回復エージェントの追加ウィザード」が開いたら、指示に従って回復エージェントの EFS DRA 証明書 (上記で用意したもの) を開く。
  5. 回復エージェントが追加されたら、中央のペインで右クリックして「プロパティ」を選び、「暗号化ファイル システムのプロパティ」ウィンドウを開く。
  6. 「全般」タブでは、「暗号化ファイル システム (EFS) を使用したファイルの暗号化」に「許可する」、「楕円曲線暗号」に「許可する」を選択する (この場合、楕円曲線暗号の証明書は明示的に cipher コマンドで作らない限り使用されない)。「オプション」欄の「ユーザーのドキュメント フォルダーの内容を暗号化する」にチェックを入れると、各ユーザーの「マイドキュメント」 (C:\Users\[ユーザー名]\Documents) も自動的に暗号化設定される (これにより、新規ユーザーは最初のログオンをしただけで EFS 証明書を生成して所持する)。
  7. 「証明書」タブでは、「自己署名証明書」の「RSA 自己署名証明書のキーサイズ」のドロップダウンメニューから「1024」を選ぶ。これにより新規ユーザーも Windows XP 互換の証明書を持つようになる。
  8. 以上ができたらウィンドウをすべて閉じる。最後に、上記でエクスポートしておいた自分用の EFS 証明書をダブルクリックして、インポートする。

以上の操作で Windows 7 マシンでも以前の Windows XP マシンで使っていた EFS 暗号化ファイルがそのまま開け、また Windows 7 マシンで新規に作成した EFS ファイルを Windows XP マシンに持って行っても、問題なく開いて使うことができる。

〔目次〕  〔全項展開〕