暗号化ファイルシステム(EFS)の基本的な動作に関してまとめておきます。
暗号化の基本的な動作は次の通り
- ユーザーは任意のファイルの暗号化を有効にします。
- システムはFEKを作成し、任意のファイルをFEKを使用して暗号化します。
- FEKをユーザーの公開キーを使用して暗号化し、DDFに格納します。
- DRAの設定がなされている場合は(推奨)、FEKをDRAの公開キーを使用して暗号化して、DRFに格納します。
復号化の基本的な動作は次の通り
- ユーザーは自分の秘密キーを使用して、DDFからFEKを取り出します。
- FEKを使用して暗号化ファイルを復号します。
通常はCAを使用して、キーペアを取得しますがCAがない場合は自己署名証明書を使用します。
自己署名証明書の特長は、自分で自分を証明していることと、有効期間が100年ということでしょうか。
DRFの利用用途は、ユーザーがDDFを復号するキーをなくした場合に、代わりにDRFからDRAがFEKを取り出すことによって暗号化ファイルを復号することにあります。よって、このDRAを使用するのは強い推奨となっています。
DDFはユーザーがFEKを暗号化して保存しておく場所です。更に、ユーザーが他のユーザーのキーを追加することもできます。これによって、暗号化ファイルを複数のユーザーで共有して使用することが可能です。
ドメイン環境ではなく、個人(ワークグループ)で使用する場合は自己署名証明書を使用することになります。ワークグループ環境のデフォルトの状態ではDRAは設定されていないので運用には注意する必要があります。
