暗号化ファイル システムでのサードパーティ証明機関のサポート

文書翻訳 文書翻訳
文書番号: 273856 - 対象製品
この記事は、以前は次の ID で公開されていました: JP273856
すべて展開する | すべて折りたたむ

目次

概要

この資料では、Microsoft Windows 2000 における、暗号化ファイル システム (EFS) 証明書および EFS 回復エージェント証明書を発行するサードパーティ証明機関 (CA) のサポートについて説明します。

概要

この資料は、2 つのセクションに分かれています。
  • EFS およびその公開キー基盤の利用についての簡単な説明
  • サードパーティの CA が、EFS によってファイルの暗号化および回復に使用される証明書の発行を許可される方法

詳細

EFS の概要と公開キー基盤の利用

EFS は、NTFS ファイル システムのボリューム上でファイルを暗号化するための Windows 2000 のソリューションです。EFS では、Windows 2000 の暗号化アーキテクチャと公開キー基盤を使用しています。

証明書の登録

EFS による暗号化処理の際には、ユーザーの現在の EFS 証明書が使用されます。すぐに利用できるものがなければ、ユーザーの個人ストアの中で適切な証明書を探します。現在の証明書が見つからない場合は、ユーザーを EFS 証明書に登録します。EFS テンプレートをサポートしているオンラインの Windows 2000 CA は、EFS 証明書を発行できます。オンラインの Windows 2000 CA で証明書に登録できない場合、またはユーザーがドメイン アカウントを使用していない場合には、EFS によって自己署名入りの証明書が作成されます。

EFS が証明書を選択した後、システムのユーザー インターフェイスを使用して証明書を変更することはできません。また、使用中のものよりも優れた証明書が使用可能になっても (自己署名入りの証明書を使用しているときに、オンラインの Windows 2000 CA から EFS 証明書に登録した場合など)、自動的に証明書が切り替えられることはありません。

EFS によって使用される証明書を変更するには、次の 2 つの方法があります。
  • EFS に新しい証明書を設定するには、SetUserFileEncryptionKey API を使用します。この API については、Microsoft Developer Network (MSDN) に記載されています。EFS は、すぐに新しい証明書の使用を開始します。
  • 次のレジストリ キーに保存されている証明書のハッシュを、新しい証明書の Thumbprint フィールドに変更します。
    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\Current Version\EFS\CurrentKeys

    値 : CertificateHash
    種類 : REG_BINARY
    データ : 新しい証明書の Thumbprint
EFS では、EFS 証明書のキーが Microsoft Rivest-Shamir-Adelman Base (RSABase) 暗号化サービス プロバイダ (CSP) に保存されていると想定します。証明書の Key Info 属性には、この CSP が指定されている必要があります。EFS は、証明書および秘密キーが保管されている MY 証明書ストア内を探します。

ファイル データの暗号化と解読

EFS では、ランダムに生成された対称キーを使用して、ファイル データを暗号化します。暗号化される各ファイルに、新しいキーが生成されます。使用されるデータ暗号化アルゴリズムは DESX (Data Encryption Standard の強化バージョン) です。その他のアルゴリズムは設定できません。

対称暗号化キーは、EFS 証明書からの公開キーを使用して暗号化されます。この暗号化されたデータは、ユーザーの表示名および証明書のハッシュと共に、EFS メタデータを含むファイル中の名前付きストリームに保存されます。ファイルを解読する場合には、ユーザーの秘密キーを使用して対称暗号化キーを解読し、この対称キーを使用してデータを解読します。

ネットワーク サーバー上のファイルを暗号化する場合には、ユーザーに移動プロファイルがあれば、ネットワーク上のプロファイルを読み込みます。移動プロファイルがなければ、証明書およびキーがサーバー上にあると想定し、サーバー上にプロファイルを生成しようとします。

EFS ファイルは、ネットワークを介してコピーされると、解読されてクリア テキストでネットワーク上に送信されます。ネットワーク上を転送されている間にファイルを保護するには、IP セキュリティを使用します。

EFS 証明書の更新

EFS 証明書の期限が切れると、EFS は新しいキー ペアで新しい証明書を登録することで更新を行います。現在の証明書の期限が切れても、EFS 自身は証明書の更新を行いません。

期限が切れる前に EFS 証明書を更新して古い証明書をアーカイブしても、期限が切れるまでは古い証明書が使用されます。期限が切れると、登録と同じプロセスを通してストア内で新しい証明書を探すか、または有効な証明書が見つからない場合は新しい証明書を取得します。EFS が新しい証明書を探しているときに、ストア内に複数の EFS 証明書があれば、ユーザーが更新によって取得した証明書とは異なる証明書が選択される可能性もあります。

新しい証明書の使用を開始した後で、過去に異なる証明書で暗号化されたファイルを処理する際には、新しい証明書を使用するためにメタデータを再生成します。

失効チェック

EFS では、どのような失効チェックも行いません。

EFS 回復エージェント

ファイルを暗号化したユーザーが退職した場合などには、EFS 回復エージェントを使用してファイルを解読できます。EFS 回復エージェント証明書に登録するには、Windows 2000 CA で [EFS 回復] テンプレートを使用します。

EFS 回復エージェント証明書は、グローバル ドメイン ポリシーで、ドメイン上のすべてのユーザーに対して設定できます。また、ローカル コンピュータ ポリシーで、ローカル コンピュータ上のすべてのユーザーに対して設定することもできます。両方のポリシーが存在する場合は、グローバル ポリシーが優先します。

回復エージェントの追加ウィザードを開くには、[グループ ポリシー]、[公開キー ポリシー]、[暗号化データ回復エージェント] を順にクリックします。このウィザードでは、回復エージェント証明書を指定できます。[フォルダの参照] をクリックし、証明書ファイルをクリックすると、このファイルを回復エージェント証明書として直接インポートできます。証明書は、回復エージェントの表記 User unknown でインポートされます。サードパーティ CA の証明書を回復エージェント証明書として指定した場合、このようになります。

ユーザーのディレクトリ内で証明書を発行する場合 (オンライン Windows 2000 CA に対して EFS 回復エージェント証明書への登録を行った場合) には、ウィザードを使用して、ユーザーを回復エージェントとして直接インポートできます。ディレクトリを参照し、回復エージェントとして指定するユーザーを選択してください。

ファイルを暗号化する際には、対称暗号化キーも回復エージェントの公開キーに暗号化されます。この情報は EFS メタデータを含む名前付きストリームに保存されます。暗号化されたファイルを回復する場合には、回復エージェントの秘密キーを使用して対称暗号化キーを解読し、この暗号化キーを使用してデータを解読します。

サードパーティ CA が有効な EFS 証明書および EFS 回復エージェント証明書を作成および使用するための規則

EFS 証明書

証明書作成のための規則は、次のとおりです。
  • 証明書内の [キー使用法] 拡張には、[キーの暗号化] および [データの暗号化] が含まれていなければならない。
  • 証明書内の [拡張キー使用法] 拡張には、暗号化ファイル システムの (1.3.6.1.4.1.311.10.3.4) 識別子が含まれていなければならない。
  • 使用中、キーは Microsoft RSABase CSP に保管されなければならない。
  • 証明書上の Key Info プロパティにはこのキーが指定されていなければならない。
正しい KeyUsage および EnhancedKeyUsage の値を入れるためには、正しい値を含む証明書を発行するようにサードパーティの証明機関をカスタマイズする必要があります。

サードパーティの製品を使用して EFS 証明書への登録を行うには、次の 2 つの方法があります。
  • サードパーティの CA では、Microsoft 暗号化アーキテクチャに属さない独自の登録方式を提供している場合があります。この場合、サードパーティは、証明書およびこれに付随する秘密キーを、証明書マネージャ MMC スナップインを使用してユーザーのプロファイルにインポートできるファイルにエクスポートする必要があります。キーは Microsoft RSABase CSP にインポートされ、Key Info プロパティはこの CSP に設定されます。
  • サードパーティの CA では、Microsoft クライアントが証明書に登録するために、Microsoft XEnroll コントロールを使用した Web ベースの登録手順を提供している場合があります。この登録方式を使用すると、キーが自動的に Microsoft RSABase CSP に保管され、Key Info プロパティが設定されます。
EFS が過去に証明書を使用したことがある場合には、証明書への登録後、または証明書の更新後に、EFS に対して変更を通知する必要があります。SetUserFileEncryptionKey への呼び出しを設定し、新しい証明書を指定します。証明書が EFS の操作の前に作成された場合は、SetUserFileEncryptionKey を呼び出す必要はありません。EFS がユーザーの個人証明書ストア内で新しい証明書を見つけ、これをデフォルトの証明書として設定します。

EFS 回復証明書

証明書作成のための規則は、次のとおりです。
  • キー使用法 = キーの暗号化
  • EKU = ファイルの回復 (1.3.6.1.4.1.311.10.3.4.1)
「EFS 証明書」で説明したように、サードパーティの CA は、Microsoft クライアントに対し、証明書に登録するための Web 登録ページを提供するか、または Microsoft クライアントにインポート可能なファイルに証明書およびこれに付随する秘密キーをエクスポートできます。

作成後の証明書は、回復エージェント ウィザードを使用してインポートできます。

ファイルの回復の際には、次のガイドラインに従って、ファイル回復証明書と秘密キーの両方をファイル回復に使用されるシステムにインポートする必要があります。
  • キーは Microsoft RSABase CSP に保管されていなければならない。
  • 証明書上の Key Info プロパティに RSABase CSP 内のこのキーが指定され、プロバイダ名が "Microsoft Base Cryptographic Provider v1.0" である必要がある。
証明書と秘密キーのインポートは、証明書 MMC スナップインの [証明書のインポート] を使用して行うことができます。
重要 : この資料に概説した規則は、代表的なサードパーティ証明機関製品を構成して EFS 証明書および EFS 回復エージェント証明書を発行するという方法で検証されています。その後、EFS テスト チームがこれらの証明書を使用して暗号化および回復のテストを行っています。

プロパティ

文書番号: 273856 - 最終更新日: 2006年5月19日 - リビジョン: 5.0
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional
キーワード:?
kbarttypeinf kbefs kbfile kbinfo KB273856
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com