EFS の変更点

更新日: 2010年1月

適用対象: Windows 7, Windows Server 2008 R2

暗号化ファイル システム (EFS) は、暗号化したファイルを NTFS ファイル システムのボリュームに保存するために使用される、ファイル暗号化のコア テクノロジです。暗号化されたファイルは、情報の暗号化を解除するのに必要なキーにユーザーがアクセスできる場合以外は使用できません。EFS は、高度暗号化標準 (AES)、セキュア ハッシュ アルゴリズム (SHA)、楕円曲線暗号 (ECC)、スマート カード ベースの暗号化やその他の機能など、業界標準の暗号化アルゴリズムをサポートします。暗号化標準は発展し続けており、古いアルゴリズムの安全性は低下するため、ユーザーがデータを保護できるようにするには、新しい暗号化アルゴリズムを組み込む必要があります。

ECC の EFS サポート

Windows 7 では、EFS のアーキテクチャが変更され、ECC が組み込まれました。この結果、EFS は、米国政府機関による機密情報保護のニーズを満たすために米国国家安全保障局によって定められた Suite B 暗号化要件に準拠するようになりました。Suite B への準拠には、データを保護するための AES、SHA、ECC の各暗号化アルゴリズムの使用が必要です。Suite B は、RSA 暗号化を許可しません。

Windows 7 の EFS は、ECC アルゴリズムと RSA アルゴリズムの "混在モード" 操作をサポートします。このモードでは、Windows の以前のバージョンでサポートされていたアルゴリズムを使用して作成された EFS ファイルとの下位互換性が提供されます。このモードは、RSA を使用している組織が、Suite B への準拠の準備として ECC アルゴリズムも使用する必要がある場合に役立ちます。

自己署名証明書の使用

EFS 公開キーのポリシーに関する既定の設定では、証明機関 (CA) を利用できないときに EFS が自己署名証明書を生成することを許可しています。組織によっては、情報セキュリティのリスクを懸念し、自己署名証明書の使用を許可していません。この設定を無効にした場合、ユーザーが EFS を使用できるようにするには、信頼できる CA からそのユーザーが証明書を付与される必要があります。

自己署名証明書の使用を許可する場合は、ファイルやフォルダーを暗号化する際に使用する暗号化キーの長さを指定できます。EFS の既定では、自己署名 RSA 証明書に対しては 2,048 ビットのキーを、楕円曲線暗号 (ECC) 証明書に対しては 256 ビットのキーを使用します。使用できる RSA および ECC キーは、次のとおりです。

  • 1,024 ビット RSA

  • 2,048 ビット RSA

  • 4,096 ビット RSA

  • 8,192 ビット RSA

  • 16,384 ビット RSA

  • 256 ビット ECC

  • 384 ビット ECC

  • 521 ビット ECC

EFS のためのグループ ポリシーの変更

ECC がサポートされるようになっても、EFS を有効にする手順には変更はありません。ただし、ECC に関連する管理用のオプションが新たに追加されました。具体的には、管理者は、Suite B に準拠していないアルゴリズムを使用した EFS ファイルの作成を、グループ ポリシー設定を使用して拒否することができます。EFS 用のポリシー設定は、[ローカル コンピューター ポリシー\Windows の設定\セキュリティの設定\公開キーのポリシー\暗号化ファイル システム] のローカル グループ ポリシー エディターにあります。

EFS ポリシー設定を有効にして構成したら、グループ ポリシー設定を使用して ECC のサポート方法を指定します。[公開キーのポリシー] で、[暗号化ファイル システム] を開きます。[楕円曲線暗号] の [全般] タブで、次のオプションのうち適切なものを選択します。ECC アルゴリズムと RSA アルゴリズムの両方を使用できるようにするには [許可する] を、ECC 暗号化アルゴリズムのみの使用を許可するには [必須] を、RSA 暗号化のみを使用するには [許可しない] をクリックします。

noteメモ
これらのポリシー設定は、ファイルまたはフォルダーが最初に暗号化される場合にのみ適用されます。この設定を構成する前にファイルまたはフォルダーが暗号化されている場合でも、ユーザーはその内容にアクセスでき、また、その内容はそのときに適用されたアルゴリズムを使用して暗号化されます。

[必須] をクリックすると、ファイルの暗号化キーを使用する AES の使用は適用されません。ECC アルゴリズムの使用のみが適用されます。ECC アルゴリズムには、Suite B 準拠のものと、そうでないものがあります。

Cipher.exe コマンド ライン ツールへの変更

Cipher.exe の /K オプションと /R オプションには、/ECC:length パラメーターを任意で追加できます。これにより、ECC キーを生成できます。ECC キーのキー長として、256、384、521 のいずれかを指定できます。このパラメーターは、自己署名証明書が生成されていない場合は無視されます。

コミュニティの追加

追加
表示: