Encrypting File System

Encrypting File System (EFS) について

Encrypting File System（暗号化ファイルシステム、EFS）は、Microsoft Windowsに搭載されているファイルシステムレベルでの暗号化機能です。NTFSバージョン3.0で導入され、物理的な攻撃者から機密データを保護するために、ファイルの透過的な暗号化を提供します。

EFSの概要

EFSは、Windows 2000以降のすべてのビジネス向けエディションで利用可能です。デフォルトでは暗号化は有効になっていませんが、ユーザーが個々のファイル、ディレクトリ、またはドライブごとに暗号化を有効にできます。また、Windowsドメイン環境では、グループポリシーを使用してEFSの設定を強制することも可能です。他のオペレーティングシステムにも同様の暗号化機能は存在しますが、Microsoft EFSとの互換性はありません。

動作原理

EFSは、ファイル暗号化キー（File Encryption Key ; FEK）と呼ばれる対称鍵を使用してファイルを暗号化します。対称暗号化アルゴリズムが使用されるのは、非対称鍵暗号よりも暗号化と復号の処理時間が短いためです。使用される対称暗号化アルゴリズムは、オペレーティングシステムのバージョンや設定によって異なります。

FEKは、ファイルの暗号化を行うユーザーに関連付けられた公開鍵で暗号化され、この暗号化されたFEKは暗号化ファイルの「$EFS」代替データストリームに格納されます。ファイルを復号する際には、EFSコンポーネントドライバーが、ファイルの暗号化に使用されたEFSデジタル証明書に対応する秘密鍵を使用して、$EFSストリームに格納された対称鍵を復号します。そして、その対称鍵を使ってファイルが復号されます。

暗号化および復号処理は、NTFSファイルシステムの下位レイヤーで実行されるため、ユーザーやアプリケーションからは透過的に扱われます。フォルダーを暗号化すると、そのフォルダーに含まれるファイルやサブフォルダーも、デフォルトでは自動的に暗号化されます。暗号化されたファイルは、NTFSボリューム間を移動しても暗号化されたままです。

ただし、FAT32などの他のファイルシステムにコピーされると復号されます。また、SMB/CIFSプロトコルを使用してネットワーク経由でコピーした場合も、ファイルはネットワーク送信前に復号されます。復号を防ぐためには、バックアップアプリケーションなどで「Raw API」を利用して、暗号化ファイルストリームと$EFS代替データストリームをまとめてコピーする方法が一般的です。これにより、ファイルは暗号化された状態でバックアップされ、復号されることはありません。

Windows Vista以降では、ユーザーの秘密鍵をスマートカードに格納することが可能になりました。データ回復エージェント（DRA）もスマートカードに格納できます。

サポートされるオペレーティングシステム

Windows

Windows 2000 Professional, Server, Advanced Server, Datacenter
Windows XP Professional, Tablet PC Edition, Media Center Edition, x64 Edition
Windows Server 2003, Windows Server 2003 R2
Windows Vista Business, Enterprise, Ultimate
Windows 7 Professional, Enterprise, Ultimate
Windows Server 2008, Windows Server 2008 R2
Windows 8, 8.1 Pro, Enterprise
Windows Server 2012, Windows Server 2012 R2
Windows 10 Pro, Enterprise, Education
Windows Server 2016
Windows Server 2019

その他のオペレーティングシステム

EFSをネイティブにサポートする他のオペレーティングシステムやファイルシステムはありません。

Windowsバージョン別の新機能

Windows XP

クライアントサイドでの暗号化（オフラインファイルデータベース）
ドメイン公開鍵を使用したDPAPIマスターキーのバックアップ保護
暗号化ファイルへの複数ユーザーの共有アクセスと証明書の失効チェック
暗号化ファイルの異なる色での表示（デフォルトは緑）
強制回復エージェントが不要
暗号化をサポートしないファイルシステムへの移動時の警告
パスワードリセットディスク
WebDAV越しのEFSとActive Directoryでの委任サーバーのリモート暗号化

Windows XP SP1

すべてのEFS暗号化ファイルでAES-256対称暗号化アルゴリズムの使用とサポート

Windows XP SP2 + KB912761

自己署名EFS証明書の適用をブロックする設定の追加

Windows Server 2003

デジタルID管理サービス
自己署名EFS証明書を適用する際の最小鍵長設定の強制（RSA鍵長設定）

Windows Vista および Windows Server 2008

クライアントサイド（オフラインファイル）のユーザー単位の暗号化
PC/SCスマートカードへのRSA秘密鍵の格納のサポート
EFSキー更新ウィザード
EFSキーバックアップメッセージ
PC/SCスマートカードからのDPAPIマスターキーの取得
BitLockerを使ったEFS関連の秘匿情報の保護
統括管理のためのグループポリシー制御
ドキュメントフォルダーの暗号化
オフラインファイルの暗号化
暗号化ファイルのインデックス
EFS用のスマートカードの必要性
スマートカードからのユーザーキー生成
ユーザーキーの生成または変更時のキーバックアップ通知
強制的に自動で使用されるEFS認証テンプレートの指定

Windows Server 2008

Windows Server 2008サーバー上のEFS自己署名証明書で2048ビットRSA鍵長がデフォルトに
すべてのEFSテンプレート（ユーザーおよびデータ回復エージェント証明書）で2048ビットRSA鍵長がデフォルトに

Windows 7 および Windows Server 2008 R2

Windows 7でECC（楕円曲線暗号）とRSAアルゴリズムの混合モードを後方互換性のためにサポート
ECC使用時のEFS自己署名証明書で256ビット鍵がデフォルトに
EFSで自己署名RSA証明書を使用する際に1k/2k/4k/8k/16kビット鍵、ECC証明書を使用する際に256/384/521ビット鍵の使用が可能に
下位エディションでも一部のEFS操作が可能に

Windows 10 バージョン 1607 および Windows Server 2016

FAT および exFAT での EFS サポート

Windowsバージョン別の使用アルゴリズム

Windows EFSは、いくつかの対称暗号化アルゴリズムをサポートしており、ファイルの暗号化に使用されるアルゴリズムはWindowsのバージョンによって異なります。

関連項目

BitLocker
Data Protection API (DPAPI)
EncFS

脚注

参考文献

"Implementing the Encrypting File System in Windows 2000". Windows 2000 Evaluated Configuration Administrators Guide. Microsoft.
"The Encrypting File System - Technet Library". TechNet. Microsoft.
"Encrypting File System (Windows Server 2008, Windows Vista)". TechNet. Microsoft (February 25, 2009).
"Encrypting File System in Windows XP and Windows Server 2003". TechNet. Microsoft (April 11, 2003).
"How to Use the Encrypting File System (Windows Server 2003, Windows XP Professional)". MSDN. Microsoft.
"Using Encrypting File System". Windows XP Resource Kit. Microsoft (November 3, 2005).
"Encrypting File System". Windows 2000 Resource Kit. Microsoft.
* "How EFS Works". Windows 2000 Resource Kit. Microsoft.

もう一度検索