ファイル暗号化で秘密を守る!(4)

前回からの続きで、Windows XPにおける回復エージェントの追加についてである。回復エージェントを追加しておけば、少なくとも同一オペレーティングシステム下では、暗号化ファイルの復号が可能になる。しかし、何というか複雑怪奇というか、こんな手順を踏まねば安全にファイルを暗号化できないのかと言いたいくらいのものである。

最初に、注意点である。これを守っておかないと、回復エージェントが期待どおりに働いてくれなくなるようである。

  • 暗号化を開始する前にエージェントを追加する。
  • エージェント自身は暗号化を使わない。
  • 唯一のエージェントを削除してはいけない。

一番目の注意は、すでに暗号化されているファイルには、後で追加されたエージェントの証明書は一切関わらないことに由来する。過去に遡って、エージェントの証明書を暗号化ファイルに適用することはしない。すなわち、エージェントを追加した時点の前後で、復号できるファイルとできないファイルが出てきてしまうことになる。

二番目の注意は、エージェント自身が暗号化を使うと、誰が替わってそのファイルを復号化するかわからなくなるためだ。実際これを試したことはないが、文献によれば暗号化ファイルシステム自体が機能しなくなると言う。何とも怖い話なので、試していない。

三番目の注意は、たとえば回復エージェントを追加し、そのユーザを削除してしまった場合、暗号化ファイルの証明書の持ち主がいなくなる。そのため、暗号化ファイルシステム自体が機能しなくなると言う、これも怖い話だ。実際には試していない。

と、さんざん脅かしておいたところで、回復エージェントの追加を行ってみる。なお、Windows XP Professionalをスタンドアロン環境で使っていることを想定している。ドメイン環境では、適当なシステム管理者が、適当な回復エージェントを追加しているはずだ。

まず最初に、回復エージェントになるユーザを決める。これは、管理者(Administrator)以外のユーザがなることが推奨されている。面倒ならば、Administratorをそのまま回復エージェントにしてしまってもいい。実際、Windows 2000ではAdministratorがデフォルトの回復エージェントなのだから、問題ないはずだ。Administratorならば、間違って削除されてしまう可能性も薄い(と勝手に思う)。

ユーザを決めたら、そのユーザでログオンする。そして、前回で書いたように証明書をエクスポートする。そして、「コントロールパネル」の「管理ツール」から、「ローカルセキュリティーポリシー」を呼び出す。

*「コントロールパネル」がクラシック表示になっていないとどこにあるかわからないので、切り替える。

「ローカルセキュリティー設定」というウィンドウが開いたら、左側のツリーから「公開キーのポリシー」という項目を探す。これを展開すると、「ファイルシステムの暗号化」という項目が現れるので、それを右クリックする。すると、ポップアップメニューの最上部に「データ回復エージェントの追加」という項目があるので、それをクリックする。「回復エージェントの追加ウイザード」という物々しいウィンドウが開く。

まず最初は、「次へ」で画面を送る。「回復エージェントを追加して下さい。」と言われているので、「フォルダの参照」を押し、エクスポートされた証明書のあるフォルダを指定する。ほとんどの場合には、ユーザのプロファイルフォルダ、すなわちC:\Document and Settings\Administratorなどにある。拡張子が.cerというファイルがあれば、それが証明書だ。ファイルを選んでリストに出てきたことが確認できたら、「次へ」で送る。そして、「完了」を押せば、晴れて回復エージェントが追加される。

*安全のために、エクスポートされた証明書ファイルは、削除してしまうかリムーバブルメディアに移動しておこう。

作業的にはここまでなのだが、どうもうまくいかない。たとえば、ユーザnaoでマイドキュメント下にフォルダを作り、それに暗号化を指定する。そしてそのフォルダの中に、適当なファイルを作る。そのファイルは、自動的に暗号化ファイルとなる。ファイルのプロパティで暗号化されていることを確認し、「詳細」で回復エージェントの設定も確認する。問題はないはずだ。

naoをログアウトし、Administratorでログオンする。そして、先ほどのファイルを自らのマイドキュメントにコピーする→できない、ならば直接そのファイルを開く→できない、暗号化を解除する→できない。要するに、移動や削除などのMFTのみの操作で済む処理以外はできない。ファイルの内容に関わる作業は、一切ができない。これはすなわち、回復エージェントが機能していない。

いろいろ試したが、ここまでである。何か、根本的なところを理解していないに違いない。今日は疲れたので、またもう少し情報を集めてトライしてみる予定である。

コメント

  1. tak より:

    なおさん様
    はじめまして。takと申します。
    私もXPPRO上でファイル暗号化機能を使っていますが、これを他の
    マシン上で復号化する方法がよくわからず、「なおさん亭::別館」に
    たどり着きました。
    (教えて!gooに質問を投稿しております↓)
    http://oshiete1.goo.ne.jp/kotaeru.php3?q=1389124
    私もMSのHPにあるドキュメント類には目を通したつもりですが、いまいち理解できません。
    ぜひこの記事を完成させてください。
    勝手ながら応援しております。

  2. なおさん より:

    takさん、はじめまして。Windowsの暗号化は深いです。ちょっと前に、暗号化したファイルを残したままOSを入れ替えてしまって、かなりのファイルが死んでしまいました。二度と失敗するかと、いろいろ調べている限りです。進展があれば書いていきます。よろしくお願いしますね。

  3. ay より:
  4. yです より:

    私も同じようにスタンドアロンのXPにエージェントを追加したのに他ユーザーの暗号化ファイルを復号化できませんでした。これについてはなにかわかったのでしょうかねえ? ぜひ知りたいものです では。

  5. なおさん より:

    やはり最初から回復エージェントを有効にしておくしかないと思っているのですが、なんとも試す機会がありません。暗号化ファイルは安全ですが、使い勝手が悪いのも事実で、最近は使わない傾向にあります(大事なファイルはリムーバブルメディアに入れて持ち歩くなど)。全然問題の解決になってませんね。