Encrypting File System

Encrypting File System（暗号あんごう化かファイルシステム、EFS）とはMicrosoft WindowsにおいてNTFSバージョン3.0で追加ついかされた機能きのうで^[1]、ファイルシステムレベルでの暗号あんごう化かを提供ていきょうする。この技術ぎじゅつはコンピューターに物理ぶつり的てきにアクセスする攻撃こうげき者しゃから機密きみつデータを保護ほごするために、ファイルの透過とうか的てき暗号あんごう化かを実現じつげんする。

EFSはWindows 2000以降いこうの全すべてのビジネス向むけエディションのWindowsで利用りようできる^[2]。既定きていでは暗号あんごう化かされたファイルは存在そんざいしないが、ユーザーの選択せんたくでファイルごと、ディレクトリーごと、あるいはドライブごとに暗号あんごう化かを有効ゆうこうにすることができる。いくつかのEFS設定せっていはWindowsドメイン環境かんきょうのグループポリシーで強制きょうせいさせることもできる。^[3]

暗号あんごうファイルシステム実装じっそうは他たのオペレーティングシステムでも利用りよう可能かのうであるが、Microsoft EFSはそれらとの互換ごかん性せいはない。

動作どうさ原理げんり

EFSによるファイル暗号あんごう化か・復号ふくごう処理しょりの流ながれ

EFSはファイル暗号あんごう化かキー (File Encryption Key ; FEK) という大量たいりょうの対称たいしょう鍵かぎによってファイルを暗号あんごう化かする。対称たいしょう暗号あんごう化かアルゴリズムを使用しようする理由りゆうは、非対称ひたいしょう鍵かぎ暗号あんごうを用もちいるよりも暗号あんごう化かおよび復号ふくごうに掛かかる時間じかんが短みじかくなるためである。使用しようされる対称たいしょう暗号あんごう化かアルゴリズムはオペレーティングシステムのバージョンや設定せっていによって異ことなる。FEK（ファイルの暗号あんごう化かに用もちいられる対称たいしょう鍵かぎ）はファイルの暗号あんごう化かを行おこなうユーザーと関連付かんれんづけられた公開こうかい鍵かぎによって暗号あんごう化かされ、この暗号あんごう化かされたFEKは暗号あんごう化かファイルの$EFS代替だいたいデータストリームに格納かくのうされる^[4]。ファイルを復号ふくごうする手順てじゅんとしては、EFSコンポーネントドライバーはファイルの暗号あんごう化かに使つかわれたEFSデジタル証明しょうめい書しょに合致がっちする秘密ひみつ鍵かぎを使つかい、$EFSストリームに格納かくのうされている対称たいしょう鍵かぎを復号ふくごうする。そしてその対称たいしょう鍵かぎを使つかってファイルを復号ふくごうする。暗号あんごう化かおよび復号ふくごう処理しょりはNTFSファイルシステム下かのレイヤーで行おこなわれるため、ユーザーや全すべてのユーザーアプリケーションから見みると透過とうかしている。

コンテンツを含ふくむフォルダーはファイルシステムによって暗号あんごう化か属性ぞくせいでマークされた上うえで暗号あんごう化かされる。EFSコンポーネントドライバーはこの暗号あんごう化か属性ぞくせいをNTFSにおけるアクセス許可きょか（パーミッション）の継承けいしょうと同様どうように扱あつかい、フォルダーが暗号あんごう化かとしてマークされると、既定きていではそのフォルダー下かに作成さくせいされる全すべてのファイルやサブフォルダーも暗号あんごう化かされる。暗号あんごう化かファイルをNTFSボリューム間あいだで移動いどうしても、ファイルは暗号あんごう化かされたままである。

ファイルおよびフォルダーはFAT32のような他ほかのファイルシステムでフォーマットされたボリュームにコピーされる場合ばあいに復号ふくごうされる。暗号あんごう化かファイルをSMB/CIFSプロトコル（Windowsのファイル共有きょうゆうサービスで使つかわれるプロトコル）を使つかってネットワーク越ごしにコピーしたとき、ファイルはネットワークに送信そうしんされる前まえに復号ふくごうされる。

バックアップアプリケーションにも使つかわれている、復号ふくごうコピーを防止ぼうしする最もっともよく使つかわれる手法しゅほうは "Raw" APIが知しられる^[5]。バックアックアプリケーションはこれらのRaw APIを実装じっそうしていて、暗号あんごう化かファイルストリームと$EFS代替だいたいデータストリームを単一たんいつのファイルとして単純たんじゅんにコピーする。い換いかえると、ファイルは暗号あんごう化か状態じょうたいでコピーされ、バックアップ中ちゅうに復号ふくごうされない。

Windows Vistaより、ユーザーの秘密ひみつ鍵かぎはスマートカードに格納かくのうできるようになった。データ回復かいふくエージェント (Data Recovery Agent ; DRA)もまたスマートカードに格納かくのうできる。^[6]

サポートされるオペレーティングシステム

Windows

Windows 2000 Professional, Server, Advanced Server, Datacenter
Windows XP Professional, Tablet PC Edition, Media Center Edition, x64 Edition
Windows Server 2003, Windows Server 2003 R2
Windows Vista Business, Enterprise, Ultimate^[7]
Windows 7 Professional, Enterprise, Ultimate
Windows Server 2008, Windows Server 2008 R2
Windows 8, 8.1 Pro, Enterprise
Windows Server 2012, Windows Server 2012 R2
Windows 10 Pro, Enterprise, Education
Windows Server 2016
Windows Server 2019

他たのオペレーティングシステム

他たのオペレーティングシステムまたはファイルシステムでEFSをネイティブにサポートするものは存在そんざいしない。

Windowsバージョン別べつの新しん機能きのう

Windows XP

クライアントサイドでの暗号あんごう化か（オフラインファイルデータベース）
ドメイン公開こうかい鍵かぎを使つかったDPAPIマスターキーのバックアップの保護ほご
暗号あんごう化か済ずみファイルへのファイル単位たんいの複数ふくすうユーザー共有きょうゆうアクセスと、暗号あんごう化かファイルを共有きょうゆうするときにその証明しょうめい書しょの失効しっこうをチェック
暗号あんごう化かファイルを異ことなる色いろで表示ひょうじ（既定きていでは緑みどり）
強制きょうせい回復かいふくエージェントが不要ふよう
暗号あんごう化かがサポートされていないファイルシステムにファイルを移動いどうしたときに、復号ふくごうされることを警告けいこく
パスワードリセットディスク
WebDAV越こしのEFSとActive Directoryで委譲いじょうされたサーバーのリモート暗号あんごう化か

Windows XP SP1

既定きていで全すべてのEFS暗号あんごう化かファイルについてAES-256対称たいしょう暗号あんごう化かアルゴリズムの使用しようおよびサポート

Windows XP SP2 + KB912761^[8]

自己じこ署名しょめいEFS証明しょうめい書しょの適用てきようをブロックする設定せっていを追加ついか

Windows Server 2003

デジタルID管理かんりサービス
自己じこ署名しょめいEFS証明しょうめい書しょを適用てきようする場合ばあいに最小さいしょう鍵かぎ長ちょうの設定せっていを強制きょうせいするためのRSA鍵かぎ長ちょう設定せってい

Windows VistaおよびWindows Server 2008^[9]^[10]^[11]

クライアントサイド（オフラインファイル）のユーザー単位たんいの暗号あんごう化か
PC/SCスマートカード上うえのRSA秘密ひみつ鍵かぎの格納かくのうをサポート
EFSキー更新こうしんウィザード
EFSキーバックアップメッセージ
PC/SCスマートカードからのDPAPIマスターキーの取得しゅとく
BitLockerを使つかったEFS関係かんけいの秘匿ひとく情報じょうほうの保護ほご^[12]^[13]
統括とうかつ管理かんりのためのグループポリシー制御せいぎょ
- ドキュメントフォルダーの暗号あんごう化か
- オフラインファイル暗号あんごう化か
- 暗号あんごう化かファイルのインデックス
- EFS用ようのスマートカードの必要ひつよう性せい
- スマートカードからユーザーキーを生成せいせい
- ユーザーキーが生成せいせいまたは変更へんこうされたときにキーバックアップ通知つうちを表示ひょうじ
- 強制きょうせい的てきに自動じどうで使つかわれるEFS認証にんしょうの認証にんしょうテンプレートの指定してい

Windows Server 2008^[11]

Windows Server 2008サーバー上じょうのEFS自己じこ署名しょめい証明しょうめい書しょで2048ビットRSA鍵かぎ長ちょうが既定きていに
全すべてのEFSテンプレート（ユーザーおよびデータ回復かいふくエージェント証明しょうめい書しょ）で2048ビットRSA鍵かぎ長ちょうが既定きていに

Windows 7およびWindows Server 2008 R2^[14]

Windows 7でECC（楕円だえん曲線きょくせん暗号あんごう）およびRSAアルゴリズムの混合こんごうモードを後方こうほう互換ごかん性せいのためにサポート
ECC使用しよう時じにEFS自己じこ署名しょめい証明しょうめい書しょで256ビット鍵かぎを既定きていに
EFSで自己じこ署名しょめいRSA証明しょうめい書しょ使用しよう時じに1k/2k/4k/8k/16kビット鍵かぎ、あるいはECC証明しょうめい書しょ使用しよう時じに256/384/521ビット鍵かぎの使用しようが設定せってい可能かのうに。
下位かいエディションでも一部いちぶのEFS操作そうさが可能かのうに。^[15]

Windows 10 バージョン 1607 および Windows Server 2016

FAT および exFAT での EFS サポート^[16]

Windowsバージョン別べつの使用しようアルゴリズム

Windows EFSはいくつかの対称たいしょう暗号あんごう化かアルゴリズムをサポートし、ファイルの暗号あんごう化かに用もちいられるアルゴリズムはWindowsのバージョンによって異ことなる。

オペレーティングシステム	既定きていのアルゴリズム	他たのアルゴリズム
Windows 2000	DES-X	（なし）
Windows XP RTM	DES-X	トリプルDES
Windows XP SP1	AES	トリプルDES、DES-X
Windows Server 2003	AES	トリプルDES、DES-X^[17]
Windows Vista	AES	トリプルDES、DES-X
Windows Server 2008	AES	トリプルDES、DES-X (?)
Windows 7 Windows Server 2008 R2	混合こんごう (AES, SHA, ECC)	トリプルDES、DES-X

脚注きゃくちゅう

^ “File Encryption (Windows)”. Microsoft. 2010年ねん1月がつ11日にち閲覧えつらん。
^ EFSはWindows XP Home Edition、Windows Vista、Windows 7のStarter、Basic、Home Premiumではサポートされていない。また、Windows 9x系けいではNTFSがサポートされていないためEFSも利用りようできない。
^ “Encrypting File System”. Microsoft (1 May 2008). 24 August 2011閲覧えつらん。
^ “Encrypting File System”. AnVir Software. 2016年ねん7月がつ5日にち閲覧えつらん。
^ “Backup and Restore of Encrypted Files (Windows) - MSDN”. Microsoft. 2016年ねん7月がつ5日にち閲覧えつらん。
^ Chris Corio (May 2006). “First Look: New Security Features in Windows Vista”. TechNet Magazine. Microsoft. 2006年ねん11月6日にち閲覧えつらん。
^ Windows Vista: Features Explained: Encrypting File System - ウェイバックマシン（2007年ねん2月がつ3日にちアーカイブ分ぶん）
^ “Windows XP ベースのコンピューターで EFS ファイルを暗号あんごう化かしようとすると暗号あんごう化かファイルシステム (EFS) とは、自己じこ署名しょめい入いりの証明しょうめい書しょに生成せいせいします。”. Microsoft (2015年ねん12月9日にち). 2016年ねん7月がつ5日にち閲覧えつらん。
^ Kim Mikkelsen (2006年ねん9月がつ5日にち). “Windows Vista Session 31: Rights Management Services and Encrypting File System” (PDF). presentation. Microsoft. 2007年ねん10月がつ2日にち閲覧えつらん。^{[リンク切きれ]}
^ “Encrypting File System”. documentation. Microsoft (2007年ねん4月がつ30日にち). 2007年ねん11月6日にち閲覧えつらん。
^ ^a ^b “Changes in Functionality from Windows Server 2003 with SP1 to Windows Server 2008: Encrypting File System”. documentation. Microsoft (2007年ねん9月がつ1日にち). 2007年ねん11月6日にち閲覧えつらん。
^ Scott Field (June 2006). “Microsoft Windows Vista Security Enhancements” (DOC). whitepaper. Microsoft. 2007年ねん6月がつ14日にち閲覧えつらん。
^ Microsoft Corporation (2006年ねん11月30日にち). “Data Communication Protocol”. patent. Microsoft. 2007年ねん6月がつ14日にち閲覧えつらん。
^ “Changes in EFS”. Microsoft TechNet. 2009年ねん5月がつ2日にち閲覧えつらん。
^ “暗号あんごう化かファイルシステム (EFS) とは - Windows ヘルプ”. Microsoft. 2016年ねん6月がつ18日にち時点じてんのオリジナルよりアーカイブ。2017年ねん10月がつ2日にち閲覧えつらん。
^ “[MS-FSCC]: Appendix B: Product Behavior”. Microsoft (2017年ねん9月がつ15日にち). 2017年ねん10月がつ2日にち閲覧えつらん。 “Support for FAT and EXFAT was added in Windows 10 v1607 operating system and Windows Server 2016 and subsequent.”
^ Muller, Randy (May 2006). “How IT Works: Encrypting File System”. TechNet Magazine. Microsoft. 2009年ねん5月がつ22日にち閲覧えつらん。

参考さんこう文献ぶんけん

“Implementing the Encrypting File System in Windows 2000”. Windows 2000 Evaluated Configuration Administrators Guide. Microsoft. 20 December 2014閲覧えつらん。
“The Encrypting File System - Technet Library”. TechNet. Microsoft. 2016年ねん7月がつ5日にち閲覧えつらん。
“Encrypting File System (Windows Server 2008, Windows Vista)”. TechNet. Microsoft (February 25, 2009). 2016年ねん7月がつ5日にち閲覧えつらん。
“Encrypting File System in Windows XP and Windows Server 2003”. TechNet. Microsoft (April 11, 2003). 2016年ねん7月がつ5日にち閲覧えつらん。
“How to Use the Encrypting File System (Windows Server 2003, Windows XP Professional)”. MSDN. Microsoft. 2016年ねん7月がつ5日にち閲覧えつらん。
“Using Encrypting File System”. Windows XP Resource Kit. Microsoft (November 3, 2005). 2016年ねん7月がつ5日にち閲覧えつらん。
“Encrypting File System”. Windows 2000 Resource Kit. Microsoft. 2016年ねん7月がつ5日にち閲覧えつらん。
“How EFS Works”. Windows 2000 Resource Kit. Microsoft. 2016年ねん7月がつ5日にち閲覧えつらん。

[1] “File Encryption (Windows)”. Microsoft. 2010年ねん1月がつ11日にち閲覧えつらん。

[2] EFSはWindows XP Home Edition、Windows Vista、Windows 7のStarter、Basic、Home Premiumではサポートされていない。また、Windows 9x系けいではNTFSがサポートされていないためEFSも利用りようできない。

[3] “Encrypting File System”. Microsoft (1 May 2008). 24 August 2011閲覧えつらん。

[4] “Encrypting File System”. AnVir Software. 2016年ねん7月がつ5日にち閲覧えつらん。

[5] “Backup and Restore of Encrypted Files (Windows) - MSDN”. Microsoft. 2016年ねん7月がつ5日にち閲覧えつらん。

[6] Chris Corio (May 2006). “First Look: New Security Features in Windows Vista”. TechNet Magazine. Microsoft. 2006年ねん11月6日にち閲覧えつらん。

[7] Windows Vista: Features Explained: Encrypting File System - ウェイバックマシン（2007年ねん2月がつ3日にちアーカイブ分ぶん）

[8] “Windows XP ベースのコンピューターで EFS ファイルを暗号あんごう化かしようとすると暗号あんごう化かファイルシステム (EFS) とは、自己じこ署名しょめい入いりの証明しょうめい書しょに生成せいせいします。”. Microsoft (2015年ねん12月9日にち). 2016年ねん7月がつ5日にち閲覧えつらん。

[9] Kim Mikkelsen (2006年ねん9月がつ5日にち). “Windows Vista Session 31: Rights Management Services and Encrypting File System” (PDF). presentation. Microsoft. 2007年ねん10月がつ2日にち閲覧えつらん。^{[リンク切きれ]}

[10] “Encrypting File System”. documentation. Microsoft (2007年ねん4月がつ30日にち). 2007年ねん11月6日にち閲覧えつらん。

[Microsoft-11] “Changes in Functionality from Windows Server 2003 with SP1 to Windows Server 2008: Encrypting File System”. documentation. Microsoft (2007年ねん9月がつ1日にち). 2007年ねん11月6日にち閲覧えつらん。

[12] Scott Field (June 2006). “Microsoft Windows Vista Security Enhancements” (DOC). whitepaper. Microsoft. 2007年ねん6月がつ14日にち閲覧えつらん。

[13] Microsoft Corporation (2006年ねん11月30日にち). “Data Communication Protocol”. patent. Microsoft. 2007年ねん6月がつ14日にち閲覧えつらん。

[14] “Changes in EFS”. Microsoft TechNet. 2009年ねん5月がつ2日にち閲覧えつらん。

[15] “暗号あんごう化かファイルシステム (EFS) とは - Windows ヘルプ”. Microsoft. 2016年ねん6月がつ18日にち時点じてんのオリジナルよりアーカイブ。2017年ねん10月がつ2日にち閲覧えつらん。

[16] “[MS-FSCC]: Appendix B: Product Behavior”. Microsoft (2017年ねん9月がつ15日にち). 2017年ねん10月がつ2日にち閲覧えつらん。 “Support for FAT and EXFAT was added in Windows 10 v1607 operating system and Windows Server 2016 and subsequent.”

[technetmagazine-17] Muller, Randy (May 2006). “How IT Works: Encrypting File System”. TechNet Magazine. Microsoft. 2009年ねん5月がつ22日にち閲覧えつらん。

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]