Windows 7 Ultimateを使用しています。
2010/02/01に回復証明書を2度つくり、暗号化されたファイルはその都度更新しました。「パスワード+証明書.CER+証明書.PFX」の組み合わせでSDカードに2010.02.01-01と2010.02.01-02というフォルダをつくり保存しています。暗号化したファイルはすべて外付けHDD内にあります。
その後事情があってパソコンをバックアップソフトを使って復元しました。その後はOS内には暗号化したファイルを開けるキーは存在しませんので、2010.02.01-02というフォルダ内の証明書.PFXをOSの所定の場所にインポートしましたが、ファイルは半分程しか開きませんでした。
2010.02.01-01という古い方の証明書.PFXをインポートしてすべてが開くようになりました。
その後実験してみましたが、2つの証明書.PFXはどちらもOS内に単独でインポートされている場合は半分ほどのファイルしか開けません。
証明書をつくる都度暗号化ファイルは更新してきた訳ですから、最新の証明書.PFXのキーですべて開くはずだと思います。
パソコンの復元は外付けHDD内の暗号化されたファイルには全く影響がないのですから、最後の証明書.PFXですべてのファイルが開くはず
という理屈は変わらないはずだと思います。
今回のように、最終の証明書.PFXだけではすべてのファイルが開けない原因にはどんなことが考えられるでしょうか?
宜しくお願い致します。
お返事をありがとうございます。
今回行っていただいた実験の趣旨がよく理解できませんでした。
私が作った-01、-02フォルダは作った証明書やパスワードを保存するためにSDカード内に作ったものです。
2.の証明書というのはフォルダを暗号化した後、生成させた.pfxと.cerということでしょうか?
4.で削除した証明書というのは以前暗号化したときに作られていた証明書ということでしょうか?
5.で01をコピーしてリネームして再度暗号化したとありますが、暗号化したフォルダはコピーしても暗号化されたままだと思うのですが・・・。
8で再び証明書ストアの証明書を削除していますが、4.で一度削除しているのに、何故再び削除するべき証明書が存在していたのでしょうか?
9.で証明書に強制更新をかけるとありますが、強制更新をかけるのは暗号化されたファイルに対してです。具体的に言うと、暗号化されたファイルに公開鍵情報を付加するということです。
そして、何故今回だけ強制更新するのでしょうか?これだと、2度目の暗号化の公開鍵情報はファイルに付加されますが、1度目の暗号化のときの公開鍵情報はファイルに付加されていません。
1.~10.の実験が終わった後は、手順通りだとすると、Windows証明書ストアにはEFS証明書も回復証明書も存在しないということになります。ファイルに付加されている公開鍵に対応した秘密鍵が
ひとつも存在しない状態なので、実験の経緯がどうあれ、ファイルは開けないと思います。しかし、開けたというのは、一度もログオン-ログオフを行っていないからだと思います。秘密鍵を削除して
しまってもログオフしない限りはファイルは開くことができる場合もあるようです。
また、強制更新をかけたときに、テストを行う以前に暗号化していたファイルの解除ができなかったというのは、やはり、秘密鍵が証明書ストアに存在しないからだと思います。
cipher /uで強制的にファイルに公開鍵情報を付加する場合、一度暗号化を解除する動作をするようです。しかし、実際にファイルそのものの暗号化を解除するのではなく、暗号化する際
に使用した「共通鍵」の暗号化を解除しているのではないかと思います。(思うだけで本当にそうなのかは自信がありませんが)
さて、私の場合ですが、回復エージェントからもWindows証明書ストアからも証明書をすべて削除し、一番最後に作った、「回復証明書」の.pfx(秘密鍵情報を含む)をWindows証明書ストアに
インポートして全てのファイルが開けなかったということですが、それは、回復エージェントから証明書を削除しており、回復エージェントを設定していなかったということが原因のようです。
回復証明書で現在のファイルの復号化に成功すると、ファイルに付加された回復証明書は直ちに現在のシステムの回復証明書に置き換わるのだそうです。
今回は回復エージェントを全く指定していない状態だったので置き換わる回復証明書が存在せず、今回ファイルを開くのに使用した証明書情報が削除されるという結果になります。
そこで、一回開いたファイルを閉じてしまうと、もう二度とファイルは開けなくなります。
このことを経験して、全てのファイルが開けなかった、一部のファイルは開けたのに、と感じたようです。
「回復エージェントを設定していないシステムで回復証明書を使って暗号化ファイルを開いた場合、EFS証明書も存在しなければ、ファイルは良くて1回しか開けない。」ということになるようです。
http://07.net/EFS/contents.html
の「Windows XP Professional で陥りがちな落とし穴」の部分に書いてあります。
一応確認ですが、このファイルやフォルダ毎の暗号化に使う証明書には、システムが初めて暗号化されたと認識したときに自動生成される「EFS証明書」があります。EFS証明書には
秘密鍵情報も含む.pfxと公開鍵情報を含む.cerがあります。
そして、今回の手順で意識的に作った証明書は「回復証明書」です。これにも上記と同様に.pfxと.cerがあります。
EFS証明書はシステムにインストールすると「目的」のところには「暗号化ファイルシステム」と表示されますが、回復証明書の場合は「ファイル回復」とだけ表示されます。
また、暗号化の手順ですが、ファイルを暗号化するのは「共通鍵」です。そしてこの「共通鍵」を「公開鍵」で暗号化し、「公開鍵」は「パスワード」で暗号化するという手順だと
思います。
今回行っていただいた実験の趣旨がよく理解できませんでした。
私が作った-01、-02フォルダは作った証明書やパスワードを保存するためにSDカード内に作ったものです。
2.の証明書というのはフォルダを暗号化した後、生成させた.pfxと.cerということでしょうか?
4.で削除した証明書というのは以前暗号化したときに作られていた証明書ということでしょうか?
5.で01をコピーしてリネームして再度暗号化したとありますが、暗号化したフォルダはコピーしても暗号化されたままだと思うのですが・・・。
8で再び証明書ストアの証明書を削除していますが、4.で一度削除しているのに、何故再び削除するべき証明書が存在していたのでしょうか?
9.で証明書に強制更新をかけるとありますが、強制更新をかけるのは暗号化されたファイルに対してです。具体的に言うと、暗号化されたファイルに公開鍵情報を付加するということです。
そして、何故今回だけ強制更新するのでしょうか?これだと、2度目の暗号化の公開鍵情報はファイルに付加されますが、1度目の暗号化のときの公開鍵情報はファイルに付加されていません。
1.~10.の実験が終わった後は、手順通りだとすると、Windows証明書ストアにはEFS証明書も回復証明書も存在しないということになります。ファイルに付加されている公開鍵に対応した秘密鍵が
ひとつも存在しない状態なので、実験の経緯がどうあれ、ファイルは開けないと思います。しかし、開けたというのは、一度もログオン-ログオフを行っていないからだと思います。秘密鍵を削除して
しまってもログオフしない限りはファイルは開くことができる場合もあるようです。
また、強制更新をかけたときに、テストを行う以前に暗号化していたファイルの解除ができなかったというのは、やはり、秘密鍵が証明書ストアに存在しないからだと思います。
cipher /uで強制的にファイルに公開鍵情報を付加する場合、一度暗号化を解除する動作をするようです。しかし、実際にファイルそのものの暗号化を解除するのではなく、暗号化する際
に使用した「共通鍵」の暗号化を解除しているのではないかと思います。(思うだけで本当にそうなのかは自信がありませんが)
さて、私の場合ですが、回復エージェントからもWindows証明書ストアからも証明書をすべて削除し、一番最後に作った、「回復証明書」の.pfx(秘密鍵情報を含む)をWindows証明書ストアに
インポートして全てのファイルが開けなかったということですが、それは、回復エージェントから証明書を削除しており、回復エージェントを設定していなかったということが原因のようです。
回復証明書で現在のファイルの復号化に成功すると、ファイルに付加された回復証明書は直ちに現在のシステムの回復証明書に置き換わるのだそうです。
今回は回復エージェントを全く指定していない状態だったので置き換わる回復証明書が存在せず、今回ファイルを開くのに使用した証明書情報が削除されるという結果になります。
そこで、一回開いたファイルを閉じてしまうと、もう二度とファイルは開けなくなります。
このことを経験して、全てのファイルが開けなかった、一部のファイルは開けたのに、と感じたようです。
「回復エージェントを設定していないシステムで回復証明書を使って暗号化ファイルを開いた場合、EFS証明書も存在しなければ、ファイルは良くて1回しか開けない。」ということになるようです。
http://07.net/EFS/contents.html
の「Windows XP Professional で陥りがちな落とし穴」の部分に書いてあります。
一応確認ですが、このファイルやフォルダ毎の暗号化に使う証明書には、システムが初めて暗号化されたと認識したときに自動生成される「EFS証明書」があります。EFS証明書には
秘密鍵情報も含む.pfxと公開鍵情報を含む.cerがあります。
そして、今回の手順で意識的に作った証明書は「回復証明書」です。これにも上記と同様に.pfxと.cerがあります。
EFS証明書はシステムにインストールすると「目的」のところには「暗号化ファイルシステム」と表示されますが、回復証明書の場合は「ファイル回復」とだけ表示されます。
また、暗号化の手順ですが、ファイルを暗号化するのは「共通鍵」です。そしてこの「共通鍵」を「公開鍵」で暗号化し、「公開鍵」は「パスワード」で暗号化するという手順だと
思います。
不適切な発言
詳細(必須)
ありがとうございます。
報告されたコンテンツが送信されました
この回答が役に立ちましたか?
お役に立てず、申し訳ございません。
素晴らしい! フィードバックをありがとうございました。
この回答にどの程度満足ですか?
フィードバックをありがとうございました。おかげで、サイトの改善に役立ちます。
この回答にどの程度満足ですか?
フィードバックをありがとうございました。