WindowsXP、2000標準、暗号化の恐怖

WindowsXPや2000には、標準でファイルやフォルダを暗号化する機能があります。

暗号には、一般的、かつ強力なEFS暗号が用いられ、

暗号化したユーザ、許可されたユーザ以外はアクセスができないようになっています。





しかし、ファイルやフォルダのプロパティから簡単に設定ができることから、

うっかり暗号化してしまい、トラブルを招いてしまう場合もあります。



[再インストール時の恐怖]

暗号化されたフォルダやファイルがあるにもかかわらず、

証明書をエクスポートせずに、再インストールをしてしまった場合、

暗号化されたフォルダやファイルにアクセス可能にすることは、ほぼ絶望的です。



[システム起動不能時の恐怖]

こちらもまた、再インストール時と同様で、

証明書をエクスポートしていない間に起動不能に陥ってしまうと、

暗号化されたフォルダやファイルは、諦めざるをえなくなってしまうでしょう。



[暗号化を使用する際の注意点]
○証明書を秘密鍵を含めてファイルにエクスポートしておく。

[復号化証明書、キー作成手順]
WindowsXP Professional

手順1)暗号化を設定したユーザ、暗号化から回復する権限を持ったユーザでログインする。

手順2)コマンドプロンプトを起動し、証明書や秘密鍵をエクスポートしたいフォルダへ移動する。

手順3)cipher /r: 拡張子なしのファイル名を入力する。
例えば、cipher /r: mykey と入力。
すると、.PFXファイルを保護するためのパスワードを入力するように促されますので入力してください。くれぐれも忘れないように。

これで、.CERファイル、.PFXファイルが作成されます。

手順4)スタートメニューのファイル名を指定して実行ダイアログに、secpol.mscと入力し、実行する。すると、ローカルセキュリティ設定が起動するので、
公開キーのポリシー → ファイルシステムの暗号化を右クリックし、
メニューの一番上にあるデータ回復エージェントの追加を実行します。

手順5)回復エージェントの追加ウィザードの次へをクリックする。
すると、回復エージェントを選択してください画面になるので、
手順3で証明書類を作成しておいたフォルダを参照し、.CERファイルを指定します。

あとは、次へをクリックして完了するだけです。
これをバックアップしておけば、いざというときでも安心です。

[証明書のインストール方法]
いざというときになってしまった場合、
バックアップしておいた証明書類のファイルをインストールしたいPCに格納する。

.PFXファイルを右クリックすると、PFXのインストールがありますので、クリックする。
パスワードを入力して、次へと進むと、証明書ストアの画面に移動します。

ここで、証明書をすべて次のストアに配置するを選択し、参照をクリックする。
すると、個人というフォルダがあるのでこれを選択する。

これで完了をクリックすればインストール完了です。


[万が一、証明書をエクスポートする前に再インストールしたり、システムが起動不能になった場合の対策]
1、再インストールしてしまった場合
この場合、おそらくハードディスクをフォーマットして、インストールしているでしょうから、
回復はかなり困難です。

可能性にかけてみたいという方は、次のような方法を試してみるとよいでしょう。
前提は、再インストール前に設定していたパスワード、ユーザ名を記憶していることです。

手順1)新たなアプリケーションはインストールしない。
これは、復元可能なファイルを少しでも多くするためです。

手順2)ファイナルデータなどの復元ソフトを復元したいパーティション以外にインストールする。
フォーマットしても、データは完全には消えていません。
うまく復元できれば、秘密鍵や証明書の元となるシステムファイルを復元できるかもしれません。

手順3)Advanced EFS Data Recoveryを導入する。
Advanced EFS Data Recoveryは、海外産のシェアウェアです。

このアプリケーションは、ハードディスク内に存在するセキュリティ関係のシステムファイルから、
秘密鍵を生成し、EFS暗号を解除可能なソフトウェアです。
しかし、生成する元となるファイルが見つからない場合は、暗号を解除することはできません。

これでダメなら、残念ですが、諦めるしかありません。


２、システムがクラッシュしてしまった場合
この場合は、秘密鍵を生成可能なシステムファイルがハードディスク内に残っている可能性が
高いです。

手順1)クラッシュしたPCからハードディスクを取り出す。

手順2)起動可能なWinXP、2000を搭載したPCに接続する。

手順3)①再インストールしてしまった場合の手順2)、手順3)を行う。

これで、暗号を解読することができる可能性がこちらの場合は高いです。


ちなみに、ファイナルデータで復元する作業は、だいたい10GB/hくらいです。
クラスタをスキャンするので、ハードディスクの容量が大きければ大きいほど
時間がかかります。
(あまりにも時間がかかるので、挫けそうになります…)


この記事を書こうと思ったのは、私も暗号化をすっかり忘れて再インストールしてしまい、
暗号化したファイルとさようならした一人だからです。

私の場合、確認したところ、お試しに暗号化したファイルで、
特に必要なファイルがなかったので、問題はありませんでした。

とりあえず、実験がてら手順どおりに回復方法を試した上で、
「ああ、ダメだった…、じゃ、さようなら」とできましたが、
これが重要なファイルやったらと思うと、ぞっとします。

みなさんも暗号化には、気をつけたほうが良いですよ～。