EFS(暗号化ファイルシステム)用の自己署名証明書を作成する [Win10]
![Image: EFS(暗号化ファイルシステム)用の自己署名証明書を作成する [Win10]](/blog/img/2016/efscert_1.jpg)
EFS(暗号化ファイルシステム)で使う自己署名証明書を作成・更新する方法。Windows 10 Proを使用。あくまで個人的なメモ。
コントロールパネルのウィザードによる方法
スタートメニューの検索ボックス(Cortana)に「ファイル暗号化証明書の管理」と入力。あるいは、コントロールパネル→ユーザーアカウント→ユーザーアカウント を開いて、左のタスクメニューから「ファイル暗号化証明書の管理」をクリック。
「ファイル暗号化の証明書の選択または作成」画面には選択できる項目はリストされていないので、そのまま次に進む。
「新しい自己署名証明書を作成し、コンピューターに保存」を選択。
現在のユーザーアカウントが使えなくなったときのために、証明書をバックアップする。あるいは、後で回復エージェントを作成する。
データ回復エージェントを作成する [Win10] - Diary on wind
Windows 7/8/10の既定では、このウィザードによって2048ビットRSA暗号化アルゴリズムによるキーと証明書が作成される。Windows 7以降では後述のコマンドを使った方法でECC(楕円曲線暗号)によるキー・証明書を発行できる。
コマンドプロンプトによる方法
Windows 7, Windows Server 2008 R2以降ではECC(楕円曲線暗号)暗号化アルゴリズムによるキー・証明書を発行できる。これはグループポリシーの設定(ローカルコンピューターポリシー\コンピューターの構成\Windows の設定\セキュリティの設定\公開キーのポリシー\暗号化ファイルシステム)で強制させることもできるが、この設定はドメイン環境でしかサポートされていないらしい。スタンドアロンのWindowsクライアントでECCアルゴリズムによる自己署名証明書を発行するにはコマンドを使うことになる。
自己署名証明書を発行するにはcipher /kコマンドを使用する。ここに/ecc:Nを付けるとECCアルゴリズムを指定できる。Nはキーサイズ(鍵長)で、現時点では256, 384, 521ビットがサポートされている。TPMモジュールを併用する場合、ECCアルゴリズムはTPM 2.0でサポートされることを注記しておく。ECCを指定しなかった場合は2048ビットRSA暗号化アルゴリズムが使用される。これは将来のWindowsではより強力な暗号化アルゴリズムに変更される可能性がある。
>cipher /?
NTFS パーティション上のディレクトリ [ファイル] の暗号化を表示または変更します。
CIPHER /K [/ECC:256|384|521]
/K EFS で使用するための新しい証明書およびキーを作成します。この
オプションを指定すると、その他のオプションはすべて無視されます。
注意: 既定では、/K によって現在のグループ ポリシーに準拠する
証明書とキーが作成されます。ECC が指定されている場合、
指定のキー サイズによる自己署名証明書が作成されます。
なお、EFSだけではパソコンそのものの盗難などに対して万全なセキュリティ対策とは言えない。物理ハッキング、盗難対策としてはBitLockerとの併用が有効である。