EFS復号化について

いつもお世話になっております。

EFS復号化についてご教示願います。

pfxファイルをインポートして復号化をするときの条件は何が必要となるのでしょうか？
自分の認識としては、

・エクスポート時のユーザーアカウントとパスワード
・pfxファイルのエクスポート時に設定した時のパスワード

となっているのですが、正しいですか？

この場合、上記２つのパスワードのうち１つでも失念してしまったら、復号化はできないと考えてよろしいでしょうか？
もしそうなら、pfxファイルのエクスポート後にログインパスワードを変更したとして、エクスポート時のログインパスワードを忘れていたら、復号化はできないのでしょうか？

またこのことは回復エージェントにも当てはまることでしょうか？
具体的にはドメイン環境で回復エージェントとしてドメイン管理者アカウントが割り当てられております。定期的にパスワードの変更をしているのですが、ユーザーがpfxファイルのエクスポートした時はわかりませんので、心配になりました。

どうぞよろしくお願い致します。

No.1 ベストアンサー 回答者： MagicCookie 回答日時： 2008/09/05 17:47

質問 4279384 でもご回答しましたが、秘密キーを含む.pfxファイルが必要で、それをインポートするときに必要なのが、エクスポートの際に.pfxファイルを守るために設定したパスワードです。

このパスワードは.pfxファイルに記録されているので、.pfxファイルだけ保管しておけば大丈夫です。

エクスポートの時のユーザーアカウントとパスワードは不要です。まったく別のPCのまったく別のユーザーでも.pfxファイルをインポートできます。そしてEFS暗号化ファイルを復号できます。エクスポート時のログオンパスワードは.pfxファイルには一切影響しません。

EFSの仕組みは、参考URLを参照してほしいのですが、ファイルを暗号化した対称鍵をさらにユーザーの公開鍵で暗号化したものがファイルに付加されます。したがってユーザーの秘密鍵が必要なのであって、ユーザーのログオンパスワードが必要なのではありません。ログオンパスワードを変更しても、秘密鍵は変更されません。ユーザーのログオンパスワードはユーザーの秘密鍵をパソコン上に安全に保管するために使用されているだけです。
回復エージェントも同様で、対称鍵を回復エージェントの公開鍵で暗号化したものがファイルに付加されているので、非常時に回復エージェントの秘密鍵が使えることだけが重要で、回復エージェントのログオンパスワードは直接関係していません。そもそも回復エージェントの場合、通常は公開鍵だけが使用されており、秘密鍵は安全な場所にエクスポートした後に管理者のアカウントから削除しておくべきものです。

ユーザーの秘密鍵を変更する場合は、ユーザーが古い秘密鍵を.pfxファイルにエクスポートした後、 cipher コマンドを /k オプションとともに使用します。そして新しい秘密鍵もバックアップするために.pfxファイルをエクスポートし直す必要があります。さらに既存の暗号化ファイルに使用されている公開鍵もそれに併せて更新するには cipher コマンドを /u オプションとともに使用します。

回復エージェントの秘密鍵を変更する場合は、cipher コマンドを /r オプションとともに使用し、新規に .pfxファイルと .cer ファイルを生成し、.cer ファイルの中の公開鍵を回復エージェントとしてドメインコントローラに登録します。秘密鍵は .pfx ファイルに含まれており、これは安全な場所に保管しておきます。非常時に回復エージェントとして暗号化ファイルを回復する際にこの.pfxファイルをインポートする必要があります。回復が終わったらすみやかにアカウントから回復エージェントの秘密鍵を削除しておくべきです。通常は使用しないものだからです。

参考URL：http://07.net/EFS/