cipher - 常水商会::よしなしごと

CIPHER - 成田美名子の名作 - （懐かしいなあ）のことではなく、Windows EFS暗号化で使われるcipherコマンドのまとめ。

書式

  CIPHER [/E | /D] [/S:ディレクトリ] [/A] [/I] [/F] [/Q] [/H] [パス名 [...]]
  CIPHER /K
  CIPHER /R:ファイル名
  CIPHER /U [/N]
  CIPHER /W:ディレクトリ
  CIPHER /X[:EFS ファイル] [ファイル名]

テストファイル構成

(root) ※カレントディレクトリ自身は暗号化されていない
├─ 暗号化されていないファイル.txt
├─ 暗号化されているファイル.txt
├─ 暗号化テスト.txt　※暗号化/解除に用いられるファイル、隠し属性
│
├─暗号化されていないフォルダ
│  └暗号化されていないファイル.txt
│
└─暗号化されているフォルダ
    └暗号化されているファイル.txt

暗号化の状態を見る

パラメータなし

    パラメータを指定せずに CIPHER を実行すると、現在のディレクトリと
    ディレクトリに含まれるすべてのファイルの暗号化状態を表示します。

$> cipher
 D:\暗号化テスト\ の一覧を作成しています
 このディレクトリに追加されるファイルは暗号化されません。

U 暗号化されていないファイル.txt
U 暗号化されていないフォルダ
E 暗号化されているファイル.txt
E 暗号化されているフォルダ

/H 隠し属性の着いたファイルの表示

/H        隠しファイルやシステム属性のファイルを表示します。
          既定ではこれらのファイルは省略されます。

$> cipher /H
 D:\暗号化テスト\ の一覧を作成しています
 このディレクトリに追加されるファイルは暗号化されません。

U 暗号化されていないファイル.txt
U 暗号化されていないフォルダ
E 暗号化されているファイル.txt
E 暗号化されているフォルダ
U 暗号化テスト.txt

ファイルの暗号化

/A 暗号化

/A        ファイルおよびディレクトリに対して操作を実行します。
          親ディレクトリが暗号化されていない場合、暗号はファイルが
          修正されると解除されます。ファイルと親ディレクトリの両方を
          暗号化することをお勧めします。

/E ディレクトリ指定暗号化

/E        指定されたディレクトリを暗号化します。後で追加された
          ファイルが暗号化されるようにディレクトリをマークします。

/F 強制暗号化

/F        暗号化済みのオブジェクトも含めて、指定されたすべてのオブジェ
          クトを強制的に暗号化します。既定では暗号化済みのオブジェ
          クトはスキップされます。

ファイルの暗号化解除

/D        指定されたディレクトリの暗号化を解除します。後で追加された
          ファイルが暗号化されないようにディレクトリをマークします。

証明書のバックアップ

/X 暗号化証明書のバックアップ

/X        EFS 証明書とキーのバックアップをファイルのファイル名に作成しま
          す。EFS ファイルが指定されている場合は、暗号化に使われている現在
          のユーザーの証明書のバックアップが作成されます。指定されていない
          場合は、ユーザーの現在の EFS 証明書とキーのバックアップが作成
          されます。

/R 回復証明書のバックアップ

/R        EFS 回復エージェント キーと証明書を作成してから、それらを .PFX
          ファイル (証明書と秘密キー) と .CER ファイル (証明書のみ) に
          書き込みます。管理者は、ユーザーの回復エージェントを作成する
          ために.CER の内容を EFS 回復ポリシーに追加し、個々のファイル
          を回復するために .PFX ファイルをインポートすることができます。

ファイルデータ完全削除

/W データ削除

/W        ボリュームで利用可能な未使用のディスクから、データを削除します。
          このオプションを選んだ場合は、ほかのオプションはすべて無視されま
          す。ローカル ボリューム上のどの場所にあるディレクトリでも指定す
          ることができます。ディレクトリがマウント ポイントである場合、
          または別のボリュームのディレクトリを指し示す場合は、そのボリュー
          ムのデータが削除されます。

ゴミ箱からも削除したファイルを、復元ツールを使っても復活できないように「完全に」削除する。ファイルのあったディスク上の領域に0x00→0xff→ランダムデータの順に書き込むので非常に時間がかかる。ゴミ箱に残ってたり削除していないファイルには影響なし。ディスクの寿命を確実に縮めるのでやりすぎに注意。

$> cipher /W:D:\
できるだけ多くのデータを削除するために、CIPHER /W の実行中
はほかのアプリケーションをすべて終了してください。
0x00 に書き込み中
....

その他

/K 新しい暗号化証明書の発行

/K        CIPHER を実行しているユーザー用に新しいファイル暗号化キーを
          作成します。このオプションが指定されると、その他のオプションは
          すべて無視されます。

$> cipher /K

コンピュータ PC-XXXXXXXX の新しいファイル暗号化証明書の拇印情報:

  FD62 XXXX XXXX XXXX XXXX XXXX XXXX XXXX XXXX AE34

証明書のバックアップを忘れずに。

/I エラー無視

/I        エラーが発生しても指定された操作を実行し続けます。既定では、
          エラーが発生すると CIPHER は停止されます。

/S サブディレクトリ以下に再帰的に処理適用

/S        指定されたディレクトリとすべてのサブディレクトリに
          対して指定された操作を実行します。

/U

/U        ローカル ドライブのすべての暗号化ファイルを参照しようとします。
          これにより、現在のユーザーのファイル暗号化キー、または回復
          エージェント キーに変更があった場合、これらが更新されます。
          このオプションは /N 以外のほかのオプションでは動作しません。

/N        このオプションは /U でのみ動作します。このオプションにより、
          キーが更新されなくなります。ローカル ドライブ上のすべての暗号
          化ファイルを探すために使用されます。

$>cipher /U /N

このシステムの暗号化されたファイル:

D:\暗号化テスト\暗号化されているファイル.txt
D:\暗号化テスト\暗号化されているフォルダ\暗号化されているファイル.txt

/N オプションをつけて実行するのが吉。新しい暗号化キー（証明書の拇印）に更新されると、古い証明書では復号化できなくなる。