DRA復号化機能を分離することは可能ですか?
職務の分離という名目で、EFS暗号化ファイルを復号化する機能を分割して、ファイルを復号化するために2つのDRAが必要になるように、単純な(またはそれほど単純ではない)方法があるかどうか疑問に思いました。ファイルの所有者が自分でファイルを復号化できるようにします。それは可能ですか?
このオプションがあるEFSの代替手段がある場合、それも有用な情報になります。
はい、これは可能ですが、EFSが直接サポートしているとは思いません。 シャミアの秘密分散 と呼ばれる秘密分散手法があります。これは、元の秘密を計算するために任意の数の個々の当事者が必要な、特定の秘密の情報理論的安全共有を提供します。ウィキペディアの記事から、提供されているプロパティの1つは、必要なものを完全に説明しているようです。
階層が重要な組織では、組織内での重要性に応じて、各参加者に異なる数のピースを提供できます。たとえば、大統領だけで金庫のロックを解除できますが、ロックを解除するには3人の秘書が一緒に必要です。
あなたの状況では、ファイル暗号化キーとして秘密を使用したいと思うでしょう。シークレットを分割して、ファイルを復号化するために2つのDRAが必要になるようにすることもできますが、ファイルの所有者は、外部からの情報なしで復号化するために必要な最終的なシークレットを取得できるように、シークレットの「部分」を十分に持っています。単純な実装は、オープンソース ssss または sss ユーティリティです。