Der öffentliche Schlüssel sowie das Zertifikat befinden sich im Ordner
Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Microsoft\SystemCertificates\My\Certificates.
Der private Schlüssel befindet sich im Ordner
Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Microsoft\Crypto\RSA.
Wie auch alle anderen Dateien im RSA-Ordner ist der private Schlüssel mit dem Master-Key des Benutzers verschlüsselt. Da das Schlüsselpaar und das Zertifikat im Benutzerprofil abgelegt sind, werden sie bei einer Sicherung mit gesichert.

The Data Protection API automatically encrypts the user’s master key or keys. Master keys are stored in the user profile under RootDirectory\Documents and Settings\username\Application Data\Microsoft\Protect. For a domain user who has a roaming profile, the master key is located in the user’s profile and is downloaded to the user’s profile on the local computer until the computer is restarted.

While the user is logged on, when a master key is not being used for a cryptographic operation, it is encrypted and stored on disk. Before master keys are stored, they are 3DES-encrypted using a key derived from the user’s password. When a user changes his or her logon password, master keys are automatically unencrypted and re-encrypted using the new password.

Quelle:
http://www.microsoft.com/resources/documentation/Windows/XP/all/reskit/en-us/Default.asp?url=/resources/documentation/Windows/XP/all/reskit/en-us/prnb_efs_jskn.asp