Un "Key Escrow" viene utilizzato nei casi in cui una terza parte ha bisogno di accedere ai dati crittografati, come definito dalla legge (quindi se si riceve un ordine del tribunale per decrittografare i dati), mentre un "Recovery Agent" è qualcuno che è permesso di decifrare i dati di un altro utente in caso di emergenza e ha una chiave che può compiere la decrittazione.
Quindi, in effetti, il key escrow è qualcuno che detiene le chiavi per ogni utente, mentre un agente di recupero ha una chiave master .
Modifica: "Recovery Agent" è in realtà definito anche da Windows, quindi è possibile accedere ai file protetti da EFS di altri utenti. Vedi: link per i dettagli.