Přihlášení

registrace ~ obnova hesla

MyEgo.cz › BitLocker - šifrování externích disků .

BitLocker - šifrování externích disků

Monday, 17.12.07 - Bezpečnost - autor: Radek Hulán

O šifrování systémového disku pomocí BitLockeru jsem již psal, málo lidí ale ví, že šifrovat je možné i externí disky aniž máte zašifrován disk hlavní, tedy s operačním systémem. Rozhodl jsem se nakonec nešifrovat soubory operačního systému a nainstalované programy a hry (což opravdu zbytečně zdržuje, zvláště na ultra rychlém Adaptec 3405 diskovém poli), ale jen data, tedy dokumenty, projekty a podobné soubory, kde na rychlosti otevírání tolik nezáleží.

Šifrování externích disků pomocí nástroje BitLocker

BitLocker se dá použít i v tomto případě, jen je potřeba ruční spuštění skriptu manage-bde.wsf z příkazové řádky. Skript se spouští s parametrem -on X:, kde X: je disk pro zašifrování a -recoverykey Y:\ kde Y: je identifikace USB flash disku pro uložení šifrovacího klíče.

Tedy například takto:

cscript manage-bde.wsf -on X: -recoverykey Y:\ -recoverypassword

Na USB flash disku se vytvoří 156 bajtů velký soubor s názvem jako je 00000000-0000-0000-0000-000000000000.BEF, což je vlastní šifrovací klíč.

Pokud máte šifrovaný celý disk či diskové pole a chcete to změnit, je to snadné. Ve Windows Vista můžete zmenšit diskovou oblast pomocí Nástroje pro správu / Správa počítače, poté vytvořit nový diskový oddíl X:, zašifrovat jej, přesunout na něj data (třeba do adresáře X:\Dokumenty), a následně třeba i nasměrovat pomocí mklink systémový adresář dokumentů na něj, například takto:

rmdir c:\Users\rADo\Documents
mklink /D c:\Users\rADo\Documents X:\Dokumenty

Jedná se o symbolický odkaz na adresář, což je zcela transparentní věc, takže veškeré Windows programy, Průzkumník a další se budou sice dívat na stávající adresář dokumentů, ale ten je přesměrován na šifrovaný disk.

Samozřejmě, můžete si situaci dále ulehčit tím, že šifrovaný disk odemčete zcela automaticky při startu počítače, pokud bude USB flash disk s klíčem vložen v PC. Použijete pro to Nástroje pro správu / Plánovač úloh, a zde si vytvoříte novou úlohu (viz podrobnosti zde) aktivovanou při spuštění počítače a spouštějící následující program:

@C:\Windows\System32\cscript.exe 
  c:\Windows\System32\manage-bde.wsf 
  -unlock X: 
  -recoverykey Y:\00000000-0000-0000-0000-000000000000.BEK

Dosáhnete tím toho, že budete mít bezpečně šifrovaný disk s dokumenty, při odebrání USB flash disku zcela nepřístupný, a přitom se nemusíte naprosto o nic start, zadávat heslo, či ručně disk odemykat. Je to velice pohodlné a dostatečně bezpečné.

Screenshot BitLockeru v akci

BitLocker - šifrování nesystémových diskůBitLocker - šifrování nesystémových disků
Monday, 17.12.07 - Bezpečnost - autor: Radek Hulán - 10962x

Komentáře:

  1. [1] Tenorino rb5bj115.net.upc.cz

    Díky za článek, zrovna jsem přemyšlel nad šifrováním ext. disku. Jenom by me zajímalo, jestli lze jako klíč použít i certifikát, jako tomu bylo u EFS ve Win XP.

    odpověz na tento komentář karma: 0 Monday, 17.12.07, 23:15:09
  2. [2] Borec r5de222.net.upc.cz

    Mám zašifrovaný celý systémový disk a nějak jsem nepocítil, že by to bylo pomalejší. S BitLockerem jsem moc spokojen.

    odpověz na tento komentář karma: 0 Monday, 17.12.07, 23:20:26
  3. [3] Gav ip-85-160-212-151.eurotel.cz

    Pouzivam uz delsi dobu Truecrypt a nevidim duvod presedlavat na BitLocker. Truecrypt je prenosny, takto sifrovany disk mohu pouzit na jekemkoliv stroji bez ohledu na OS. Prijde mi to mnohem pohodlnejsi varianta.
    Existuji nekde nejake vysledky benchmarku na rychlost bitlockeru? docela by mne to zajimalo.

    odpověz na tento komentář
    1. na komentář reagoval Radek Hulán — #4
    karma: 1 Tuesday, 18.12.07, 00:09:39
  4. [4] Radek Hulán

    odpovídá na Gav — #3 proč píšeš bez diakritiky? Neumíš to?

    No, ale k věci - Truecrypt je použitelný, umí ovšem šifrovat jen nesystémové disky a je také relativně nebezpečný, pokud člověk nemá 20-30 znaků heslo, což většina lidí rozhodně nezadává. BitLocker šifruje i bootovací disk a má díky klíči na USB flash disku výrazně vyšší bezpečnost. Také je komfortnější, protože se disk odemyká automaticky jen při přítomnosti USB klíče.

    odpověz na tento komentář
    1. na komentář reagoval satai — #6
    2. na komentář reagoval nocturne.op.15 — #7
    karma: 9 Tuesday, 18.12.07, 00:24:48
  5. [5] Gav cert.datacom.cz

    komentář byl vyhodnocen čtenáři jako brak

    odpověz na tento komentář karma: -10 Tuesday, 18.12.07, 08:31:31
  6. [6] satai r2j202.net.upc.cz

    odpovídá na Radek Hulán — #4 Truecrypt může použít i heslo v souboru, třebas na té klíčence. Bootovací disky bude bohužel podporovat až další verse. Je méně pohodlný, má důvěryhodnější - ne nutně lepší - bezpečnost (je otevřený a dostatečně analyzovaný i kryptology třetích stran), podporuje jednodouchou steganografii - skryté disky a víc možností nastavení (zda je tohle výhoda závisí na situaci). Řekl bych, že jsou to +- srovnatelná řešení, osobně volím TrueCrypt, protože aktuálně mám Visty Bussiness a SuSE. Mít Visty Enterprise, tak po chvilce váhání nejspíš sáhnu po TrueCryptu na externí disky (člověk nikdy neví, kam je ponese) a BitLockeru pro Boot Volume.

    odpověz na tento komentář karma: 1 Tuesday, 18.12.07, 08:59:06
  7. [7] nocturne.op.15 mail.calyx.cz

    komentář byl vyhodnocen čtenáři jako brak

    odpověz na tento komentář karma: -10 Tuesday, 18.12.07, 10:31:20
  8. [8] krytz0r hook.sazka.cz

    Lze nejaky zpusobem dostat BitLocker do legalnich Vista Home Premium OEM?

    A dale pokud sifrujes externi disk, musis nejdrive data presunout na jiny hdd, zapnout bitlockerem na externim sifrovani a nasledne data kopirovat zpet s tim, ze bude "on-the-fly" sifrovana? Nebo to lze zapnout a data se dozasifrujou coz by bylo nejpohodlnejsi ;)

    odpověz na tento komentář
    1. na komentář reagoval Radek Hulán — #9
    karma: 1 Tuesday, 18.12.07, 10:54:18
  9. [9] Radek Hulán

    odpovídá na krytz0r — #8 BitLocker je pouze ve Vista Ultimate a Enterprise. Jinak šifruje disk bez ztráty dat, zcela transparentně (což TrueCrypt neumí, ten při prvotním šifrování všechno smaže).

    odpověz na tento komentář karma: 9 Tuesday, 18.12.07, 12:17:57
  10. [10] honzaskypala 145.213.broadband9.iol.cz

    Pozor, pokud si "odsymlinkujete" Documents (nebo jakoukoliv podsložku z %USERPROFILE%) na jiný partition, tak jak je uvedeno výše! Windows Desktop Search neumí přes symlinky indexovat (museli byste ručně nakonfigurovat WDS, aby indexoval i tam). Platí pro Vistu i pro XP.

    odpověz na tento komentář karma: 2 Tuesday, 18.12.07, 15:57:24

Přidejte nový komentář:

Pro přidání komentáře a hlasování se musíte nejdříve zaregistrovat nebo přihlásit.