Paranoia: šifrování dat na disku

MyEgo.cz

home foto blogy mywindows.cz kontakt

Paranoia: šifrování dat na disku

Bezpečnost 10.05.05
Paranoia

Naprostou většinu informací dnes máme uloženou v elektronické podobě na pevném disku. Ještě před pár lety by to byl spíše jeden šanon s papíry, nyní jsou to ale stovky až tisíce citlivých souborů. Ukrást a zneužít tyto informace je velice jednoduhé, stačí aby se někdo k Vašemu osobnímu počítači či notebooku dostal na pár minut, vytáhnul z něho disk, celý disk zkopíroval pomocí Acronis TrueImage či Norton Ghost na svůj notebook, a je hotovo. Zbytek v klidu dokončí v klimatizované kanceláři…

Proč šifrovat data na disku

Pokud nepoužíváte šifrování dat na disku, máte smůlu. Stejně jednoduše se k Vašim datům dostane kdokoliv, pokud počítač necháte zaheslovaný pod Windows XP, a naivně si myslíte, že neznalost hesla Administrátora postačí aby se do počítače nikdo nedostal. Není to pravda. Změna hesla Administrátora pod Windows je pro kohokoliv záležitost na 10 sekund, a poté si s Vaším počítačem dělá, co chce. Pokud máte notebook, a ztratíte jej, bez šifrování dat na disku si jeho obsah přečte kdokoliv i bez fyzické manipulace s diskem.

V tuto chvíli se začíná nabízet otázka, proč data na disku nekryptovat. Podobné věci se dají dělat s emailem, o šifrování komunikace na internetu pomocí GnuPG a o pohodlném propojení GnuPG s email klientem Thunderbird jsem psal již dříve, a není důvod proč podobně nešifrovat i Vaše lokální či mobilní (notebook, USB klíčenka) data.

Jak to funguje

Šifrování dat na disku funguje pro potřeby uživatele velice transparentně, šifrovací produkt vytvoří novou virtuální diskovou jednotku, která je ve skutečnosti odkazem na nějaký soubor na disku, či zašifruje celou partition, a je hotovo. Pokud při startu počítače nezadáte správné heslo do tohoto programu, daný disk vůbec není vidět, případně není přístupný ani pro čtení, tváří se jako nenaformátovaný oddíl, na němž jsou zapsána náhodná data.

Pokud si Váš disk někdo zkopíruje, a bude to profesionál, sice pozná, že data na něm uložená něco znamenají, ale k jejich obsahu se při dobře použitém hesle (15 znaků a více) nedostane ani za milión let.

V oblasti šifrování dat existuje celá řada produktů, a to komerčních i opensource. Osobně preferuji spíše opensource řešení, dostupné zdrojové kódy zaručují, že v produktu nebude "backdoor", zadní vrátka, která si u komerčního řešení někdo teoreticky mohl vynutit.

Toto jsou, dle mého názoru, nejlepší opensource šifrovací produkty:

  • TrueCrypt - skvělé opensource řešení pro šifrování disku, a to celé partition, i do kontejneru umístěného v souboru, podporuje největší množství šifrovacích algoritmů jako je AES-256, Blowfish (448-bit key), CAST5, Serpent (256-bit key), Triple DES, Twofish (256-bit key), a jejich kaskády, například AES-Twofish-Serpent. Tento produkt má jen 1MB, a je možné jej přenášet i na USB klíčence (a mít vždy šifrována i tato data).
  • GnuPG - skvělé opensource řešení pro šifrování (zejména) emailové korespondence, psal jsem o něm již dříve.
  • Eraser - skvělé opensource řešení pro výmaz dat na disku, včetně několikanásobného přepisování a výmazu prázdného místa na disku (na kterém ovšem mohou být rovněž senzitivní data).

A pár komerčních produktů:

  • PGP Desktop Professional - spojuje v sobě šifrování disku, šifrování emailů, a výmaz dat na disku, je to velice profesionální, komfortní a dobře ověřené řešení za €69.
  • DriveCrypt - jedno z nejlepších šifrování disku i souborů, včetně možnosti uschovávat data do běžných hudebních souborů.
  • Steganos Security Suite - spojuje v sobě šifrování disku a výmaz dat na disku, včetně podpory pro USB klíčenky.

Osobně používám shora uvedenou opensource kombinaci, tedy TrueCrypt + GnuPG + Eraser.

TrueCrypt - šifrování disku

TrueCrypt umožňuje vytvořit buď virtuální šifrovaný disk, což funguje tak, že se ve skutečnosti vytvoří jeden velký soubor, třeba 4.7GB velký (možná záloha na DVD), a tento soubor se namapuje pomocí ovladačů jako disková jednotka, a na tuto diskovou jednotku, po jejím namountování, normálně zapisujete a používáte ji. Výhoda je, že tento soubor můžete standardně odzálohovat.

Druhou možností je šifrovat celou diskovou partition, tato možnost je sice poněkud méně flexibilní pro zálohování, zase ale poskytuje vyšší výkon, a tento výkon se nezhoršuje s vnitřní fragmentací (což je problém řešení prvního).

Obecně, pro USB klíčenky se hodí použít to první řešení (soubor jako kontejner) a pro desktopové počítače zase to druhé (vyhrazená šifrovaná disková oblast).

V případě šifrování celé partition disku je nutné tuto oblast nejprve vytvořit, v tomto případě budu vytvářet šifrovaný disk E: s kapacitou 50GB:

Disk partitionrozdělení disků

Následně si v TrueCryptu tuto partition vyberu pro vytvoření nového šifrovaného disku:

Disk createvolba oblasti disku pro šifrování

Při vytvoření nového šifrovaného disku podporuje TrueCrypt řadu kódovacích schémat a jejich kombinací, je tak možné používat nejenom AES či Twofish či Triple DES, ale i jejich kombinace jako je AES+Twofish či Serpent+Twofish+AES. Bezpečnější už to být nemůže :-)

Pochopitelně, různá šifrovací schémata mají různou výpočetní náročnost, a proto se můžete podívat na testy, jak rychle Váš počítač zvládne šifrovat, hodnoty kolem 30MB/s a více jsou naprosto dostatečné pro běžnou práci s dokumenty i programy:

Disk benchmarkmožnosti šifrování a jejich rychlost

Následně je vytvořen šifrovaný disk. Pro Windows XP se tento disk jeví, jako by nebyl naformátován, je tedy vhodné danou partition schovat (třeba pomocí demo verze Partition Table Doctor), aby jej nějaká dobrá duše nezformátovala.

Následně si již můžete zvolit volbu Mount a zde daný disk po zadání hesla připojit, v tomto případě jako běžný disk S::

Partitionsvolba oblasti disku
Mountpřipojení šifrovaného disku do filesystému

Důležité je, zvolit si silné heslo, minimum je kolem 15 znaků, a nutné je používat mix číslic a písmen, žádná slovníková spojení, která by šla hrubou silou odhalit.

Eraser - výmaz souborů

Smazání souboru neznamená, že tento přestal existovat. V praxi se přepíše jen hlavička v MFT a fyzická data na disku zůstanou zachována. S tímto si umí poradit Eraser, který soubor celý skutečně fyzicky smaže.

Delete filesmazání jednoho souboru

A pokud chcete, Eraser je schopen promazat i prázdné místo na disku, které může ovšem obsahovat data z Vašich dříve smazaných souborů.

Disk wipevýmaz volného místa na disku

Komentáře

  1. 1 pyty 10.05.05, 07:05:16
    FB

    ja len ze acronis true image dokaze v realtime skopirovat len cely disk... particiu zvlada sice acronis discdirector, ale z WD na MAXTOR mi to akosi neslo :-(( inac pekny clanok.. dost by ma zaujimalo, z coho je ten screenshot kde su tie disky ..

  2. 2 lp 10.05.05, 07:05:42
    FB

    pekny clanok a dva pekne disky :)

  3. 3 David Jaša 10.05.05, 08:05:10
    FB

    Vypadá to, že v případě dualbootu je to krásné zabití dvou much jednou ranou: vytvořit na NTFS partišně dostatečně velké ISO s nějakým rozumným filesystémem (třeba UDF) a to iso mountovat ve WXP pomocí zmíněných programů a v linuxu normálně přes loopback. Při zápisu na iso se velikost vlastního souboru nezmění a to je přesně to, co umí NTFS driver v linuxovém jádře.

    Výsledkem je místo přístupné z obou systémů a navíc zašifrované.

    Starší článek na abclinuxu.cz

  4. 4 kgb 10.05.05, 10:05:41
    FB

    Dobré téma! Škoda jen, že většinu zmíněných věcí znám. Jen bych doplnil, že dalším komerčním produktem, navíc dostupným v češtině je Dekart Private Disk. Navíc, paranoia není jen o šifrování dat na disku, ale i o anonymním pohybu na internetu, k tomu účelu lze využít skvělý JAP. Dobrá vychytávka v souvislosti s JAPem pak je, když si člověk dá na horní lištu v Opeře přepínač "Povolit proxy server", jde si pak rychle vybírat, zda chce člověk surfovat rychle, nebo anonymně :-)

  5. 5 knox 10.05.05, 10:05:59
    FB

    pekne, avsak ked sa disk pokazi tak uz asi tie sifrovanie data nikto nezachrani nie?

  6. 6 Radek Hulán 10.05.05, 11:05:18
    FB

    [5] to platí ale pro každý disk, nejen šifrovaný ;-) V tomto případě, i pokud se pokazí nějaký sektor, nepřijdeš o všechna data, ale jen o data na tom sektoru, stejně jako na normálním HDD..

  7. 7 Keff 11.05.05, 02:05:15
    FB

    [1] Konzole pro parvu ve winXP ovladaci panely/nastroje pro spravu/sprava pocitace/(ve stromu vlevo)sprava disku... happy? :)

  8. 8 Jan Novák 11.05.05, 08:05:42
    FB

    Tuším že šifrování umí i Win XP na NTFS nativne. Jak je to s tím? Co bezpečnost? Předpokládám že to není nic moc. Díky za odpověď.

    Jan Novák

  9. 9 peter 11.05.05, 11:05:07
    FB

    ako prosim ta zarucis aby to iso bolo zasifrovane?

  10. 10 Radek 11.05.05, 02:05:42
    FB

    Partition Table Doctor 3 je super, ale demo neskryje partition.

  11. 11 Mejla 12.05.05, 09:05:39
    FB

    Existuje nejaky dobry a free soft, ktery by umel zasifrovat pouze adresar? Reseni s sifrovanim celeho disku/partisny me nevyhovuje.

  12. 12 OLE 12.05.05, 09:05:50
    FB

    [11] Spominany TrueCrypt vie aj toto.

  13. 13 Chichot 13.05.05, 08:05:42
    FB

    A co takhle SW z ceske kotliny. I cesti producenti delaji nastroje na sifrovani dat...
    Treva Sw spolecnosti SODATSW - AreaGuard http://www.areaguard.cz ktery resi sifrovani souboru a adresaru(nesifruje cely disky, aspon teda ne disky s operacnim systemem) on-line kryptografii. Je komercn ia funguje na OS Windows...
    K sipozici je ale i freeware cast, ktera umi sifrovat off-line(ted zasifruje, ted desifruj), takze myslim ze by Mejlovi mohla stacit...

  14. 14 Karel N. 13.05.05, 09:05:48
    FB

    Jeste jednou se optam protoze na kolegu nikdo nezareagoval. XP pro umi sifrovani primo. Jak je to s bezpecnosti ? Ma o tom nekdo paru ?

  15. 15 Miroslav Navrátil 13.05.05, 04:05:24
    FB

    [14] s bezpečností to nemusí být tak špatný, ovšem ... když se ti zhroutí filesystém nebo když si zapomeneš zazálohovat klíč ( != zapomenutí hesla), tak jsou data pryč...

  16. 16 kufor 25.07.05, 04:07:35
    FB

    zhanam soft podobny dekart private disk alebo truecrypt, ktory by dokazal dynamicky alokovat velkost virtualneho disku
    nieco podobne ako vie vmware
    tieto softy totiz vytvoria virtualny disk s plnou velkostou aj ked nieje to miesto obsadene

  17. 17 lery 18.08.05, 10:08:17
    FB

    Mám prosbu. Nedávno se mi zhroutili XP způsobem,který vyžadoval pouze formát a instal. Inovace systemu bohužel k rozchození nepomohla. Nešla klavesnice, myš zkrátka total smrt.. Zkusil jsem přiinstal win85 k tomu TrueCrypt, bohužel na druhý disk, který jsem měl zaseknutý TrueCryptem jsem se nedostal. Po nové instalaci "všeho" mě již k zaheslovanému disku TC nepustil. Existuje způsob, jak toto pro budoucnost ošetřit? Dík

  18. 18 Toni 05.11.05, 07:11:17
    FB

    Co soudíte o šifrování pomocí CRYPTEXT.
    Používám ho léta a teď nevím, jak snadno nesnadno se dá prolomit.

  19. 19 ssss 01.02.06, 11:02:58
    FB

    Mám prosbu. Nedávno se mi zhroutili XP způsobem,který vyžadoval pouze formát a instal. Inovace systemu bohužel k rozchození nepomohla. Nešla klavesnice, myš zkrátka total smrt.. Zkusil jsem přiinstal win85 k tomu TrueCrypt, bohužel na druhý disk, který jsem měl zaseknutý TrueCryptem jsem se nedostal. Po nové instalaci "všeho" mě již k zaheslovanému disku TC nepustil. Existuje způsob, jak toto pro budoucnost ošetřit? Dík bbbb