PGP Desktop umí šifrovat celý bootovací disk

MyEgo.cz

home foto blogy mywindows.cz kontakt

PGP Desktop umí šifrovat celý bootovací disk

Bezpečnost 27.05.05
PGP Desktop Professional

PGP Desktop Professional 9.0 je novinkou od PGP Corp., tato nová verze byla vydána před 3 týdny. Koupil jsem si ji, za €69 ročního předplatného získáte totiž nejlepší řešení pro osobní bezpečnost, co vůbec existuje.

PGP Desktop Professional 9.0 již dávno není jen nástrojem pro šifrování emailů pomocí standardu OpenPGP (což umí třeba i open-source produkt GnuPG), ale umožňuje i šifrování disku jako celku (včetně disku bootovacího; pomocí AES-256), šifrování jednoho souboru a vytvoření virtuálního disku, a také třeba šifrování samorozbalovacích ZIP archívů.

Bez zajímavosti také není, že k dispozici jsou i kompletní zdrojové kódy, každý se tak může přesvědčit, že v produktu není ukryt „backdoor“ (právě jsem je stáhnul a jdu je zkoumat, nicméně, je to 100MB zdrojáků).

Celé to funguje tak, že při zapnutí počítače Vám místo loga Windows najede (nahoře vyfocená) obrazovka s výzvou pro zadání hesla. Po jeho správném zadání je disk on-the-fly dekryptován dle potřeby, a začínají bootovat Windows. Při ukládání na disk je zase prováděno on-the-fly šifrování, takže je to naprosto transparentní pro veškeré aplikace pod Windows (požadovány jsou Windows XP SP1 či SP2).

Po nabootování je ještě nutné zadat heslo pro Váš privátní PGP klíč (passhrase), a dále se o nic nestaráte, PGP Desktop potom funguje již zcela transparentně:

PGP PassPhrase

PGP Desktop Professional 9.0 je totiž napsán zcela nově, funguje na úrovni vrstvy (layer service), a podporuje šifrování emailů na základě sady pravidel, nikoliv pomocí pluginů pro několik málo emailových klientů, jak tomu bylo doposud. Podobně fungují třeba nejnovější antivirové produkty, které skenují emaily bez potřeby speciálního nastavení emailového klienta.

Takto vypadá hlavní obrazovka ovládacího panelu PGP Desktopu:

PGP hlavní obrazovka

Šifrování emailů

V PGP si následně nadefinujete sadu pravidel, například pro automatické šifrování zpráv, které mají v subjektu [PGP], pro automatické dešifrování, automatické stahování klíčů, a pro automatické podepisování zpráv, které nespadají to předchozích kategorií. Následně můžete použít libovolného emailového klienta, a Vaše zprávy budou automaticky šifrovány / dešifrovány / podepisovány.

Je to neuvěřitelně pohodlné, a nevede to k omylům, PGP se podařilo navrhnout nový a unikátní security-policies-based koncept.

PGP policies

Pro emaily je vhodné nadefinovat si více keyserverů než je standardní (a velice kvalitní) keyserver.pgp.com:

PGP keyservers

Šifrování disku

Šifrovat disk můžete skvělým open-source produktem TrueCrypt, nicméně, toto řešení neumí šifrovat bootovací disk Windows, adresář Windows, Program Files, či Documents and Settings. A to je problém.

PGP Desktop Professional 9.0 toto umí, prvotní šifrování disku o velikosti 250GB zabere sice zhruba 5 hodin (při této operaci se ale dá na počítači normálně pracovat), potom je ovšem reakce již okamžitá. Pochopitelně že přenosová rychlost dat z disku / na disk se tímto sníží, ale nijak podstatně, můj odhad na P-IV 3.8GHz je zhruba o 20%.

A to za absolutní bezpečnost rozhodně stojí.

PGP Whole Disk Encryption

Závěr

PGP Desktop Professional 9.0 je produkt, který přináší šifrování pro masy, jeho použití je mnohem jednodušší než předchozí verze, či než produkty konkurence. Jeho používání bych doporučil naprosto každému, a to minimálně na veškerých noteboocích a přenosných počítačích.


Komentáře

  1. 1 Peter Lachký 27.05.05, 02:05:33
    FB

    To je čistá paranoja. Myslím si, že je len veľmi málo ľudí, ktorí majú vo svojich počítačoch dáta, ktoré by sa oplatilo kradnúť...

  2. 2 thingwath 27.05.05, 02:05:56
    FB

    Šifrovací klíč je dobu uložen na disku? Hm, v takovém případě vidím vzhledem k absolutní bezpečnosti ne zcela malé rezervy.

    Mimoto, přístupnost zdrojových kódů je pěkná, ale pakliže si nakonec stejně stáhnu binárku... hm, jaký že to mělo mít význam?

  3. 3 FantomMax 27.05.05, 03:05:01
    FB

    [1]
    To je čistá paranoja. Myslím si, že je len veľmi málo ľudí, ktorí majú vo svojich počítačoch dáta, ktoré by sa oplatilo kradnúť...

    Je videt, žes nikdy nic pořádného nenaprogramoval :) Já si pár desítek MB kodu, co mám na disku, cením více, než celého počítače a myslím, že asi většina programátorů :) Neníliž pravda Radku? :)
    A kdyby mě je někdo vzal, byl bych fakt hodně naštvanej ;)

    Spíše se chci Radku zeptat, zda se nebojíš toho, že při nějaké nečekené chybě (cojávím, třeba jen normální výpadek proudu) dojde ke špatnému zašifrování a svůj 250 GB už nerozšifruješ ;)

  4. 4 Keff 27.05.05, 03:05:23
    FB

    [1] Nejde jen o 'oplatilo ukradnut', ale kdyz ti nejaky hovado slohne notebook, tak by te urcite s**** to ze se navic dostane k fotkam tve holky a podobnym vecem... A tohle je jedna z cest jak tomu zabranit.

  5. 5 Marty Alex 27.05.05, 03:05:37
    FB

    [1] Ano? když máš vlastní doménu, broadband, pracuješ na počítači a jsi vyhlášen po celém internetu? :) Žádna paranoia. Přečti si na Lupě, kolik bylo za poslední rok scizeno hackery dat a přejde tě smích.

  6. 6 markon2 27.05.05, 05:05:14
    FB

    [1] Diky za to, že je to názor většiny lidí :) Nebudeš tomu věřit, ale většina lidí má na svém disku data, která stojí za to ukradnout. Mnohdy je to jako puzzle, kostička nedává smysl, ale dá se z ní složit obrázek.

    Faktem ale zůstává, že většina lidí se o tom nikdy nedozví. Je spousta případů, kdy ti třeba přítelkyně dá na počítač monitorovací seznam, ba co víc je to úplně běžné, třeba v Americe ve Wallmartu si koupí software za 99 USD a jede. A výhoda toho šifrování je, že ti tam nikdo nedá backdoor či trojského koně. Prostě není možné ho tam dostat a pak není možné tě monitorovat.

    Vem si sakra, že dostat se na nezašifrovaný pevný disk je otázka 5 minut a to je zatraceně málo!

  7. 7 Radek Hulán 27.05.05, 06:05:18
    FB

    [2] binárku si ze zdrojáků bez problémů zkompiluji :-) A ohledně bezpečnosti, no, na to jsou poněkud lepší experti než ty ;-) Dešifrování se děje po zadání passphrase..

    [1] osobně mám na počítači mraky dat a projektů za desítku let, které má smysl krást..

    [3] to šifrování je na úrovni sektoru, takže i pokud je vadný disk, přijdu jen o obsah jednoho sektoru, nic víc.. je to profi a bezpečné řešení

  8. 8 pkm 27.05.05, 09:05:36
    FB

    Tento typ ochrany je dobrý proti krádeži disku (nebo notebooku), nikoli proti napadení ze sítě.

    Svých zdrojáků si taky cením. Ale jejich "vyzrazení" mě až tak nevadí, vadila by ztráta a od té tu máme zálohování, že.

    Každý má na disku citlivé údaje, ale proto snad nemusím šifrovat celý disk včetně binárek operačního systému. Za ten výkon to nestojí.

    Mě by se docela nelíbila ta závislost na tom softwaru a jeho chybách. Chyba je v každém netriviálním programu, věci jako OS jsou odskoušeny, protože běží miliony instalací, ale u programu, kterého je maximálně pár tisíc... Ale od toho máme zálohy, že :-)

  9. 9 Radek Hulán 27.05.05, 09:05:42
    FB

    [8] dopad na výkon je zanedbatelný, je skutečně jedno, zda nějaký program nabíhá 4 sekundy či 4.5 sekundy (jinde ten dopad vidět není)... A tady se nejedná o binárky, v /Windows a zejména /Documents and Settings jsou mraky dokumentů a dat..

    Navíc, zjevně neznáš PGP produkty, je to dlouhodobě to nejlepší na trhu a používá je řada TOP firem, na všech desktopech ve své síti, protože chápou nutnost a důležitost šifrování dat..

  10. 10 thingwath 27.05.05, 11:05:15
    FB

    [7] Neříkám, že jsem expert na bezpečnost. Nicméně, je-li klíč uložen na tom disku (jakože je, pokud pouze stačí zadat heslo), tak jediné co útočník potřebuje je dostat to heslo. To je ochrana, pravda, ale ta ochrana by byla o dost větší, kdyby ten klíč na disku nebyl (nosit si ho s sebou na flash klíčence, třeba), protože pak musí útočník dostat i klíč a to už je řádově mnohem větší záhul. Sakra větší.

    Takže by to IMHO bylo vhodné aspoň zmínit.

  11. 11 Radek Hulán 27.05.05, 11:05:24
    FB

    [10] tak to ale není.. Při použití dostatečně silného hesla (min 10 znaků) je technicky nemožné toto zjistit hrubou silou (trvalo by to milióny let), a poté se stává krádež USB tokenu mnohem snažší cestou než "krádež" hesla z mojí hlavy..

    Tento systém je skutečně bezpečný, a to tvrdí top bezpečnostní experti, nejen já ;)

    Přemýšlel jsem, že bych si koupil i USB token, ale potom jsem tu možnost zavrhnul (PGP Desktop jej ale podporuje), do HW klíče navíc člověk vidí ještě méně než do SW s dostupným zdrojovým kódem...

  12. 12 Radek Hulán 27.05.05, 11:05:30
    FB

    [10] takto ten USB token vypadá, dá se zakoupit i odděleně:

    http://www.aladdin.com/etoken/pro/usb.asp...

  13. 13 pkm 28.05.05, 11:05:38
    FB

    [10] Co máš s tím klíčem na disku? Tohle se dá vyřešit bezpečně, od čeho jsou hashovací algoritmy a solení.

  14. 14 honza 28.05.05, 06:05:16
    FB

    No myslim že běžnejm lidem stačí šifrovat důležitý soubory třeba GnuPGčkem a na zbytek se vykašlat..
    Na linuxu existuje CryptoFS.. ale nepoužívám ho.

  15. 15 radek 28.05.05, 07:05:28
    FB

    Dá se použít PGP WDE na notebooku IBM, který má service partition /IBM Rapid Restore/, nebo se musí nejdřív tato service partition odstranit? Zatím jsem nikde nenašel odpověď :/ (možná špatně hledám :)

  16. 16 markon2 29.05.05, 12:05:03
    FB

    [14] A kam ty soubory dešifruješ? Dešifrování na disk je z principu blbost, protože se pak z toho daj ty soubory dostat. Jediné jakž takž rozumné řešení je TrueCrypt, který lze i snadno zálohovat.

    2Rado: Tohle řešení má jednu zásadní nevýhodu, NA nejsou schopni zajistit dostatečnou podporu operačních systémů. Pamatuji si, jak jsem přecházel na Windows 2000 a PGP Disk prostě dlouho nebyl. TrueCrypt je v tomhle ohledu mnohem podporovanější řešení, i když bohužel neúplné.

  17. 17 Pavel F. 31.05.05, 06:05:53
    FB

    [15] Tak jsem to na svém IBM T41 s IBM Rapid Restore partition vyzkoušel a funguje bez jakýchkoliv problémů, stejně jako předtím. Doporučuji, tenhle produkt za 70 EUR opravdu stojí.

  18. 18 alouhy 01.06.05, 10:06:39
    FB

    Pokud by se nekomu chtelo sifrovat nejake device pomoci AES256 pod Windows a nechtelo se mu platit, pak muze zkusit CrossCrypt.

    http://www.scherrer.cc/crypt/

    V principu to funguje tak, ze se na disku vytvori soubor (napr 100 MB) a nad nim se vytvori nove zarizeni, pricemz cteni a psani je transparente sifrovane. Toto zarizeni lze pripojit jako "dalsi pismenko" a pak jiz zbyva jej zformatovat oblibenym filesystemem a pouzivat. Chova se to jako napr. flash karta z fotaku.

    Klic k svazku se doporucuje mit dlouhy. Takze se v praxi doporucuje jej mit zasifrovany napr. pomoci GPG nebo dle libosti uzivatele.

    Soubor s "diskem" lze samozdrejme prenest na jiny pocitac a tam jej "namountit" (s patricnymi klici).

    Vetsinou clovek nepotrebuje sifrovat cely pocitac.
    Ale kdyz ma par citlivych souboru, tak je zase
    otrava je neustale zasifrovavat a odsifrovavat.

    Uznavam ze to nema zadne klikaci rozhrani, coz mi osobne vadi nevadi.

    Testovano na XP Pro a starych NT. (ve W98 to nepracuje).

    Zdrojaky jsou pomerne jednoduche, hezky priklad na psani driveru pro Windows.

  19. 19 Radek Hulán 01.06.05, 12:06:48
    FB

    [18] lepší je TrueCrypt

  20. 20 Herodes 05.06.05, 09:06:06
    FB

    škoda že mám tak slabý notebook Pentium IV@1.6 GHz (před centrinem), harddisk pak 80GB, hned bych do toho šel, ale obávám se, že by se velice degradoval celkový výkon (používám i pro rekodování DVD, audia a práci ve Photoshopu) RAM také malá, pouze 768mb DDR - celkem slabý systém...;o(

  21. 21 Vlado Raab 10.06.05, 02:06:02
    FB

    už jste zkoušeli kryptovat v systému WinXP pomocí systémových nástrojů...? Upozorňuji, že tuto možnost nemají jedinci jejichž počítač běží na
    souborovém systému FAT16 nebo FAT32.

    Tak tedy pokud nemáte obavy z toho, že se vám zhroutí systém a nebudete mít možnost jeho opravy ze systému DOS tak používáte NTFS verze 5
    pozor linux tento souborový systém neumí korektně zpracovat může ho číst ale zápis není možný v čistém NTFS natož v komprimovaném o šifrovaném ani nemluvím.
    Jak tedy postupovat po kliknutí pravým tlačítkem myši se zobrazí v jedné z nabídek položka vlastnosti souboru vyberte volbu upřesnit ... je možná buď volba komprimovat nebo šifrovat obsah a zabezpečit tak data nelze zvolit obě varianty už samotná komprimace chrání data a jejich integritu pomocí kontrolního algoritmu. pokud vyberete volbu šifrovat ... soubor(y) složky nebo celé disky se budou šifrovat doba po kterou se bude vlastní šifrování provádět je závislá na rychlosti počítače a množství dat, která chcete zpracovatPOZOR POKUD TAKTO UČINÍTE ULOŽTE SI šifrovací klíč aby jste ho mohli v budoucnu použít ... jinak se k takto chráněným datům nedostanete ani vy.

    Postup jak data šifrovat naleznete na stránkách microsoft.cz včetně screenshotu..

    hodně zdaru v obnově po havarii počítače ... budete ho potřebovat.
    Empyrea|Vlado Raab

  22. 22 Petr 16.06.05, 12:06:01
    FB

    Mám s touto novou verzí docela závažný problém, když si zašifruji obsah okna (zřeba clipbordu) a pak to pošlu někomu,kdo má starší verzi, tak sice text správně rozšifruje, ale naprosto se mu zničí české znaky a místo nich je třeba místo š Lz kde L má apostrof a z stříšku.
    Dělá to i někomu, nebo ví někdo řešení ???

  23. 23 z.k. 17.06.05, 01:06:59
    FB

    Na stránkách PC Tuning (BIOS, ladění čipsetů a benchmarky) jsem našel TrueCrypt Benchmark:

    Všechno se pohybuje asi následovně:

    A64 winchester 1800 @2433
    Blowfish -76,6
    Serpent - 58,8
    Twofish - 57,4
    CAST5 - 48,7
    AES - 46,2

    P4 3.0 @3.45ghz ht
    Blowfish-112.1MB/s
    AES-86.8MB/s
    Twofish-56.0MB/s
    AES-Twofish-50.5MB/s
    CAST5-42.3MB/s

    Je to divné – podle ScienceMark AES Encryption má na tom být lépe Athlon64 než P4. Zrovna se rozhoduju, který z nich koupit – používám PGP Desktop 9.0 Pro s AES. Byl jsem rozhodnutej pro AMD, ale teď zase nevím… Takže co myslíte?

  24. 24 Butkic 17.06.05, 03:06:51
    FB

    Zašifruje to i linuxové oddíly?

  25. 25 radek 27.06.05, 09:06:14
    FB

    Užse vyřešil problém s kódováním diakritiky mailů, nebo ne? (utf-8 ca. ISO-8859-2,...?)

  26. 26 radek 27.06.05, 09:06:27
    FB

    á propos, existuje zajímavá varinta PGP/GPG na USB disku pro cestovatele "GPG-TO-GO - GnuPG on a floppy or USB drive" (http://www.torduninja.tk ) a k tomu navazující "Portable Thunderbird with Enigmail / GPG" (http://dev.weavervsworld.com/projects/ptbirdeniggpg/...)

    užitečné nejen na cestách :), ale i pokud je můj notes out of order :(

  27. 27 Radek Hulán 27.06.05, 09:06:58
    FB

    [25] posílám emaily v Windows-1250, pak to funguje

  28. 28 radek 27.06.05, 10:06:42
    FB

    [27]tzn. v MS Outlooku bych si nastavil preferované kódování odchozích zpráv na Windows-1250 a když bych si pak následně sám poslal "zkušební mail", tak je to potom ok i po dešifrování? díky.

  29. 29 Radek Hulán 28.06.05, 06:06:38
    FB

    [28] přesně tak

  30. 30 johan 04.07.05, 02:07:15
    FB

    Radku nedokázal by jsi prosím odhadnout,jak moc se projeví šifrování na zpomalení disku u notebooku? Díky

  31. 31 Gutenfeld 26.09.05, 11:09:11
    FB

    A jak jde takto šifrovaná data sdílet v síti LAN? Když dekóduju partícii, bude k ní mít další člen sítě úplný přístup, nebo pro něj bude "jen ke čtení? Dost mě to zajímá. Dík za odpověď.

  32. 32 Gutenfeld 27.09.05, 05:09:22
    FB

    [31] Ještě doplňuji, že potřebuji v místní síti data sdílet a pokud možno s plným přístupem. Jde to?

  33. 33 Wiza 15.01.06, 07:01:33
    FB

    [21]čau ,,, mám problám zašifroval jsem soubory pomocí "šifrovat obsah a zabezpečit tak data" jenže pak mě spadl win. jak se dají ty data dešifrovat ? jestli je ten klíč v něakem souboru, tak kde ? mám celý hdd zalohovaný

  34. 34 minyo 24.01.06, 10:01:46
    FB

    no velmi sa v tom nevyznám, ale je možné, že zverejnený zdrojový kód je odlišný od skompilovaného programu? Proste že skompilovali iný zdrojový kód, ako ten, ktorý zverejnili.