BitLocker - šifrování externích disků

MyEgo.cz

home foto blogy mywindows.cz kontakt

BitLocker - šifrování externích disků

Bezpečnost 17.12.07

O šifrování systémového disku pomocí BitLockeru jsem již psal, málo lidí ale ví, že šifrovat je možné i externí disky aniž máte zašifrován disk hlavní, tedy s operačním systémem. Rozhodl jsem se nakonec nešifrovat soubory operačního systému a nainstalované programy a hry (což opravdu zbytečně zdržuje, zvláště na ultra rychlém Adaptec 3405 diskovém poli), ale jen data, tedy dokumenty, projekty a podobné soubory, kde na rychlosti otevírání tolik nezáleží.

Šifrování externích disků pomocí nástroje BitLocker

BitLocker se dá použít i v tomto případě, jen je potřeba ruční spuštění skriptu manage-bde.wsf z příkazové řádky. Skript se spouští s parametrem -on X:, kde X: je disk pro zašifrování a -recoverykey Y:\ kde Y: je identifikace USB flash disku pro uložení šifrovacího klíče.

Tedy například takto:

cscript manage-bde.wsf -on X: -recoverykey Y:\ -recoverypassword

Na USB flash disku se vytvoří 156 bajtů velký soubor s názvem jako je 00000000-0000-0000-0000-000000000000.BEF, což je vlastní šifrovací klíč.

Pokud máte šifrovaný celý disk či diskové pole a chcete to změnit, je to snadné. Ve Windows Vista můžete zmenšit diskovou oblast pomocí Nástroje pro správu / Správa počítače, poté vytvořit nový diskový oddíl X:, zašifrovat jej, přesunout na něj data (třeba do adresáře X:\Dokumenty), a následně třeba i nasměrovat pomocí mklink systémový adresář dokumentů na něj, například takto:

rmdir c:\Users\rADo\Documents
mklink /D c:\Users\rADo\Documents X:\Dokumenty

Jedná se o symbolický odkaz na adresář, což je zcela transparentní věc, takže veškeré Windows programy, Průzkumník a další se budou sice dívat na stávající adresář dokumentů, ale ten je přesměrován na šifrovaný disk.

Samozřejmě, můžete si situaci dále ulehčit tím, že šifrovaný disk odemčete zcela automaticky při startu počítače, pokud bude USB flash disk s klíčem vložen v PC. Použijete pro to Nástroje pro správu / Plánovač úloh, a zde si vytvoříte novou úlohu (viz podrobnosti zde) aktivovanou při spuštění počítače a spouštějící následující program:

@C:\Windows\System32\cscript.exe 
  c:\Windows\System32\manage-bde.wsf 
  -unlock X: 
  -recoverykey Y:\00000000-0000-0000-0000-000000000000.BEK

Dosáhnete tím toho, že budete mít bezpečně šifrovaný disk s dokumenty, při odebrání USB flash disku zcela nepřístupný, a přitom se nemusíte naprosto o nic start, zadávat heslo, či ručně disk odemykat. Je to velice pohodlné a dostatečně bezpečné.

Screenshot BitLockeru v akci

BitLocker - šifrování nesystémových diskůBitLocker - šifrování nesystémových disků

Komentáře

  1. 1 Lukas Tenora 17.12.07, 11:12:15
    FB

    Díky za článek, zrovna jsem přemyšlel nad šifrováním ext. disku. Jenom by me zajímalo, jestli lze jako klíč použít i certifikát, jako tomu bylo u EFS ve Win XP.

  2. 2 Petr Havlíček 17.12.07, 11:12:20
    FB

    Mám zašifrovaný celý systémový disk a nějak jsem nepocítil, že by to bylo pomalejší. S BitLockerem jsem moc spokojen.

  3. 3 Martin Gavanda 18.12.07, 12:12:09
    FB

    Pouzivam uz delsi dobu Truecrypt a nevidim duvod presedlavat na BitLocker. Truecrypt je prenosny, takto sifrovany disk mohu pouzit na jekemkoliv stroji bez ohledu na OS. Prijde mi to mnohem pohodlnejsi varianta.
    Existuji nekde nejake vysledky benchmarku na rychlost bitlockeru? docela by mne to zajimalo.

  4. 4 Radek Hulán 18.12.07, 12:12:24
    FB

    [3] proč píšeš bez diakritiky? Neumíš to?

    No, ale k věci - Truecrypt je použitelný, umí ovšem šifrovat jen nesystémové disky a je také relativně nebezpečný, pokud člověk nemá 20-30 znaků heslo, což většina lidí rozhodně nezadává. BitLocker šifruje i bootovací disk a má díky klíči na USB flash disku výrazně vyšší bezpečnost. Také je komfortnější, protože se disk odemyká automaticky jen při přítomnosti USB klíče.

  5. 5 Ondra Nekola 18.12.07, 08:12:59
    FB

    [4] Truecrypt může použít i heslo v souboru, třebas na té klíčence. Bootovací disky bude bohužel podporovat až další verse. Je méně pohodlný, má důvěryhodnější - ne nutně lepší - bezpečnost (je otevřený a dostatečně analyzovaný i kryptology třetích stran), podporuje jednodouchou steganografii - skryté disky a víc možností nastavení (zda je tohle výhoda závisí na situaci). Řekl bych, že jsou to +- srovnatelná řešení, osobně volím TrueCrypt, protože aktuálně mám Visty Bussiness a SuSE. Mít Visty Enterprise, tak po chvilce váhání nejspíš sáhnu po TrueCryptu na externí disky (člověk nikdy neví, kam je ponese) a BitLockeru pro Boot Volume.

  6. 6 Martin K. 18.12.07, 10:12:54
    FB

    Lze nejaky zpusobem dostat BitLocker do legalnich Vista Home Premium OEM?

    A dale pokud sifrujes externi disk, musis nejdrive data presunout na jiny hdd, zapnout bitlockerem na externim sifrovani a nasledne data kopirovat zpet s tim, ze bude "on-the-fly" sifrovana? Nebo to lze zapnout a data se dozasifrujou coz by bylo nejpohodlnejsi ;)

  7. 7 Radek Hulán 18.12.07, 12:12:17
    FB

    [8] BitLocker je pouze ve Vista Ultimate a Enterprise. Jinak šifruje disk bez ztráty dat, zcela transparentně (což TrueCrypt neumí, ten při prvotním šifrování všechno smaže).

  8. 8 Honza Skýpala 18.12.07, 03:12:57
    FB

    Pozor, pokud si "odsymlinkujete" Documents (nebo jakoukoliv podsložku z %USERPROFILE%) na jiný partition, tak jak je uvedeno výše! Windows Desktop Search neumí přes symlinky indexovat (museli byste ručně nakonfigurovat WDS, aby indexoval i tam). Platí pro Vistu i pro XP.