Šifrování diskových oddílů. Editor místních zásad skupiny. Jak funguje šifrování jednotky BitLocker

Existuje mnoho důvodů, proč šifrovat data na pevném disku, ale cenou za bezpečnost dat bude snížení rychlosti systému. Účelem tohoto článku je porovnat výkon při práci s diskem zašifrovaným různými prostředky.

Aby byl rozdíl dramatičtější, zvolili jsme nikoli supermoderní auto, ale průměrné. Běžný mechanický pevný disk o velikosti 500 GB, dvoujádrový AMD na 2,2 GHz, 4 GB RAM, 64bitový Windows 7 SP 1. Během testu nebudou spuštěny žádné antiviry ani jiné programy, takže výsledky nemůže nic ovlivnit.

Pro hodnocení výkonu jsem zvolil CrystalDiskMark. Pokud jde o šifrovací nástroje, které jsem testoval, usadil jsem se na následujícím seznamu: BitLocker, TrueCrypt, VeraCrypt, CipherShed, Symantec Endpoint Encryption a CyberSafe Top Secret.

BitLocker

Toto je standardní nástroj pro šifrování disku zabudovaný do systému Microsoft Windows. Mnoho lidí jej jednoduše používá bez instalace programů třetích stran. Vlastně proč, když už je vše v systému? Na jednu stranu je to správné. Na druhou stranu je kód uzavřený a není jisté, že neobsahoval zadní vrátka pro FBI a další zainteresované strany.

Šifrování disku se provádí pomocí algoritmu AES s délkou klíče 128 nebo 256 bitů. Klíč může být uložen v modulu Trusted Platform Module, v samotném počítači nebo na flash disku.

Pokud je použit TPM, pak při bootování počítače lze klíč získat okamžitě z něj nebo po ověření. Přihlásit se můžete pomocí klávesy na flash disku nebo zadáním PIN kódu z klávesnice. Kombinace těchto metod poskytují mnoho možností pro omezení přístupu: jednoduše TPM, TPM a USB, TPM a PIN nebo všechny tři najednou.

BitLocker má dvě nepopiratelné výhody: za prvé, může být spravován prostřednictvím skupinových zásad; Za druhé, šifruje svazky, nikoli fyzické disky. To vám umožňuje šifrovat pole více jednotek, což některé jiné šifrovací nástroje nedokážou. BitLocker také podporuje tabulku GUID Partition Table (GPT), kterou se nemůže pochlubit ani nejpokročilejší Trucrypt fork VeraCrypt. Chcete-li s ním zašifrovat systémový disk GPT, musíte jej nejprve převést do formátu MBR. U BitLockeru to není vyžadováno.

Obecně platí, že existuje pouze jedna nevýhoda - uzavřený zdroj. Pokud před lidmi ve vaší domácnosti držíte tajemství, BitLocker je perfektní. Pokud je váš disk plný dokumentů národního významu, je lepší najít něco jiného.

Je možné dešifrovat BitLocker a TrueCrypt

Pokud se zeptáte Googlu, najde zajímavý program s názvem Elcomsoft Forensic Disk Decryptor, vhodný pro dešifrování jednotek BitLocker, TrueCrypt a PGP. V rámci tohoto článku to nebudu testovat, ale podělím se o své dojmy z další utility od Elcomsoftu, a to Advanced EFS Data Recovery. Dokonale dešifroval složky EFS, ovšem za předpokladu, že nebylo nastaveno uživatelské heslo. Pokud nastavíte heslo dokonce na 1234, program byl bezmocný. V každém případě se mi nepodařilo dešifrovat zašifrovanou složku EFS patřící uživateli s heslem 111. Myslím, že stejná situace bude s produktem Forensic Disk Decryptor.

TrueCrypt

Jedná se o legendární program pro šifrování disku, který byl ukončen v roce 2012. Příběh, který se stal TrueCryptu, je stále zahalen temnotou a nikdo vlastně neví, proč se vývojář rozhodl odmítnout podporu svého duchovního dítěte.

Jsou tam jen zrnka informací, která nám neumožňují složit puzzle. V roce 2013 tak začal fundraising provádět nezávislý audit TrueCryptu. Důvodem byly informace obdržené od Edwarda Snowdena o záměrném oslabení šifrovacích nástrojů TrueCrypt. Za audit se vybralo přes 60 tisíc dolarů. Začátkem dubna 2015 byly práce dokončeny, ale nebyly identifikovány žádné závažné chyby, zranitelnosti nebo jiné významné nedostatky v architektuře aplikace.

Jakmile byl audit dokončen, TrueCrypt se znovu ocitl v centru skandálu. Specialisté ESET zveřejnili zprávu, že ruská verze TrueCrypt 7.1a stažená z truecrypt.ru obsahuje malware. Kromě toho byla samotná stránka truecrypt.ru používána jako velitelské centrum - příkazy z ní byly odesílány do infikovaných počítačů. Obecně buďte ostražití a nestahujte programy odkudkoli.

Mezi výhody TrueCrypt patří open source, jehož spolehlivost je nyní podpořena nezávislým auditem, a podpora dynamických svazků Windows. Nevýhody: program se již nevyvíjí a vývojáři neměli čas implementovat podporu UEFI/GPT. Ale pokud je cílem zašifrovat jeden nesystémový disk, pak na tom nezáleží.

Na rozdíl od BitLockeru, který podporuje pouze AES, TrueCrypt obsahuje také Serpent a Twofish. Pro generování šifrovacích klíčů, salt a klíče záhlaví vám program umožňuje vybrat jednu ze tří hashovacích funkcí: HMAC-RIPEMD-160, HMAC-Whirlpool, HMAC-SHA-512. O TrueCryptu už toho bylo napsáno hodně, takže to nebudeme opakovat.

VeraCrypt

Nejpokročilejší klon TrueCrypt. Má svůj vlastní formát, i když má schopnost pracovat v režimu TrueCrypt, který podporuje šifrované a virtuální disky ve formátu TrueCrypt. Na rozdíl od CipherShed lze VeraCrypt nainstalovat na stejný počítač ve stejnou dobu jako TrueCrypt.

INFO

Po odchodu do důchodu zanechal TrueCrypt bohaté dědictví: má mnoho fork, počínaje VeraCrypt, CipherShed a DiskCryptor.

TrueCrypt používá 1000 iterací k vygenerování klíče, který zašifruje systémový oddíl, zatímco VeraCrypt používá 327 661 iterací. Pro standardní (nesystémové) oddíly používá VeraCrypt 655 331 iterací pro hashovací funkci RIPEMD-160 a 500 000 iterací pro SHA-2 a Whirlpool. Díky tomu jsou šifrované oddíly výrazně odolnější vůči útokům hrubou silou, ale také výrazně snižuje výkon práce s takovým oddílem. Jak významné, to brzy zjistíme.

Mezi výhody VeraCrypt patří jeho otevřený zdrojový kód a také vlastní a bezpečnější formát virtuálních a šifrovaných disků ve srovnání s TrueCrypt. Nevýhody jsou stejné jako v případě progenitoru – chybějící podpora UEFI/GPT. Stále není možné zašifrovat systémový GPT disk, ale vývojáři tvrdí, že na tomto problému pracují a takové šifrování bude brzy k dispozici. Ale pracují na tom už dva roky (od roku 2014) a kdy vyjde vydání s podporou GPT a zda vůbec nějaké bude, zatím není známo.

CipherShed

Další klon TrueCrypt. Na rozdíl od VeraCrypt používá nativní formát TrueCrypt, takže můžete očekávat, že jeho výkon bude blízký výkonu TrueCrypt.

Výhody a nevýhody jsou stále stejné, i když k nevýhodám můžete přidat nemožnost nainstalovat TrueCrypt a CipherShed na stejný počítač. Navíc, pokud se pokusíte nainstalovat CipherShed na počítač s již nainstalovaným TrueCrypt, instalační program nabídne odstranění předchozího programu, ale nezvládne úlohu.

Symantec Endpoint Encryption

V roce 2010 koupil Symantec práva na program PGPdisk. Výsledkem byly produkty jako PGP Desktop a následně Endpoint Encryption. To je to, co budeme zvažovat. Program je samozřejmě proprietární, zdroje jsou uzavřené a jedna licence stojí 64 eur. Existuje však podpora pro GPT, ale pouze počínaje Windows 8.

Jinými slovy, pokud potřebujete podporu GPT a chcete zašifrovat systémový oddíl, budete si muset vybrat mezi dvěma proprietárními řešeními: BitLocker a Endpoint Encryption. Je samozřejmě nepravděpodobné, že by si domácí uživatel nainstaloval Endpoint Encryption. Problém je v tom, že to vyžaduje aplikaci Symantec Drive Encryption, která vyžaduje instalaci agenta a server pro správu Symantec Endpoint Encryption (SEE), a server chce také nainstalovat službu IIS 6.0. Není to spousta dobrých věcí na jeden program na šifrování disku? Tím vším jsme prošli jen kvůli měření výkonu.

Okamžik pravdy

Pojďme tedy k té zábavnější části, konkrétně testování. Prvním krokem je kontrola výkonu disku bez šifrování. Naší „obětí“ bude oddíl pevného disku o velikosti 28 GB (běžný, nikoli SSD), naformátovaný jako NTFS.

Otevřete CrystalDiskMark, vyberte počet průchodů, velikost dočasného souboru (ve všech testech použijeme 1 GB) a samotný disk. Stojí za zmínku, že počet průchodů nemá na výsledky prakticky žádný vliv. První snímek obrazovky ukazuje výsledky měření výkonu disku bez šifrování s počtem průchodů 5, druhý - s počtem průchodů 3. Jak vidíte, výsledky jsou téměř totožné, takže se zaměříme na tři průchody.

Výsledky CrystalDiskMark by měly být interpretovány následovně:

• Seq Q32T1 - test sekvenčního zápisu / sekvenčního čtení, počet front - 32, vlákna - 1;
• 4K Q32T1 - test náhodného zápisu / náhodného čtení (velikost bloku 4 KB, počet front - 32, vlákna - 1);
• Seq - test sekvenčního zápisu/sekvenčního čtení;
• 4K - test náhodného zápisu / náhodného čtení (velikost bloku 4 KB);

Začněme BitLockerem. Zašifrování oddílu o velikosti 28 GB trvalo 19 minut.

Pokračování je dostupné pouze pro předplatitele

Možnost 1. Chcete-li si přečíst všechny materiály na webu, přihlaste se k odběru Hacker

Předplatné vám umožní číst VŠECHNY placené materiály na webu ve stanovené lhůtě.

Spusťte šifrovací nástroj ve Windows vyhledáním „BitLocker“ a výběrem „Spravovat BitLocker“. V dalším okně můžete povolit šifrování kliknutím na „Povolit BitLocker“ vedle pevného disku (pokud se zobrazí chybová zpráva, přečtěte si část „Použití nástroje BitLocker bez TPM“).

Nyní si můžete vybrat, zda chcete při odemykání šifrovaného disku používat USB flash disk nebo heslo. Bez ohledu na volbu, kterou zvolíte, budete muset během procesu nastavení uložit nebo vytisknout obnovovací klíč. Budete jej potřebovat, pokud zapomenete heslo nebo ztratíte flash disk.

Používání nástroje BitLocker bez TPM

Nastavení nástroje BitLocker.
BitLocker funguje i bez čipu TPM – i když to vyžaduje určitou konfiguraci v Editoru místních zásad skupiny.

Pokud váš počítač nemá čip TPM (Trusted Platform Module), možná budete muset provést určité úpravy, abyste povolili nástroj BitLocker. Do vyhledávacího pole Windows zadejte „Upravit zásady skupiny“ a otevřete sekci „Editor místních zásad skupiny“. Nyní otevřete v levém sloupci editoru „Konfigurace počítače | Šablony pro správu | Komponenty Windows | BitLocker Drive Encryption | Disky operačního systému“ a v pravém sloupci zaškrtněte položku „Vyžadováno dodatečné ověření při spuštění“.

Poté v prostředním sloupci klikněte na odkaz „Upravit nastavení zásad“. Zaškrtněte políčko vedle „Povolit“ a níže zaškrtněte políčko vedle „Povolit nástroj BitLocker bez kompatibilního TPM“. Po kliknutí na „Použít“ a „OK“ můžete použít BitLocker, jak je popsáno výše.

Alternativa v podobě VeraCrypt

Chcete-li zašifrovat systémový oddíl nebo celý pevný disk pomocí nástupce TrueCrypt, VeraCrypt, vyberte „Vytvořit svazek“ z hlavní nabídky VeraCrypt a poté vyberte „Šifrovat systémový oddíl nebo celý systémový disk“. Chcete-li zašifrovat celý pevný disk spolu s oddílem Windows, vyberte „Zašifrovat celý disk“ a poté postupujte podle pokynů k nastavení krok za krokem. Poznámka: VeraCrypt vytvoří záchranný disk pro případ, že zapomenete heslo. Budete tedy potřebovat prázdné CD.

Jakmile zašifrujete svůj disk, budete muset při spouštění za heslem zadat PIM (Personal Iterations Multiplier). Pokud jste PIM nenainstalovali během instalace, stiskněte klávesu Enter.

Operační systém Windows nemůže 100% zaručit, že pokud máte heslo, neoprávněné osoby se k vašemu notebooku nedostanou. Heslo účtu lze zjistit a změnit pomocí speciálních nástrojů bez přístupu k samotnému OS. Proto je potřeba data na pevném disku šifrovat. Díky tomu se nemusíte obávat neoprávněného přístupu, pokud jej majitel uzamkne, než nechá notebook bez dozoru.

Tento článek se podívá na program pro šifrování pevného disku VeraCrypt pro operační systém Windows 10 a bude zašifrován celý systémový pevný disk se všemi oddíly, včetně systémového. Kategorický postoj k OS je způsoben skutečností, že články „Virtuální šifrovaný pevný disk pomocí VeraCrypt“ a „Šifrování počítače pomocí TrueCrypt“ již byly publikovány dříve a často se začaly objevovat otázky týkající se šifrování pevného disku ve Windows 10. mezi návštěvníky webu.

Instalace VeraCrypt

Spusťte instalační soubor. V prvním okně se zobrazí licenční ujednání, klikněte na tlačítko " Souhlasím s licenčními podmínkami", což znamená souhlas s jeho podmínkami. Klikněte na " Další".

V dalším okně musíte vybrat režim instalace - instalace nebo rozbalení. Režim rozbalení může být užitečný pro práci se šifrovanými virtuálními pevnými disky. Protože chcete zašifrovat celý disk a nevytvářet virtuální pevné disky, musíte vybrat " Instalovat"a stiskněte tlačítko" Další".

Dále musíte vybrat možnosti instalace. Ponechte možnosti jako výchozí, klikněte na " Instalovat".

Instalační proces byl zahájen, čekáme jen na zobrazení zprávy o úspěšné instalaci.

Zobrazí se zpráva oznamující, že instalace byla úspěšně dokončena.

Nyní můžete vidět žádost vývojářů o darování peněz. Klikněte na " Dokončit".

Po kliknutí na tlačítko Dokončit se zobrazí zpráva s výzvou, abyste se podívali na referenční materiál, klikněte na „ Žádný".

Instalace programu pro šifrování pevného disku byla úspěšně dokončena.

Nastavení programu a šifrování pevného disku

Spusťte zástupce z plochy " VeraCrypt".

Ve výchozím nastavení je rozhraní v angličtině, existuje však překlad do ruštiny, rozhraní je pouze potřeba přepnout do ruštiny. Přejděte na kartu " Nastavení", pak bod" Jazyk...".

V dalším okně musíte vybrat " ruština"jazyk a stiskněte tlačítko" OK".

Rozhraní se okamžitě přepne do ruštiny. To je hezké, protože v TrueCrypt bylo nutné restartovat program, aby se použil jazyk rozhraní, ale ve VeraCrypt se jazyk změní okamžitě bez restartu.

Nyní začněme proces šifrování pevného disku, přičemž vezmeme v úvahu skutečnost, že používáme operační systém Windows 10 Přejděte na kartu „ Systém"a vyberte položku" Šifrovat systémový oddíl/disk".

Nyní musíte vybrat typ šifrování - běžné nebo skryté. Chcete-li použít skrytý typ, musíte mít dva pevné disky, dva oddíly na jednom disku nebudou fungovat. Vyberte normální typ.

Dále je třeba určit oblast pro šifrování. Vývojáři doporučují šifrování systémového oddílu, protože při šifrování celého disku mohou nastat problémy se spouštěcím sektorem VeraCrypt kvůli nedostatku místa. Stojí za zmínku, že pokud máte na jednom disku několik oddílů a vyberte " zašifrovat systémový oddíl"Šifrován bude pouze oddíl, na kterém jsou nainstalovány Windows. Na noteboocích lidé často vytvářejí dva oddíly, jeden pro systém a druhý pro uživatelská data. V tomto případě nebudou uživatelská data chráněna, proto se doporučuje vybrat " Šifrování celého disku". Vyberte celý disk.

Zobrazí se upozornění doporučující používat šifrování pouze pro systémový oddíl. Klikněte na " Žádný“, protože celý disk musí být zašifrován.

Nyní musíte určit, zda chcete detekovat a šifrovat skrytý oddíl. Šifrování celého disku již bylo vybráno, takže vyberte " Žádný".

Dále musíte uvést počet nainstalovaných operačních systémů. Pokud při spouštění počítače není možné zvolit operační systém, je nainstalován pouze jeden operační systém. Tato instrukce je zaměřena na notebook s jedním OS, pokud používáte několik OS, vyberte možnost "" na vlastní nebezpečí a riziko. Vyberte položku "".

Nyní vybereme šifrovací algoritmus. Výchozí algoritmus je AES s délkou klíče 256. Optimální volba. Můžete zvolit AES(Twofish(Serpent)), ale pak může šifrování trvat déle než čtyři hodiny. Ponechte jej jako výchozí nebo zvolte robustnější možnost.

Pokud " AES (Dvě ryby (Serpent))"Dále se objeví upozornění na použití kaskády šifer. Měli byste si jej pozorně přečíst a neztratit disk pro obnovu, který bude vytvořen později. Klikněte na " Ano".

Dále se objeví další upozornění na použití kaskády šifer. Klikněte na " OK".

Nyní musíte zadat heslo, které bude použito ke spuštění operačního systému. Důrazně se doporučuje používat hesla o délce alespoň 20 znaků. Pokud takové heslo není vhodné, protože si ho určitě nebudete moci zapamatovat, můžete zadat krátké, ale alespoň 8 znaků pomocí znaků a symbolů. Neměl by obsahovat slova ani zkratky z příjmení a iniciál. Pokud použijete krátké heslo, zobrazí se varování. Ostatní možnosti se doporučuje ponechat jako výchozí. Můžete zaškrtnout políčko " Použijte PIM" a v dalším okně budete muset uvést čistě iterace, které je nutné si zapamatovat, jinak se nebudete moci přihlásit do systému. Proto doporučujeme nezaškrtávat políčko " Použijte PIM". Zadejte heslo.

Následuje sběr náhodných dat. Pohybujte myší po okně, dokud se indikátor nerozsvítí zeleně, a poté klikněte na " Další".

Klíče a náhodná data byly úspěšně vytvořeny, klikněte na " Další".

Nyní musíte vytvořit bitovou kopii pro obnovení a vypálit ji na disk. Ve výchozím nastavení je obrázek vytvořen v dokumentech uživatele, ale můžete změnit umístění kliknutím na tlačítko " Recenze", hlavní věcí při změně umístění je zadat název se stejnou příponou " Záchranný disk VeraCrypt.iso". Klikněte na " Další".

Vložte prázdný nebo přepisovatelný disk (CD nebo DVD) a vypalte obraz disku. Klikněte na " Zapsat".

Po úspěšném vypálení disku stiskněte tlačítko " Blízko"Nevyjímejte disk z jednotky, protože bude nutné jej později zkontrolovat.

Vrátíme se do okna průvodce VeraCrypt. Dále bude zkontrolován obnovovací disk. Klikněte na " Další".

Další okno říká, že skenování disku bylo úspěšné. Klikněte na " Další".

Nyní musíte vybrat režim čištění. V tomto okně je to dobře popsáno, ale je třeba poznamenat, že čištění navíc přidá čas procesu šifrování. Pokud ve vašem případě existuje nebezpečí, že se v blízké budoucnosti pokusí data extrahovat, měli byste zvolit režim čištění s počtem průchodů alespoň tři. Vyberte režim čištění a stiskněte " Další".

Nyní musíte zkontrolovat, zda vše funguje správně. Stiskněte tlačítko " Test".

Dále se objeví upozornění, že zavaděč VeraCrypt nebyl přeložen do ruštiny, to znamená, že dokud se nenačte Operační systém, bude vše v angličtině. Klikněte na " Ano".

Dále vás Průvodce vytvořením svazku požádá o restartování počítače. Klikněte na " Ano".

Když spustíte počítač před načtením operačního systému, objeví se zavaděč VeraCrypt. Zadejte dříve zadané heslo, ale do pole PIM nic nezadávejte (pokud jste nezaškrtli „ Použijte PIM"), stačí stisknout Enter. Pokud jste zaškrtli " Použijte PIM", pak musíte do příslušného pole zadat počet iterací. Dále začne proces ověření hesla, který může nějakou dobu trvat, takže není třeba panikařit, pokud trvá 2 až 5 minut. Pokud zadáte nesprávné heslo nebo nesprávný PIM (pokud je použit), bude napsáno nesprávné heslo.

Pokud se váš počítač nespustí, měli byste použít disk pro obnovení. Po úspěšném spuštění počítače se zobrazí zpráva o úspěšném testování. Nyní je vše připraveno k šifrování. Klikněte na " Šifrování".

Dále se zobrazí zpráva s pokyny pro použití disku pro obnovení, který je třeba vytisknout. Klikněte na " OK".

Začne proces šifrování. Doba šifrování závisí na počítači – jak je výkonný a jaký typ paměťového média se používá. V případě SSD může být doba šifrování kaskádových šifer bez vymazání asi 80 minut. V případě běžných pevných disků za podobných podmínek může být doba šifrování přibližně čtyři hodiny.

Po dokončení šifrování se zobrazí zpráva oznamující, že pevný disk byl úspěšně zašifrován.

Šifrování je dokončeno, klikněte na " Připraven".

Dešifrování disku

Tato metoda dešifrování je vhodná pouze v případě, že byl proces šifrování dokončen bez chyb a operační systém byl úspěšně zaveden.
Spusťte VeraCrypt, systémový disk bude v seznamu, klikněte na něj pravým tlačítkem a vyberte „Dešifrovat trvale“.
Program požádá o potvrzení dešifrování. Klikněte na "Ano". Poté se zobrazí další potvrzení, klikněte na „Ano“.
Začne proces dešifrování, který bude trvat stejně dlouho jako proces dešifrování mínus vymazání. Po dokončení se zobrazí oznámení o úspěšném dešifrování a budete vyzváni k restartování počítače.

Toto je čtvrtý z pěti článků na našem blogu věnovaném VeraCryptu, který podrobně zkoumá a poskytuje podrobné pokyny, jak používat VeraCrypt k šifrování celého systémového oddílu nebo disku s nainstalovaným operačním systémem Windows.

Pokud hledáte, jak zašifrovat nesystémový pevný disk, zašifrovat jednotlivé soubory nebo celý USB flash disk a chcete se také dozvědět více o VeraCryptu, podívejte se na tyto odkazy:

Toto šifrování je nejbezpečnější, protože absolutně všechny soubory, včetně jakýchkoli dočasných souborů, souboru hibernace (režim spánku), odkládacího souboru a dalších, jsou vždy šifrovány (i v případě neočekávaného výpadku proudu). Protokol operačního systému a registr, ve kterých je uloženo mnoho důležitých dat, budou také šifrovány.

Systémové šifrování funguje prostřednictvím ověřování před spuštěním systému. Před spuštěním systému Windows budete muset zadat heslo, které dešifruje systémový oddíl disku obsahující všechny soubory operačního systému.

Tato funkce je implementována pomocí zavaděče VeraCrypt, který nahrazuje standardní zavaděč systému. Systém můžete zavést, pokud je spouštěcí sektor pevného disku a tím i zavaděč samotný poškozen pomocí záchranného disku VeraCrypt.

Vezměte prosím na vědomí, že systémový oddíl je za běhu zašifrován za běhu operačního systému. Zatímco proces probíhá, můžete počítač používat jako obvykle. Výše uvedené platí také pro dešifrování.

Seznam operačních systémů, pro které je podporováno šifrování systémových disků:

• Windows 10
• Windows 8 a 8.1
• Windows 7
• Windows Vista (SP1 nebo novější)
• Windows XP
• Windows Server 2012
• Windows Server 2008 a Windows Server 2008 R2 (64bitový)
• Windows Server 2003

V našem případě zašifrujeme počítač s Windows 10 a jedním diskem C:\

Krok 1 - Zašifrujte systémový oddíl

Spusťte VeraCrypt, v hlavním okně programu přejděte na kartu Systém a vyberte první položku nabídky Šifrovat systémový oddíl/disk (Zašifrovat systémový oddíl/disk).

Krok 2 – Výběr typu šifrování

Ponechte výchozí typ Normální (Obyčejný) Pokud chcete vytvořit skrytý oddíl nebo skrytý operační systém, věnujte pozornost dalším funkcím VeraCrypt. Klikněte Další

Krok 3 – Oblast šifrování

V našem případě není zásadně důležité šifrovat celý disk nebo jen systémový oddíl, jelikož na disku máme pouze jeden oddíl, který zabírá veškeré volné místo. Je možné, že váš fyzický disk je například rozdělen do několika oddílů C:\ A D:\. Pokud je to váš případ a chcete zašifrovat oba oddíly, vyberte Zašifrujte celý disk.

Upozorňujeme, že pokud máte nainstalovaných několik fyzických disků, budete muset zašifrovat každý z nich samostatně. Disk se systémovým oddílem pomocí těchto pokynů. Jak zašifrovat disk s daty je napsáno.

Vyberte, zda chcete zašifrovat celý disk nebo pouze systémový oddíl, a klikněte na tlačítko Další.

Krok 4 – Šifrování skrytých oddílů

Vybrat Ano Pokud má vaše zařízení skryté oddíly s nástroji výrobce počítače a chcete je zašifrovat, obvykle to není nutné.

Krok 5 – Počet operačních systémů

Nebudeme analyzovat případ, kdy je na počítači nainstalováno několik operačních systémů najednou. Vyberte a stiskněte tlačítko Další.

Krok 6 – Nastavení šifrování

Výběr šifrovacích a hashovacích algoritmů, pokud si nejste jisti, co vybrat, ponechte hodnoty AES A SHA-512 výchozí jako nejvýkonnější možnost.

Krok 7 – Heslo

Toto je důležitý krok, zde musíte vytvořit silné heslo, které bude použito pro přístup do šifrovaného systému. Doporučujeme, abyste si pečlivě pročetli doporučení vývojářů v okně Průvodce vytvořením svazku, jak zvolit dobré heslo.

Krok 8 – Sběr náhodných dat

Tento krok je nezbytný pro vygenerování šifrovacího klíče na základě dříve zadaného hesla, čím déle budete pohybovat myší, tím bezpečnější budou výsledné klíče. Pohybujte myší náhodně, dokud se indikátor nezbarví zeleně, a poté klikněte Další.

Krok 9 - Generované klíče

Tento krok vás informuje, že šifrovací klíče, vazba (sůl) a další parametry byly úspěšně vytvořeny. Toto je informační krok, klikněte Další.

Krok 10 – Disk pro obnovení

Zadejte cestu, kam se uloží obraz ISO záchranného disku. Tento obraz můžete potřebovat, pokud je zavaděč VeraCrypt poškozen, ale přesto budete muset zadat správné heslo.

Uložte obraz disku pro obnovení na vyměnitelné médium (například flash disk) nebo jej vypalte na optický disk (doporučujeme) a klikněte na Další.

Krok 11 – Vytvoří se disk pro obnovení

Věnovat pozornost! Každý šifrovaný systémový oddíl vyžaduje vlastní disk pro obnovu. Nezapomeňte jej vytvořit a uložit na vyměnitelné médium. Neukládejte disk pro obnovení na stejnou zašifrovanou systémovou jednotku.

Pouze obnovovací disk vám může pomoci dešifrovat data v případě technických poruch a problémů s hardwarem.

Krok 12 – Uvolnění volného místa

Vymazání volného místa umožňuje trvale odstranit dříve smazaná data z disku, která lze obnovit pomocí speciálních technik (důležité zejména pro tradiční magnetické pevné disky).

Pokud šifrujete SSD disk, vyberte 1 nebo 3 průchody pro magnetické disky doporučujeme 7 nebo 35 průchodů.

Upozorňujeme, že tato operace ovlivní celkovou dobu šifrování disku, proto ji odmítněte, pokud váš disk dříve neobsahoval důležitá smazaná data.

U SSD disků nevolte 7 nebo 35 průchodů, mikroskopie magnetické síly v případě SSD disků nefunguje, stačí 1 průchod.

Krok 13 – Test šifrování systému

Proveďte předběžný test šifrování systému a uvidíte zprávu, že rozhraní zavaděče VeraCrypt je zcela v angličtině.

Shan 14 – Co dělat, když se Windows nespustí

Přečtěte si, nebo ještě lépe, vytiskněte si doporučení pro případ, co dělat, když se Windows po restartu nespustí (to se stává).

Klikněte OK pokud jste si zprávu přečetli a porozuměli jí.

S CyberSafe můžete šifrovat více než jen jednotlivé soubory. Program umožňuje zašifrovat celý oddíl pevného disku nebo celý externí disk (například USB disk nebo flash disk). Tento článek vám ukáže, jak zašifrovat a skrýt zašifrovaný oddíl pevného disku před zvědavýma očima.

Špióni, paranoici i běžní uživatelé

Kdo bude mít prospěch ze schopnosti šifrovat oddíly? Okamžitě zahoďme špiony a paranoiky. Těch prvních není tolik a jejich potřeba šifrování dat je čistě profesionální. Druhý chce jen něco zašifrovat, schovat atd. Sice reálná hrozba nehrozí a zašifrovaná data nikoho nezajímají, přesto je zašifrují. Proto nás zajímají běžné uživatele, kterých, jak doufám, bude víc než paranoidních špionů.
Typický scénář šifrování oddílu je, když je počítač sdílen. Existují dvě možnosti použití programu CyberSafe: buď každý z uživatelů pracujících na počítači vytvoří virtuální disk, nebo každý vyhradí na pevném disku oddíl pro ukládání osobních souborů a zašifruje jej. O vytváření virtuálních disků již bylo napsáno, ale v tomto článku budeme hovořit konkrétně o šifrování celého oddílu.
Řekněme, že je k dispozici pevný disk s kapacitou 500 GB a jsou zde tři uživatelé, kteří pravidelně pracují s počítačem. Navzdory skutečnosti, že souborový systém NTFS stále podporuje přístupová práva a umožňuje omezit přístup jednoho uživatele k souborům jiného uživatele, jeho ochrana nestačí. Jeden z těchto tří uživatelů bude mít totiž administrátorská práva a bude mít přístup k souborům zbývajících dvou uživatelů.
Místo na pevném disku lze tedy rozdělit následovně:

• Přibližně 200 GB – sdílený oddíl. Tento oddíl bude také systémovým oddílem. Nainstaluje operační systém, program a uloží společné soubory všech tří uživatelů.
• Tři sekce po ~100 GB – myslím, že 100 GB stačí k uložení osobních souborů každého uživatele. Každá z těchto sekcí bude zašifrována a heslo pro přístup do zašifrované sekce bude znát pouze uživatel, který tuto sekci zašifroval. V tomto případě administrátor, bez ohledu na to, jak moc si to přeje, nebude schopen dešifrovat oddíl jiného uživatele a získat přístup k jeho souborům. Ano, na přání může administrátor oddíl naformátovat a dokonce jej smazat, ale přístup bude moci získat pouze v případě, že oklame uživatele, aby mu dal své heslo. Ale myslím, že se to nestane, takže šifrování oddílu je mnohem efektivnější opatření než rozlišování přístupových práv pomocí NTFS.

Šifrování oddílů vs šifrované virtuální disky

Co je lepší - šifrovat oddíly nebo používat šifrované virtuální disky? Zde se každý rozhodne sám za sebe, protože každá metoda má své výhody a nevýhody. Šifrování diskových oddílů je stejně bezpečné jako šifrování virtuálních disků a naopak.
Co je virtuální disk? Podívejte se na to jako na archiv s heslem a kompresním poměrem 0. Pouze soubory uvnitř tohoto archivu jsou šifrovány mnohem bezpečněji než v běžném archivu. Virtuální disk je uložen na vašem pevném disku jako soubor. V programu CyberSafe je potřeba virtuální disk otevřít a připojit a poté s ním můžete pracovat jako s běžným diskem.
Výhodou virtuálního disku je, že jej lze snadno zkopírovat na jiný pevný disk nebo flash disk (pokud to velikost dovolí). Můžete například vytvořit virtuální disk o velikosti 4 GB (neexistují žádná omezení velikosti virtuálního disku, kromě přirozených) a v případě potřeby zkopírovat soubor virtuálního disku na flash disk nebo externí pevný disk. Se šifrovaným oddílem to neuděláte. Soubor virtuálního disku můžete také skrýt.
V případě potřeby si samozřejmě můžete vytvořit image zašifrovaného disku – pro případ, že jej budete chtít zálohovat nebo přesunout na jiný počítač. Ale to je jiný příběh. Pokud máte podobnou potřebu, doporučuji program Clonezilla - je to již spolehlivé a osvědčené řešení. Přenos šifrovaného oddílu na jiný počítač je složitější než přenos virtuálního disku. Pokud existuje taková potřeba, je jednodušší použít virtuální disky.
Při šifrování oddílu je celý oddíl fyzicky zašifrován. Při připojování tohoto oddílu budete muset zadat heslo, po jehož zadání můžete s oddílem pracovat jako obvykle, tedy číst a zapisovat soubory.
Jakou metodu mám zvolit? Pokud si můžete dovolit šifrovat oddíl, můžete zvolit tuto metodu. Je také lepší zašifrovat celou sekci, pokud je velikost vašich tajných dokumentů poměrně velká.
Jsou ale situace, kdy je použití celé sekce nemožné nebo nedává smysl. Například máte na pevném disku pouze jeden oddíl (disk C:) a z toho či onoho důvodu (žádná práva, například protože počítač není váš) nemůžete nebo nechcete změnit jeho rozložení, pak potřeba použít virtuální disky. Nemá smysl šifrovat celý oddíl, pokud je velikost dokumentů (souborů), které potřebujete zašifrovat, malá – několik gigabajtů. Myslím, že jsme to vyřešili, takže je čas promluvit si o tom, které oddíly (disky) lze zašifrovat.

Podporované typy disků

Šifrovat můžete následující typy médií:

• Oddíly pevného disku naformátované v souborových systémech FAT, FAT32 a NTFS.
• Flash disky, externí USB disky, s výjimkou disků zastupujících mobilní telefony, digitální fotoaparáty a audio přehrávače.

Nelze šifrovat:

• CD/DVD-RW disky, diskety
• Dynamické disky
• Systémová jednotka (ze které se Windows spouští)

Počínaje Windows XP Windows podporuje dynamické disky. Dynamické disky umožňují kombinovat několik fyzických pevných disků (obdoba LVM ve Windows). Takové disky není možné programem zašifrovat.

Funkce práce se šifrovaným diskem

Představme si, že jste již zašifrovali oddíl pevného disku. Chcete-li pracovat se soubory na šifrovaném oddílu, musíte jej připojit. Při připojování se vás program zeptá na heslo k šifrovanému disku, který jste zadali při jeho šifrování. Po práci se šifrovaným diskem jej musíte okamžitě odpojit, jinak soubory zůstanou dostupné uživatelům, kteří mají fyzický přístup k vašemu počítači.
Jinými slovy, šifrování chrání vaše soubory pouze tehdy, když je šifrovaný oddíl odpojen. Jakmile je oddíl připojen, kdokoli s fyzickým přístupem k počítači z něj může kopírovat soubory na nezašifrovaný oddíl, jednotku USB nebo externí pevný disk a soubory nebudou zašifrovány. Když tedy pracujete se zašifrovaným diskem, zvykněte si jej vždy odpojit pokaždé, když opustíte počítač, a to i na krátkou dobu! Jakmile odpojíte šifrovaný disk, budou vaše soubory bezpečně chráněny.
Co se týče výkonu, ten bude při práci se šifrovaným oddílem nižší. O kolik nižší závisí na možnostech vašeho počítače, ale systém zůstane funkční a vy budete muset čekat o něco déle než obvykle (zvláště při kopírování velkých souborů na šifrovaný oddíl).

Příprava na šifrování

První věc, kterou musíte udělat, je někde sehnat UPS. Pokud máte notebook, je vše v pořádku, ale pokud máte běžný stolní počítač a chcete zašifrovat oddíl, který již má soubory, bude šifrování nějakou dobu trvat. Pokud během této doby vypadne proud, zaručeně přijdete o data. Pokud tedy nemáte UPS, která vydrží několik hodin výdrže baterie, doporučuji provést následující:

• Zálohujte svá data například na externí pevný disk. Poté se budete muset této kopie zbavit (doporučuje se po smazání dat z nezašifrovaného disku vymazat volné místo pomocí nástroje jako Piriform, aby nebylo možné obnovit smazané soubory), protože pokud je přítomna, existuje nemá smysl mít šifrovanou kopii dat.
• Po zašifrování disku přenesete data z kopie na šifrovaný disk. Naformátujte disk a zašifrujte jej. Ve skutečnosti jej nemusíte formátovat samostatně – CyberSafe to udělá za vás, ale o tom později.

Pokud máte notebook a jste připraveni pokračovat, aniž byste si vytvořili záložní kopii svých dat (doporučoval bych to udělat pro každý případ), nezapomeňte zkontrolovat disk, zda neobsahuje chyby, alespoň pomocí standardního nástroje Windows. Teprve poté je třeba začít šifrovat oddíl/disk.

Šifrování oddílů: cvičení

Takže teorie bez praxe je nesmyslná, tak se pustíme do šifrování oddílu/disku. Spusťte program CyberSafe a přejděte do sekce Šifrování disku, Šifrování oddílu(obr. 1).

Rýže. 1. Seznam oddílů/disků vašeho počítače

Vyberte oddíl, který chcete zašifrovat. Pokud tlačítko Vytvořit bude neaktivní, pak tento oddíl nelze zašifrovat. Může to být například systémový oddíl nebo dynamický disk. Také nelze šifrovat více disků současně. Pokud potřebujete zašifrovat několik disků, musí se operace šifrování jeden po druhém opakovat.
Klepněte na tlačítko Vytvořit. Dále se otevře okno Disk Kripo(obr. 2). V něm je potřeba zadat heslo, které bude použito k dešifrování disku při jeho připojování. Při zadávání hesla zkontrolujte velikost písmen (aby nebyla stisknuta klávesa Caps Lock) a rozložení. Pokud za vámi nikdo není, můžete zapnout vypínač Zobrazit heslo.

Rýže. 2. Krypto disk

Ze seznamu Typ šifrování musíte si vybrat algoritmus - AES nebo GOST. Oba algoritmy jsou spolehlivé, ale ve vládních organizacích je obvyklé používat pouze GOST. Na svém počítači nebo v komerční organizaci můžete volně používat kterýkoli z algoritmů.
Pokud jsou na disku informace a chcete je uložit, zapněte přepínač. Upozorňujeme, že v tomto případě se výrazně prodlouží doba šifrování disku. Na druhou stranu, pokud jsou zašifrované soubory, řekněme, na externím pevném disku, budete je stále muset zkopírovat na šifrovaný disk, abyste je zašifrovali, a kopírování pomocí šifrování za běhu bude také nějakou dobu trvat. Pokud jste data nezálohovali, nezapomeňte zaškrtnout přepínač Povolit Uložte strukturu souboru a data, jinak přijdete o všechna svá data.
Další parametry v okně Krypto disk lze ponechat jako výchozí. Využije se totiž celá dostupná velikost zařízení a provede se rychlé formátování do souborového systému NTFS. Šifrování spustíte kliknutím na tlačítko Přijmout. Průběh procesu šifrování se zobrazí v hlavním okně programu.

Rýže. 3. Průběh procesu šifrování

Jakmile je disk zašifrován, uvidíte jeho stav - zašifrované, skryté(obr. 4). To znamená, že váš disk byl zašifrován a skryt – nezobrazí se v Průzkumníku a dalších správcích souborů na vysoké úrovni, ale programy tabulky oddílů jej uvidí. Není třeba doufat, že jelikož je disk skrytý, nikdo jej nenajde. V modulu snap-in se zobrazí všechny disky skryté programem Správa disků(viz obr. 5) a další programy pro rozdělení disku. Vezměte prosím na vědomí, že v tomto modulu snap-in je zašifrovaný oddíl zobrazen jako oddíl se systémem souborů RAW, tedy zcela bez systému souborů. To je normální – po zašifrování oddílu Windows nedokáže určit jeho typ. Skrytí oddílu je však nutné ze zcela jiných důvodů a pak přesně pochopíte proč.

Rýže. 4. Stav disku: zašifrovaný, skrytý. Oddíl E: není viditelný v Průzkumníku

Rýže. 5. Modul snap-in Správa disků

Nyní připojíme oddíl. Vyberte jej a klikněte na tlačítko Vzkříšení aby byl oddíl znovu viditelný (stav disku se změní na pouze " zašifrované"). Systém Windows uvidí tento oddíl, ale protože nedokáže rozpoznat typ jeho souborového systému, nabídne jeho formátování (obr. 6). Za žádných okolností by to nemělo být prováděno, protože přijdete o všechna data. To je důvod, proč program skrývá šifrované mechaniky – ostatně pokud na počítači nepracujete jen vy, může jiný uživatel zformátovat údajně nečitelný oddíl disku.

Rýže. 6. Návrh zformátovat šifrovaný oddíl

Formátování samozřejmě odmítáme a mačkáme tlačítko Montirov. v hlavním okně programu CyberSafe. Dále budete muset vybrat písmeno jednotky, přes kterou budete k šifrovanému oddílu přistupovat (obr. 7).

Rýže. 7. Výběr písmene jednotky

Poté vás program vyzve k zadání hesla potřebného k dešifrování vašich dat (obr. 8). V oblasti se objeví dešifrovaný oddíl (disk). Připojená dešifrovaná zařízení(obr. 9).

Rýže. 8. Heslo pro dešifrování oddílu

Rýže. 9. Připojená dešifrovaná zařízení

Poté můžete s dešifrovaným diskem pracovat jako s běžným diskem. V Průzkumníku se zobrazí pouze jednotka Z: - to je písmeno, které jsem přiřadil dešifrované jednotce. Zašifrovaná jednotka E: se nezobrazí.

Rýže. 10. Průzkumník - prohlížení disků počítače

Nyní můžete otevřít připojený disk a zkopírovat na něj všechny tajné soubory (jen je nezapomeňte odstranit z původního zdroje a vymazat na něm volné místo).
Až budete potřebovat ukončit práci s naší sekcí, klikněte nebo klikněte na tlačítko Demontér. a poté na tlačítko Skrýt nebo jednoduše zavřete okno CyberSafe. Pokud jde o mě, je snazší zavřít okno programu. Je jasné, že během operace kopírování/přesouvání souborů nemusíte zavírat okno programu. Nestane se nic hrozného ani neopravitelného, ​​jen se některé soubory nezkopírují na váš šifrovaný disk.

O výkonu

Je jasné, že výkon šifrovaného disku bude nižší než u běžného. Ale kolik? Na Obr. 11 Zkopíroval jsem složku svého uživatelského profilu (kde je mnoho malých souborů) z disku C: na šifrovaný disk Z:. Rychlost kopírování je znázorněna na obr. 11 - přibližně na úrovni 1,3 MB/s. To znamená, že 1 GB malých souborů bude zkopírováno přibližně za 787 sekund, tedy 13 minut. Pokud zkopírujete stejnou složku na nezašifrovaný oddíl, rychlost bude přibližně 1,9 MB/s (obr. 12). Na konci operace kopírování se rychlost zvýšila na 2,46 MB/s, ale touto rychlostí bylo zkopírováno velmi málo souborů, takže se domníváme, že rychlost byla 1,9 MB/s, což je o 30 % více. Stejný 1 GB malých souborů v našem případě bude zkopírován za 538 sekund nebo téměř 9 minut.

Rýže. 11. Rychlost kopírování malých souborů z nešifrovaného oddílu na šifrovaný

Rýže. 12. Rychlost kopírování malých souborů mezi dvěma nešifrovanými oddíly

Co se týče velkých souborů, nepocítíte žádný rozdíl. Na Obr. Obrázek 13 ukazuje rychlost kopírování velkého souboru (400 MB video soubor) z jednoho nešifrovaného oddílu do druhého. Jak vidíte, rychlost byla 11,6 MB/s. A na Obr. Obrázek 14 ukazuje rychlost kopírování stejného souboru z běžného oddílu na šifrovaný a činila 11,1 MB/s. Rozdíl je malý a je v mezích chyb (rychlost se stále mírně mění s postupem kopírování). Jen pro zajímavost vám řeknu rychlost kopírování stejného souboru z flash disku (ne USB 3.0) na pevný disk - asi 8 MB/s (neexistuje žádný snímek obrazovky, ale věřte mi).

Rýže. 13. Rychlost kopírování velkých souborů

Rýže. 14. Rychlost kopírování velkého souboru na šifrovaný oddíl

Tento test není zcela přesný, ale přesto vám může poskytnout určitou představu o výkonu.
To je vše. Také doporučuji přečíst si článek