Šifrování pevného disku. Zkontrolujte souborový systém luks. Přenosná verze VeraCrypt na Windows

Toto je čtvrtý z pěti článků na našem blogu věnovaném VeraCryptu, který podrobně zkoumá a poskytuje podrobné pokyny, jak používat VeraCrypt k šifrování celého systémového oddílu nebo disku s nainstalovaným operačním systémem Windows.

Pokud hledáte, jak zašifrovat nesystémový pevný disk, zašifrovat jednotlivé soubory nebo celý USB flash disk a chcete se také dozvědět více o VeraCryptu, podívejte se na tyto odkazy:

Toto šifrování je nejbezpečnější, protože absolutně všechny soubory, včetně jakýchkoli dočasných souborů, souboru hibernace (režim spánku), odkládacího souboru a dalších, jsou vždy šifrovány (i v případě neočekávaného výpadku proudu). Protokol operačního systému a registr, ve kterých je uloženo mnoho důležitých dat, budou také šifrovány.

Systémové šifrování funguje prostřednictvím ověřování před spuštěním systému. Před spuštěním systému Windows budete muset zadat heslo, které dešifruje systémový oddíl disku obsahující všechny soubory operačního systému.

Tato funkce je implementována pomocí zavaděče VeraCrypt, který nahrazuje standardní zavaděč systému. Systém můžete zavést, pokud je spouštěcí sektor pevného disku a tím i zavaděč samotný poškozen pomocí záchranného disku VeraCrypt.

Vezměte prosím na vědomí, že systémový oddíl je za běhu zašifrován za běhu operačního systému. Zatímco proces probíhá, můžete počítač používat jako obvykle. Výše uvedené platí také pro dešifrování.

Seznam operačních systémů, pro které je podporováno šifrování systémových disků:

• Windows 10
• Windows 8 a 8.1
• Windows 7
• Windows Vista (SP1 nebo novější)
• Windows XP
• Windows Server 2012
• Windows Server 2008 a Windows Server 2008 R2 (64bitový)
• Windows Server 2003

V našem případě zašifrujeme počítač s Windows 10 a jedním diskem C:\

Krok 1 - Zašifrujte systémový oddíl

Spusťte VeraCrypt, v hlavním okně programu přejděte na kartu Systém a vyberte první položku nabídky Šifrovat systémový oddíl/disk (Zašifrovat systémový oddíl/disk).

Krok 2 – Výběr typu šifrování

Ponechte výchozí typ Normální (Obyčejný) Pokud chcete vytvořit skrytý oddíl nebo skrytý operační systém, věnujte pozornost dalším funkcím VeraCrypt. Klikněte Další

Krok 3 – Oblast šifrování

V našem případě není zásadně důležité šifrovat celý disk nebo jen systémový oddíl, jelikož na disku máme pouze jeden oddíl, který zabírá veškeré volné místo. Je možné, že váš fyzický disk je například rozdělen do několika oddílů C:\ A D:\. Pokud je to váš případ a chcete zašifrovat oba oddíly, vyberte Zašifrujte celý disk.

Upozorňujeme, že pokud máte nainstalovaných několik fyzických disků, budete muset zašifrovat každý z nich samostatně. Disk se systémovým oddílem pomocí těchto pokynů. Jak zašifrovat disk s daty je napsáno.

Vyberte, zda chcete zašifrovat celý disk nebo pouze systémový oddíl, a klikněte na tlačítko Další.

Krok 4 – Šifrování skrytých oddílů

Vybrat Ano Pokud má vaše zařízení skryté oddíly s nástroji výrobce počítače a chcete je zašifrovat, obvykle to není nutné.

Krok 5 – Počet operačních systémů

Nebudeme analyzovat případ, kdy je na počítači nainstalováno několik operačních systémů najednou. Vyberte a stiskněte tlačítko Další.

Krok 6 – Nastavení šifrování

Výběr šifrovacích a hashovacích algoritmů, pokud si nejste jisti, co vybrat, ponechte hodnoty AES A SHA-512 výchozí jako nejvýkonnější možnost.

Krok 7 – Heslo

Toto je důležitý krok, zde musíte vytvořit silné heslo, které bude použito pro přístup do šifrovaného systému. Doporučujeme, abyste si pečlivě pročetli doporučení vývojářů v okně Průvodce vytvořením svazku, jak zvolit dobré heslo.

Krok 8 – Sběr náhodných dat

Tento krok je nezbytný pro vygenerování šifrovacího klíče na základě dříve zadaného hesla, čím déle budete pohybovat myší, tím bezpečnější budou výsledné klíče. Pohybujte myší náhodně, dokud se indikátor nezbarví zeleně, a poté klikněte Další.

Krok 9 - Generované klíče

Tento krok vás informuje, že šifrovací klíče, vazba (sůl) a další parametry byly úspěšně vytvořeny. Toto je informační krok, klikněte Další.

Krok 10 – Disk pro obnovení

Zadejte cestu, kam se uloží obraz ISO záchranného disku. Tento obraz můžete potřebovat, pokud je zavaděč VeraCrypt poškozen, ale i tak budete muset zadat správné heslo.

Uložte obraz disku pro obnovení na vyměnitelné médium (například flash disk) nebo jej vypalte na optický disk (doporučujeme) a klikněte na Další.

Krok 11 – Vytvoří se disk pro obnovení

Věnovat pozornost! Každý šifrovaný systémový oddíl vyžaduje vlastní disk pro obnovu. Nezapomeňte jej vytvořit a uložit na vyměnitelné médium. Neukládejte disk pro obnovení na stejnou zašifrovanou systémovou jednotku.

Pouze obnovovací disk vám může pomoci dešifrovat data v případě technických poruch a problémů s hardwarem.

Krok 12 – Uvolnění volného místa

Vymazání volného místa umožňuje trvale odstranit dříve smazaná data z disku, která lze obnovit pomocí speciálních technik (důležité zejména pro tradiční magnetické pevné disky).

Pokud šifrujete SSD disk, vyberte 1 nebo 3 průchody pro magnetické disky doporučujeme 7 nebo 35 průchodů.

Upozorňujeme, že tato operace ovlivní celkovou dobu šifrování disku, proto ji odmítněte, pokud váš disk dříve neobsahoval důležitá smazaná data.

U SSD disků nevolte 7 nebo 35 průchodů, mikroskopie magnetické síly v případě SSD disků nefunguje, stačí 1 průchod.

Krok 13 – Test šifrování systému

Proveďte předběžný test šifrování systému a uvidíte zprávu, že rozhraní zavaděče VeraCrypt je zcela v angličtině.

Shan 14 – Co dělat, když se Windows nespustí

Přečtěte si, nebo ještě lépe, vytiskněte si doporučení pro případ, co dělat, když se Windows po restartu nespustí (to se stává).

Klikněte OK pokud jste si zprávu přečetli a porozuměli jí.

Existuje mnoho důvodů, proč šifrovat data na pevném disku, ale cenou za bezpečnost dat bude snížení rychlosti systému. Účelem tohoto článku je porovnat výkon při práci s diskem zašifrovaným různými prostředky.

Aby byl rozdíl dramatičtější, vybrali jsme nikoli supermoderní auto, ale průměrné auto. Běžný mechanický pevný disk o velikosti 500 GB, dvoujádrový AMD na 2,2 GHz, 4 GB RAM, 64bitový Windows 7 SP 1. Během testu nebudou spuštěny žádné antiviry ani jiné programy, takže výsledky nemůže nic ovlivnit.

Pro hodnocení výkonu jsem zvolil CrystalDiskMark. Pokud jde o šifrovací nástroje, které jsem testoval, usadil jsem se na následujícím seznamu: BitLocker, TrueCrypt, VeraCrypt, CipherShed, Symantec Endpoint Encryption a CyberSafe Top Secret.

BitLocker

Toto je standardní nástroj pro šifrování disku zabudovaný do systému Microsoft Windows. Mnoho lidí jej jednoduše používá bez instalace programů třetích stran. Vlastně proč, když už je vše v systému? Na jednu stranu je to správné. Na druhou stranu je kód uzavřený a není jisté, že neobsahoval zadní vrátka pro FBI a další zainteresované strany.

Šifrování disku se provádí pomocí algoritmu AES s délkou klíče 128 nebo 256 bitů. Klíč může být uložen v modulu Trusted Platform Module, v samotném počítači nebo na flash disku.

Pokud je použit TPM, pak při bootování počítače lze klíč získat okamžitě z něj nebo po ověření. Přihlásit se můžete pomocí klávesy na flash disku nebo zadáním PIN kódu z klávesnice. Kombinace těchto metod poskytují mnoho možností pro omezení přístupu: jednoduše TPM, TPM a USB, TPM a PIN nebo všechny tři najednou.

BitLocker má dvě nepopiratelné výhody: za prvé, může být spravován prostřednictvím skupinových zásad; Za druhé, šifruje svazky, nikoli fyzické disky. To vám umožňuje šifrovat pole více jednotek, což některé jiné šifrovací nástroje nedokážou. BitLocker také podporuje tabulku GUID Partition Table (GPT), kterou se nemůže pochlubit ani nejpokročilejší Trucrypt fork VeraCrypt. Chcete-li s ním zašifrovat systémový disk GPT, musíte jej nejprve převést do formátu MBR. U BitLockeru to není vyžadováno.

Obecně platí, že existuje pouze jedna nevýhoda - uzavřený zdroj. Pokud před lidmi ve vaší domácnosti držíte tajemství, BitLocker je perfektní. Pokud je váš disk plný dokumentů národního významu, je lepší najít něco jiného.

Je možné dešifrovat BitLocker a TrueCrypt

Pokud se zeptáte Googlu, najde zajímavý program s názvem Elcomsoft Forensic Disk Decryptor, vhodný pro dešifrování jednotek BitLocker, TrueCrypt a PGP. V rámci tohoto článku to nebudu testovat, ale podělím se o své dojmy z další utility od Elcomsoftu, a to Advanced EFS Data Recovery. Dokonale dešifroval složky EFS, ovšem za předpokladu, že nebylo nastaveno uživatelské heslo. Pokud nastavíte heslo dokonce na 1234, program byl bezmocný. V každém případě se mi nepodařilo dešifrovat zašifrovanou složku EFS patřící uživateli s heslem 111. Myslím, že stejná situace bude s produktem Forensic Disk Decryptor.

TrueCrypt

Jedná se o legendární program pro šifrování disku, který byl ukončen v roce 2012. Příběh, který se stal TrueCryptu, je stále zahalen temnotou a nikdo vlastně neví, proč se vývojář rozhodl odmítnout podporu svého duchovního dítěte.

Jsou tam jen zrnka informací, která nám neumožňují složit puzzle. V roce 2013 tak začal fundraising provádět nezávislý audit TrueCryptu. Důvodem byly informace obdržené od Edwarda Snowdena o záměrném oslabení šifrovacích nástrojů TrueCrypt. Za audit se vybralo přes 60 tisíc dolarů. Začátkem dubna 2015 byly práce dokončeny, ale nebyly identifikovány žádné závažné chyby, zranitelnosti nebo jiné významné nedostatky v architektuře aplikace.

Jakmile byl audit dokončen, TrueCrypt se znovu ocitl v centru skandálu. Specialisté ESET zveřejnili zprávu, že ruská verze TrueCrypt 7.1a stažená z truecrypt.ru obsahuje malware. Kromě toho byla samotná stránka truecrypt.ru používána jako velitelské centrum - příkazy z ní byly odesílány do infikovaných počítačů. Obecně buďte ostražití a nestahujte programy odkudkoli.

Mezi výhody TrueCrypt patří open source, jehož spolehlivost je nyní podpořena nezávislým auditem, a podpora dynamických svazků Windows. Nevýhody: program se již nevyvíjí a vývojáři neměli čas implementovat podporu UEFI/GPT. Ale pokud je cílem zašifrovat jeden nesystémový disk, pak na tom nezáleží.

Na rozdíl od BitLockeru, který podporuje pouze AES, TrueCrypt obsahuje také Serpent a Twofish. Pro generování šifrovacích klíčů, salt a klíče záhlaví vám program umožňuje vybrat jednu ze tří hashovacích funkcí: HMAC-RIPEMD-160, HMAC-Whirlpool, HMAC-SHA-512. O TrueCryptu už toho bylo napsáno hodně, takže to nebudeme opakovat.

VeraCrypt

Nejpokročilejší klon TrueCrypt. Má svůj vlastní formát, i když má schopnost pracovat v režimu TrueCrypt, který podporuje šifrované a virtuální disky ve formátu TrueCrypt. Na rozdíl od CipherShed lze VeraCrypt nainstalovat na stejný počítač ve stejnou dobu jako TrueCrypt.

INFO

Po odchodu do důchodu zanechal TrueCrypt bohaté dědictví: má mnoho fork, počínaje VeraCrypt, CipherShed a DiskCryptor.

TrueCrypt používá 1000 iterací k vygenerování klíče, který zašifruje systémový oddíl, zatímco VeraCrypt používá 327 661 iterací. Pro standardní (nesystémové) oddíly používá VeraCrypt 655 331 iterací pro hashovací funkci RIPEMD-160 a 500 000 iterací pro SHA-2 a Whirlpool. Díky tomu jsou šifrované oddíly výrazně odolnější vůči útokům hrubou silou, ale také výrazně snižuje výkon práce s takovým oddílem. Jak významné, to brzy zjistíme.

Mezi výhody VeraCrypt patří jeho otevřený zdrojový kód a také vlastní a bezpečnější formát virtuálních a šifrovaných disků ve srovnání s TrueCrypt. Nevýhody jsou stejné jako v případě progenitoru – chybějící podpora UEFI/GPT. Stále není možné zašifrovat systémový GPT disk, ale vývojáři tvrdí, že na tomto problému pracují a takové šifrování bude brzy k dispozici. Ale pracují na tom už dva roky (od roku 2014) a kdy vyjde vydání s podporou GPT a zda vůbec nějaké bude, zatím není známo.

CipherShed

Další klon TrueCrypt. Na rozdíl od VeraCrypt používá nativní formát TrueCrypt, takže můžete očekávat, že jeho výkon bude blízký výkonu TrueCrypt.

Výhody a nevýhody jsou stále stejné, i když k nevýhodám můžete přidat nemožnost nainstalovat TrueCrypt a CipherShed na stejný počítač. Navíc, pokud se pokusíte nainstalovat CipherShed na počítač s již nainstalovaným TrueCrypt, instalační program nabídne odstranění předchozího programu, ale nezvládne úlohu.

Symantec Endpoint Encryption

V roce 2010 koupil Symantec práva na program PGPdisk. Výsledkem byly produkty jako PGP Desktop a následně Endpoint Encryption. To je to, co budeme zvažovat. Program je samozřejmě proprietární, zdroje jsou uzavřené a jedna licence stojí 64 eur. Existuje však podpora pro GPT, ale pouze počínaje Windows 8.

Jinými slovy, pokud potřebujete podporu GPT a chcete zašifrovat systémový oddíl, budete si muset vybrat mezi dvěma proprietárními řešeními: BitLocker a Endpoint Encryption. Je samozřejmě nepravděpodobné, že by si domácí uživatel nainstaloval Endpoint Encryption. Problém je v tom, že to vyžaduje aplikaci Symantec Drive Encryption, která vyžaduje instalaci agenta a server pro správu Symantec Endpoint Encryption (SEE), a server chce také nainstalovat službu IIS 6.0. Není to spousta dobrých věcí na jeden program na šifrování disku? Tím vším jsme prošli jen kvůli měření výkonu.

Okamžik pravdy

Pojďme tedy k té zábavnější části, konkrétně testování. Prvním krokem je kontrola výkonu disku bez šifrování. Naší „obětí“ bude oddíl pevného disku o velikosti 28 GB (běžný, nikoli SSD), naformátovaný jako NTFS.

Otevřete CrystalDiskMark, vyberte počet průchodů, velikost dočasného souboru (ve všech testech použijeme 1 GB) a samotný disk. Stojí za zmínku, že počet průchodů nemá na výsledky prakticky žádný vliv. První snímek obrazovky ukazuje výsledky měření výkonu disku bez šifrování s počtem průchodů 5, druhý - s počtem průchodů 3. Jak vidíte, výsledky jsou téměř totožné, takže se zaměříme na tři průchody.

Výsledky CrystalDiskMark by měly být interpretovány následovně:

• Seq Q32T1 - test sekvenčního zápisu / sekvenčního čtení, počet front - 32, vlákna - 1;
• 4K Q32T1 - test náhodného zápisu / náhodného čtení (velikost bloku 4 KB, počet front - 32, vlákna - 1);
• Seq - test sekvenčního zápisu/sekvenčního čtení;
• 4K - test náhodného zápisu / náhodného čtení (velikost bloku 4 KB);

Začněme BitLockerem. Zašifrování oddílu o velikosti 28 GB trvalo 19 minut.

Pokračování je dostupné pouze pro předplatitele

Možnost 1. Chcete-li si přečíst všechny materiály na webu, přihlaste se k odběru Hacker

Předplatné vám umožní číst VŠECHNY placené materiály na webu ve stanovené lhůtě.

Přijímáme platby bankovními kartami, elektronickými penězi a převody z účtů mobilních operátorů.

S CyberSafe můžete šifrovat více než jen jednotlivé soubory. Program umožňuje zašifrovat celý oddíl pevného disku nebo celý externí disk (například USB disk nebo flash disk). Tento článek vám ukáže, jak zašifrovat a skrýt zašifrovaný oddíl pevného disku před zvědavýma očima.

Kdo bude mít prospěch ze schopnosti šifrovat oddíly? Okamžitě zahoďme špiony a paranoiky. Těch prvních není tolik a jejich potřeba šifrování dat je čistě profesionální. Druhý chce jen něco zašifrovat, schovat atd. Sice reálná hrozba nehrozí a zašifrovaná data nikoho nezajímají, přesto je zašifrují. Proto nás zajímají běžné uživatele, kterých, jak doufám, bude víc než paranoidních špionů.
Typický scénář šifrování oddílu je, když je počítač sdílen. Existují dvě možnosti použití programu CyberSafe: buď každý z uživatelů pracujících na počítači vytvoří virtuální disk, nebo každý vyhradí na pevném disku oddíl pro ukládání osobních souborů a zašifruje jej. O vytváření virtuálních disků již bylo napsáno, ale v tomto článku budeme hovořit konkrétně o šifrování celého oddílu.
Řekněme, že existuje 500 GB pevný disk a jsou zde tři uživatelé, kteří pravidelně pracují s počítačem. Navzdory tomu, že souborový systém NTFS stále podporuje přístupová práva a umožňuje omezit přístup jednoho uživatele k souborům jiného uživatele, jeho ochrana nestačí. Jeden z těchto tří uživatelů bude mít totiž administrátorská práva a bude mít přístup k souborům zbývajících dvou uživatelů.
Místo na pevném disku lze tedy rozdělit následovně:

• Přibližně 200 GB – sdílený oddíl. Tento oddíl bude také systémovým oddílem. Nainstaluje operační systém, program a uloží společné soubory všech tří uživatelů.
• Tři sekce po ~100 GB – myslím, že 100 GB stačí k uložení osobních souborů každého uživatele. Každá z těchto sekcí bude zašifrována a přístupové heslo do zašifrované sekce bude znát pouze uživatel, který tuto sekci zašifroval. V tomto případě administrátor, i kdyby si to přál, nebude schopen dešifrovat oddíl jiného uživatele a získat přístup k jeho souborům. Ano, je-li to žádoucí, správce může oddíl naformátovat a dokonce jej smazat, ale přístup bude moci získat pouze v případě, že oklame uživatele, aby získal heslo. Ale myslím, že se to nestane, takže šifrování oddílu je mnohem efektivnější opatření než rozlišování přístupových práv pomocí NTFS.

Šifrování oddílů vs šifrované virtuální disky

Co je lepší - šifrovat oddíly nebo používat šifrované virtuální disky? Zde se každý rozhodne sám za sebe, protože každá metoda má své výhody a nevýhody. Šifrování diskových oddílů je stejně bezpečné jako šifrování virtuálních disků a naopak.
Co je virtuální disk? Podívejte se na to jako na archiv s heslem a kompresním poměrem 0. Pouze soubory uvnitř tohoto archivu jsou šifrovány mnohem bezpečněji než v běžném archivu. Virtuální disk je uložen na vašem pevném disku jako soubor. V programu CyberSafe je potřeba otevřít a připojit virtuální disk a poté s ním můžete pracovat jako s běžným diskem.
Výhodou virtuálního disku je, že jej lze snadno zkopírovat na jiný pevný disk nebo flash disk (pokud to velikost dovolí). Můžete například vytvořit virtuální disk o velikosti 4 GB (neexistují žádná omezení velikosti virtuálního disku, kromě přirozených) a v případě potřeby zkopírovat soubor virtuálního disku na flash disk nebo externí pevný disk. Se šifrovaným oddílem to neuděláte. Soubor virtuálního disku můžete také skrýt.
V případě potřeby si samozřejmě můžete vytvořit image zašifrovaného disku – pro případ, že jej budete chtít zálohovat nebo přesunout na jiný počítač. Ale to je jiný příběh. Pokud máte podobnou potřebu, doporučuji program Clonezilla - je to již spolehlivé a osvědčené řešení. Přenos šifrovaného oddílu na jiný počítač je složitější než přenos virtuálního disku. Pokud je taková potřeba, pak je jednodušší použít virtuální disky.
Při šifrování oddílu je celý oddíl fyzicky zašifrován. Při připojování tohoto oddílu budete muset zadat heslo, po jehož zadání můžete s oddílem pracovat jako obvykle, tedy číst a zapisovat soubory.
Jakou metodu mám zvolit? Pokud si můžete dovolit šifrovat oddíl, můžete zvolit tuto metodu. Je také lepší zašifrovat celou sekci, pokud je velikost vašich tajných dokumentů poměrně velká.
Jsou ale situace, kdy je použití celé sekce nemožné nebo nedává smysl. Například máte na pevném disku pouze jeden oddíl (disk C:) a z toho či onoho důvodu (žádná práva, například protože počítač není váš) nemůžete nebo nechcete změnit jeho rozložení, pak potřeba použít virtuální disky. Nemá smysl šifrovat celý oddíl, pokud je velikost dokumentů (souborů), které potřebujete zašifrovat, malá – několik gigabajtů. Myslím, že jsme to vyřešili, takže je čas promluvit si o tom, které oddíly (disky) lze zašifrovat.

Podporované typy disků

Šifrovat můžete následující typy médií:

• Oddíly pevného disku naformátované v souborových systémech FAT, FAT32 a NTFS.
• Flash disky, externí USB disky, s výjimkou disků reprezentujících mobilní telefony, digitální fotoaparáty a audio přehrávače.

Nelze šifrovat:

• CD/DVD-RW disky, diskety
• Dynamické disky
• Systémová jednotka (ze které se Windows spouští)

Počínaje Windows XP Windows podporuje dynamické disky. Dynamické disky umožňují kombinovat několik fyzických pevných disků (obdoba LVM ve Windows). Takové disky není možné programem zašifrovat.

Funkce práce se šifrovaným diskem

Představme si, že jste již zašifrovali oddíl pevného disku. Chcete-li pracovat se soubory na šifrovaném oddílu, musíte jej připojit. Při připojování se vás program zeptá na heslo k šifrovanému disku, který jste zadali při jeho šifrování. Po práci se šifrovaným diskem jej musíte okamžitě odpojit, jinak zůstanou soubory přístupné uživatelům, kteří mají fyzický přístup k vašemu počítači.
Jinými slovy, šifrování chrání vaše soubory pouze v případě, že je šifrovaný oddíl odpojen. Jakmile je oddíl připojen, kdokoli s fyzickým přístupem k počítači z něj může kopírovat soubory na nezašifrovaný oddíl, jednotku USB nebo externí pevný disk a soubory nebudou zašifrovány. Když tedy pracujete se šifrovanou jednotkou, zvykněte si ji vždy odpojit pokaždé, když opustíte počítač, a to i na krátkou dobu! Jakmile odpojíte šifrovaný disk, vaše soubory budou bezpečně chráněny.
Co se týče výkonu, ten bude při práci se šifrovaným oddílem nižší. O kolik nižší závisí na možnostech vašeho počítače, ale systém zůstane funkční a vy budete muset čekat o něco déle než obvykle (zvláště při kopírování velkých souborů na šifrovaný oddíl).

Příprava na šifrování

První věc, kterou musíte udělat, je někde sehnat UPS. Pokud máte notebook, je vše v pořádku, ale pokud máte běžný stolní počítač a chcete zašifrovat oddíl, který již má soubory, bude šifrování nějakou dobu trvat. Pokud během této doby vypadne proud, zaručeně přijdete o data. Pokud tedy nemáte UPS, která vydrží několik hodin výdrže baterie, doporučuji provést následující:

• Zálohujte svá data například na externí pevný disk. Poté se budete muset této kopie zbavit (doporučuje se po smazání dat z nezašifrovaného disku vymazat volné místo pomocí nástroje jako Piriform, aby nebylo možné obnovit smazané soubory), protože pokud je přítomna, existuje nemá smysl mít šifrovanou kopii dat.
• Po zašifrování disku přenesete data z kopie na šifrovaný disk. Naformátujte disk a zašifrujte jej. Ve skutečnosti jej nemusíte formátovat samostatně – CyberSafe to udělá za vás, ale o tom později.

Pokud máte notebook a jste připraveni pokračovat, aniž byste si vytvořili záložní kopii svých dat (doporučoval bych to udělat pro každý případ), nezapomeňte zkontrolovat disk, zda neobsahuje chyby, alespoň pomocí standardního nástroje Windows. Teprve poté je třeba začít šifrovat oddíl/disk.

Šifrování oddílů: cvičení

Takže teorie bez praxe je nesmyslná, tak se pustíme do šifrování oddílu/disku. Spusťte program CyberSafe a přejděte do sekce Šifrování disku, Šifrování oddílu(obr. 1).

Rýže. 1. Seznam oddílů/disků vašeho počítače

Vyberte oddíl, který chcete zašifrovat. Pokud tlačítko Vytvořit bude neaktivní, pak tento oddíl nelze zašifrovat. Může to být například systémový oddíl nebo dynamický disk. Také nelze šifrovat více disků současně. Pokud potřebujete zašifrovat několik disků, musí se operace šifrování jeden po druhém opakovat.
Klepněte na tlačítko Vytvořit. Dále se otevře okno Disk Kripo(obr. 2). V něm je potřeba zadat heslo, které bude použito k dešifrování disku při jeho připojování. Při zadávání hesla zkontrolujte velikost písmen (aby nebyla stisknuta klávesa Caps Lock) a rozložení. Pokud za vámi nikdo není, můžete zapnout vypínač Zobrazit heslo.

Rýže. 2. Krypto disk

Ze seznamu Typ šifrování musíte si vybrat algoritmus - AES nebo GOST. Oba algoritmy jsou spolehlivé, ale ve vládních organizacích je obvyklé používat pouze GOST. Na svém počítači nebo v komerční organizaci můžete volně používat kterýkoli z algoritmů.
Pokud jsou na disku informace a chcete je uložit, zapněte přepínač. Upozorňujeme, že v tomto případě se výrazně prodlouží doba šifrování disku. Na druhou stranu, pokud jsou zašifrované soubory, řekněme, na externím pevném disku, budete je stále muset zkopírovat na šifrovaný disk, abyste je zašifrovali, a kopírování pomocí šifrování za běhu bude také nějakou dobu trvat. Pokud jste data nezálohovali, nezapomeňte zaškrtnout přepínač Povolit Uložte strukturu souboru a data, jinak přijdete o všechna svá data.
Další parametry v okně Krypto disk lze ponechat jako výchozí. Využije se totiž celá dostupná velikost zařízení a provede se rychlé formátování do souborového systému NTFS. Šifrování spustíte kliknutím na tlačítko Přijmout. Průběh procesu šifrování se zobrazí v hlavním okně programu.

Rýže. 3. Průběh šifrovacího procesu

Jakmile je disk zašifrován, uvidíte jeho stav - zašifrované, skryté(obr. 4). To znamená, že váš disk byl zašifrován a skryt – nezobrazí se v Průzkumníku a dalších správcích souborů na vysoké úrovni, ale programy tabulky oddílů jej uvidí. Není třeba doufat, že jelikož je disk skrytý, nikdo jej nenajde. V modulu snap-in se zobrazí všechny disky skryté programem Správa disků(viz obr. 5) a další programy pro rozdělení disku. Vezměte prosím na vědomí, že v tomto modulu snap-in je zašifrovaný oddíl zobrazen jako oddíl se systémem souborů RAW, tedy zcela bez systému souborů. To je normální – po zašifrování oddílu Windows nedokáže určit jeho typ. Skrytí oddílu je však nutné ze zcela jiných důvodů a pak přesně pochopíte proč.

Rýže. 4. Stav disku: zašifrovaný, skrytý. Oddíl E: není viditelný v Průzkumníku

Rýže. 5. Modul snap-in Správa disků

Nyní připojíme oddíl. Vyberte jej a klikněte na tlačítko Vzkříšení aby byl oddíl znovu viditelný (stav disku se změní na pouze " zašifrované"). Systém Windows uvidí tento oddíl, ale protože nedokáže rozpoznat typ jeho souborového systému, nabídne jeho formátování (obr. 6). Za žádných okolností by to nemělo být prováděno, protože přijdete o všechna data. To je důvod, proč program skrývá šifrované mechaniky – ostatně pokud na počítači nepracujete jen vy, může jiný uživatel zformátovat údajně nečitelný oddíl disku.

Rýže. 6. Návrh na formátování šifrovaného oddílu

Formátování samozřejmě odmítáme a mačkáme tlačítko Montirov. v hlavním okně programu CyberSafe. Dále budete muset vybrat písmeno jednotky, přes kterou budete k šifrovanému oddílu přistupovat (obr. 7).

Rýže. 7. Výběr písmene jednotky

Poté vás program vyzve k zadání hesla potřebného k dešifrování vašich dat (obr. 8). V oblasti se objeví dešifrovaný oddíl (disk). Připojená dešifrovaná zařízení(obr. 9).

Rýže. 8. Heslo pro dešifrování oddílu

Rýže. 9. Připojená dešifrovaná zařízení

Poté můžete s dešifrovaným diskem pracovat jako s běžným diskem. V Průzkumníku se zobrazí pouze jednotka Z: - to je písmeno, které jsem přiřadil dešifrované jednotce. Zašifrovaná jednotka E: se nezobrazí.

Rýže. 10. Průzkumník - prohlížení disků počítače

Nyní můžete otevřít připojený disk a zkopírovat na něj všechny tajné soubory (jen je nezapomeňte odstranit z původního zdroje a vymazat na něm volné místo).
Až budete potřebovat ukončit práci s naší sekcí, klikněte nebo klikněte na tlačítko Demontér. a poté na tlačítko Skrýt nebo jednoduše zavřete okno CyberSafe. Pokud jde o mě, je snazší zavřít okno programu. Je jasné, že během operace kopírování/přesouvání souborů nemusíte zavírat okno programu. Nestane se nic hrozného ani neopravitelného, ​​jen se některé soubory nezkopírují na váš šifrovaný disk.

O výkonu

Je jasné, že výkon šifrovaného disku bude nižší než u běžného. Ale kolik? Na Obr. 11 Zkopíroval jsem složku svého uživatelského profilu (kde je mnoho malých souborů) z disku C: na šifrovaný disk Z:. Rychlost kopírování je znázorněna na obr. 11 - přibližně na úrovni 1,3 MB/s. To znamená, že 1 GB malých souborů bude zkopírováno přibližně za 787 sekund, tedy 13 minut. Pokud zkopírujete stejnou složku na nezašifrovaný oddíl, rychlost bude přibližně 1,9 MB/s (obr. 12). Na konci operace kopírování se rychlost zvýšila na 2,46 MB/s, ale touto rychlostí bylo zkopírováno velmi málo souborů, takže se domníváme, že rychlost byla 1,9 MB/s, což je o 30 % více. Stejný 1 GB malých souborů v našem případě bude zkopírován za 538 sekund nebo téměř 9 minut.

Rýže. 11. Rychlost kopírování malých souborů z nešifrovaného oddílu na šifrovaný

Rýže. 12. Rychlost kopírování malých souborů mezi dvěma nešifrovanými oddíly

Co se týče velkých souborů, nepocítíte žádný rozdíl. Na Obr. Obrázek 13 ukazuje rychlost kopírování velkého souboru (400 MB video soubor) z jednoho nešifrovaného oddílu do druhého. Jak vidíte, rychlost byla 11,6 MB/s. A na Obr. Obrázek 14 ukazuje rychlost kopírování stejného souboru z běžného oddílu na šifrovaný a činila 11,1 MB/s. Rozdíl je malý a je v mezích chyb (rychlost se stále mírně mění s postupem kopírování). Jen pro zajímavost vám řeknu rychlost kopírování stejného souboru z flash disku (ne USB 3.0) na pevný disk - asi 8 MB/s (neexistuje žádný snímek obrazovky, ale věřte mi).

Rýže. 13. Rychlost kopírování velkých souborů

Rýže. 14. Rychlost kopírování velkého souboru na šifrovaný oddíl

Tento test není zcela přesný, ale přesto vám může poskytnout určitou představu o výkonu.
To je vše. Také doporučuji přečíst si článek

Požadavky na soukromí a zabezpečení počítače jsou zcela určeny povahou dat na něm uložených. Jedna věc je, pokud váš počítač slouží jako zábavní stanice a není na něm nic kromě pár hraček a tatínka s fotkami vaší oblíbené kočky, ale úplně jiná věc je, pokud jsou na pevném disku data, která jsou obchodním tajemstvím, potenciálně zajímavé pro konkurenty.

První „obrannou linií“ je přihlašovací heslo, které je vyžadováno při každém zapnutí počítače.

Další úrovní ochrany jsou přístupová práva na úrovni souborového systému. Uživateli, který nemá oprávnění oprávnění, se při pokusu o přístup k souborům zobrazí chyba.

Popsané způsoby však mají jednu mimořádně významnou nevýhodu. Oba fungují na úrovni operačního systému a lze je poměrně snadno obejít, pokud máte trochu času a fyzického přístupu k počítači (například bootováním z USB flash disku můžete resetovat administrátorské heslo nebo změnit oprávnění souborů). Úplnou důvěru v bezpečnost a důvěrnost dat lze získat pouze tehdy, pokud budete využívat výdobytky kryptografie a bezpečně je používat. Níže se podíváme na dva způsoby takové ochrany.

První zvažovanou metodou dnes bude vestavěná šifrovací ochrana společnosti Microsoft. Šifrování zvané BitLocker se poprvé objevilo ve Windows 8. Nelze jej použít k zabezpečení jednotlivé složky nebo souboru, k dispozici je pouze šifrování celého disku. To zejména znamená, že není možné zašifrovat systémový disk (systém nebude možné nabootovat) a také není možné ukládat důležitá data do systémových knihoven, jako jsou „Moje dokumenty“ (ve výchozím nastavení jsou umístěny na systémovém oddílu).
Chcete-li povolit vestavěné šifrování, postupujte takto:

1. Otevřete Průzkumníka, klikněte pravým tlačítkem na jednotku, kterou chcete zašifrovat, a vyberte „Povolit BitLocker“.
   
2. Zaškrtněte políčko „Použít heslo k odemknutí disku“, vytvořte a dvakrát zadejte heslo splňující bezpečnostní požadavky (minimálně 8 znaků dlouhé, musí mít malá a velká písmena, je vhodné zadat alespoň jeden speciální znak) a klikněte na tlačítko „Další“. V rámci této poznámky nebudeme uvažovat o druhé možnosti odblokování, protože čtečky čipových karet jsou poměrně vzácné a používají se v organizacích, které mají vlastní službu zabezpečení informací.
   
3. V případě ztráty hesla systém nabídne vytvoření speciálního klíče pro obnovení. Můžete jej připojit ke svému účtu Microsoft, uložit do souboru nebo jednoduše vytisknout na tiskárně. Vyberte jednu z metod a po uložení klíče klikněte na „Další“. Tento klíč by měl být chráněn před cizími lidmi, protože jako pojistka proti vaší zapomnětlivosti se může stát „zadními vrátky“, kterými budou vaše data unikat.
   
4. Na další obrazovce zvolte, zda chcete zašifrovat celý disk nebo jen použité místo. Druhý bod je pomalejší, ale spolehlivější.
   
5. Vyberte šifrovací algoritmus. Pokud neplánujete migrovat disk mezi počítači, zvolte robustnější nejnovější režim, jinak režim kompatibility.
   
6. Po konfiguraci nastavení klikněte na tlačítko „Spustit šifrování“. Po chvíli čekání budou data na vašem disku bezpečně zašifrována.
   
7. Po odhlášení nebo restartu se chráněný svazek stane nepřístupným a k otevření souborů bude vyžadováno heslo.
   

DiskCryptor

Druhým kryptografickým nástrojem, na který se dnes podíváme, je DiskCryptor, bezplatné a open source řešení. Chcete-li jej použít, použijte následující pokyny:

1. Stáhněte si instalační program z oficiálních stránek pomocí odkazu. Spusťte stažený soubor.
2. Proces instalace je velmi jednoduchý, skládá se z několikanásobného stisknutí tlačítka „Další“ a nakonec restartování počítače.
   
   

   

   

   

   

3. Po restartu spusťte program DiskCryptor ze složky programu nebo kliknutím na zástupce na ploše.
4. V okně, které se otevře, klikněte na disk, který chcete zašifrovat, a klikněte na tlačítko „Šifrovat“.
   
5. Dalším krokem je výběr šifrovacího algoritmu a rozhodnutí, zda je nutné před zašifrováním vymazat všechna data z disku (pokud neplánujete zničit informace, nezapomeňte v seznamu „Režim vymazání“ vybrat „Žádný“).
   
6. Dvakrát zadejte dešifrovací heslo (doporučuje se vytvořit složité heslo, aby pole „Hodnocení hesla“ bylo alespoň „Vysoké“). Poté klikněte na „OK“.
   
7. Po chvíli čekání bude disk zašifrován. Po restartování nebo odhlášení budete muset spustit nástroj, kliknout na tlačítko „Mount“ nebo „Mount All“, zadat heslo a kliknout na „OK“.
   

Nepochybnou výhodou této utility ve srovnání s mechanismem BitLocker je, že ji lze použít na systémech vydaných před Windows 8 (podporován je dokonce i Windows XP, který byl ukončen). DiskCryptor má ale také několik významných nevýhod:

• neexistují žádné způsoby, jak obnovit přístup k šifrovaným informacím (pokud zapomenete heslo, zaručeně o svá data přijdete);
• Je podporováno pouze odemykání heslem použití čipových karet nebo biometrických senzorů;
• Asi největší nevýhodou použití DiskCryptoru je, že útočník s administrativním přístupem do systému bude moci disk naformátovat standardními prostředky. Ano, nezíská přístup k datům, ale vy o ně také přijdete.

Abych to shrnul, mohu říci, že pokud má váš počítač nainstalovaný OS počínaje Windows 8, pak je lepší použít vestavěnou funkcionalitu.

Pevný disk je oblíbené moderní zařízení, které umožňuje rozšířit paměť počítače bez otevření systémové jednotky. Moderní externí pevné disky se vejdou do každé kabelky, takže velké množství informací můžete mít vždy po ruce. Pokud na pevný disk ukládáte důvěrné informace, pak je nejlepším způsobem, jak je chránit, nastavit heslo.
Heslo je univerzální prostředek ochrany informací, což je klíč, který se může skládat z libovolného počtu písmen, číslic a symbolů. Pokud uživatel zadá heslo nesprávně, nebude možné získat přístup k datům uloženým na externím pevném disku.

Jak nastavit heslo na externím pevném disku?

Tomu jsme se již na našem webu věnovali dříve. Navíc byla zvažována i otázka toho správného. Níže probereme, jak použít heslo pro toto zařízení.

Nastavení hesla pomocí vestavěných nástrojů Windows

Nastavení hesla se v tomto případě úspěšně používá jak pro běžné USB disky, tak pro externí pevné disky, které mají velké množství místa na disku. Hlavní výhodou této metody je, že nebudete muset stahovat a instalovat programy třetích stran.

Připojte externí pevný disk k počítači a poté spusťte Průzkumníka Windows. Konkrétně nás zajímá sekce „Tento počítač“, která zobrazuje všechny připojené jednotky k počítači. Klepněte pravým tlačítkem myši na externí pevný disk a v zobrazené kontextové nabídce přejděte na "Povolit BitLocker" .

Nástroj se začne spouštět na obrazovce. Po chvíli se na obrazovce objeví okno, ve kterém budete muset zaškrtnout políčko "Použít heslo k odemknutí disku" a v řádcích níže zadejte nové heslo dvakrát. Klepněte na tlačítko "Další" .

Dále budete požádáni, abyste vybrali možnost uložení speciálního klíče pro obnovení. Na výběr máte ze tří možností: uložit na svůj účet Microsoft, uložit do souboru v počítači nebo rovnou vytisknout klíč na tiskárně. Podle našeho názoru je druhá možnost nejvýhodnější, protože tento soubor můžete nahrát například do cloudu a kdykoli, pokud zapomenete heslo k externímu pevnému disku, jej otevřete.

Další položka nastavení vás požádá o konfiguraci šifrování dat. Můžete buď zvolit šifrování pouze obsazeného místa na disku, nebo šifrování celého disku.

Upozorňujeme, že pokud zvolíte šifrování celého disku, musíte se připravit na to, že proces šifrování může trvat mnoho hodin. Pokud tedy nemáte mnoho času a máte v úmyslu otevřít pevný disk na moderních počítačích, doporučujeme zvolit první možnost šifrování.

Posledním krokem nastavení je výběr režimu šifrování ze dvou dostupných: nový režim šifrování a režim kompatibility. Vzhledem k tomu, že pracujeme s externím pevným diskem, zaškrtněte volbu "Režim kompatibility" a pak pokračujte.

Ve skutečnosti se tím dokončí proces nastavení nástroje BitLocker. Chcete-li zahájit proces hesla, vše, co musíte udělat, je kliknout na tlačítko "Zahájit šifrování" a počkejte na dokončení procesu.

Pokud po dokončení šifrování otevřeme Průzkumníka Windows v části „Tento počítač“, náš externí pevný disk bude uveden s ikonou zámku. Otevřená ikona se zámkem znamená, že byl získán přístup k datům, a ikona zavření, jak je znázorněno na obrázku níže, znamená, že je vyžadováno heslo.

Po dvojím otevření disku se na obrazovce objeví miniaturní okno, ve kterém bude uživatel vyzván k zadání hesla pro připojený externí pevný disk.

Nastavení hesla pomocí archivace

Mnoho uživatelů nedůvěřuje procesu šifrování dat, protože tímto způsobem nemáte přístup k celému disku. Proto tuto metodu využijeme trochu jinak - informace uložené na externím pevném disku umístíme do archivu bez komprese, tzn. Externí pevný disk lze v případě potřeby použít bez hesla, ale pro přístup k informacím na něm uloženým budete muset zadat bezpečnostní klíč.

Chcete-li nastavit heslo pomocí archivačních informací, budete potřebovat téměř jakýkoli archivační program. V našem případě použijeme oblíbený nástroj WinRAR , který si můžete stáhnout z odkazu uvedeného na konci článku.

Jakmile je na vašem počítači nainstalován archivační program, otevřete obsah externího pevného disku, vyberte jej jednoduchou klávesovou zkratkou Ctrl + A nebo vyberte určité složky a soubory pro případ, že potřebujete skrýt ne všechny informace na externím pevném disku. pevný disk pod heslem. Poté klikněte pravým tlačítkem myši na výběr a v zobrazené kontextové nabídce vyberte položku "Přidat do archivu" .

Na obrazovce se objeví okno, ve kterém budete potřebovat v bloku "Metoda komprese" vyberte možnost "Žádná komprese" a potom klepněte na tlačítko "Nastavit heslo" .

V okně, které se objeví, budete muset dvakrát zadat heslo libovolné délky. Níže můžete v případě potřeby aktivovat šifrování dat obsažených v archivu (bez aktivace této položky budou viditelné názvy složek a souborů, ale přístup k nim bude omezený).

Po dokončení vytváření archivu bude kořenová složka pevného disku kromě souborů obsahovat také archiv, který jste vytvořili. Nyní lze smazat soubory na disku kromě archivu.

Při pokusu o otevření archivu se na obrazovce objeví okno s výzvou k zadání hesla. Dokud nebude heslo archivu obdrženo, bude přístup k informacím omezen.

jaký je výsledek?

Nejúčinnějším způsobem ukládání důvěrných informací je použití standardního nástroje BitLocker. To je skvělá pomůcka, kterou možná nelze najít u analogů, které mají lepší kvalitu. Druhý způsob, který zahrnuje použití archivátoru, lze považovat za nejvýhodnější, protože neomezuje přístup k externímu pevnému disku, ale pouze k informacím, které chcete chránit heslem.

Samozřejmě stále existuje spousta programů na šifrování informací, ale nezaměřili jsme se na ně, protože dvě metody popsané v článku jsou pro většinu uživatelů nejoptimálnější.