Jak vytvořit šifrovaný disk. Jak spolehlivě ochránit soubory na flash disku nebo externím pevném disku
Ve Windows Vista, Windows 7 a Windows 8 verze Pro a vyšší vytvořili vývojáři speciální technologii pro šifrování obsahu logických oddílů na všech typech externích disků a USB flash disků - BitLocker.
K čemu to je? Pokud spustíte BitLocker, budou všechny soubory na disku zašifrovány. Šifrování probíhá transparentně, to znamená, že při každém ukládání souboru nemusíte zadávat heslo – systém vše dělá automaticky a tiše. Jakmile však tento disk vypnete, při příštím zapnutí budete pro přístup k němu potřebovat speciální klíč (speciální čipovou kartu, flash disk nebo heslo). To znamená, že pokud náhodou ztratíte svůj notebook, nebudete na něm moci číst obsah šifrovaného disku, i když z tohoto notebooku vyjmete pevný disk a pokusíte se jej přečíst na jiném počítači. Šifrovací klíč je tak dlouhý, že vyzkoušení všech možných kombinací pro výběr správné možnosti na nejvýkonnějších počítačích bude trvat desítky let. Heslo lze samozřejmě zjistit mučením nebo ukradnout předem, ale pokud se flash disk náhodou ztratil nebo byl ukraden, aniž by věděl, že byl zašifrován, nebude možné jej přečíst.
Nastavení šifrování BitLocker pomocí Windows 8 jako příklad: šifrování systémové jednotky a šifrování jednotek flash a externích jednotek USB.
Šifrování systémového disku
Požadavek, aby nástroj BitLocker fungoval při šifrování logické jednotky, na které je nainstalován operační systém Windows, je mít nezašifrovaný spouštěcí oddíl: systém se musí stále odněkud spouštět. Pokud správně nainstalujete Windows 8/7, pak se během instalace vytvoří dva oddíly - neviditelný oddíl pro spouštěcí sektor a inicializační soubory a hlavní oddíl, na kterém jsou uloženy všechny soubory. První je přesně ta část, která nemusí být šifrována. Ale druhý oddíl, ve kterém jsou umístěny všechny soubory, je šifrovaný.
Chcete-li zkontrolovat, zda máte tyto oddíly, otevřete Počítačový management
přejděte do sekce Úložná zařízení - Správa disků.
Na snímku obrazovky je oddíl vytvořený pro spuštění systému označen jako SYSTÉM REZERVOVÁN. Pokud ano, můžete bezpečně použít systém BitLocker k šifrování logické jednotky, na které je nainstalován systém Windows.
Chcete-li to provést, přihlaste se do systému Windows s právy správce, otevřete Kontrolní panel
přejděte do sekce systém a bezpečnost
a vstupte do sekce BitLocker Drive Encryption.
Uvidíte v něm všechny disky, které lze zašifrovat. Klikněte na odkaz Povolit nástroj BitLocker.
Nastavení šablon zásad zabezpečení
V tomto okamžiku se může zobrazit zpráva, že šifrování disku není možné, dokud nebudou nakonfigurovány šablony zásad zabezpečení.
Faktem je, že ke spuštění BitLockeru musí systém tuto operaci povolit – to může udělat pouze správce a pouze vlastníma rukama. To je mnohem jednodušší, než se po přečtení nesrozumitelných zpráv zdá.
OTEVŘENO Dirigent, lis Win+R- otevře se vstupní řádek.
Zadejte a spusťte:
gpedit.msc
Otevře Editor místních zásad skupiny. Přejděte do sekce
Šablony pro správu
- Komponenty Windows
-- Toto nastavení zásad umožňuje vybrat šifrování jednotky BitLocker
--- Disky operačního systému
---- Toto nastavení zásad umožňuje nakonfigurovat požadavek na další ověřování při spuštění.
Nastavte hodnotu parametru Zahrnuta.
Poté uložte všechny hodnoty a vraťte se do Kontrolní panel- můžete spustit šifrování jednotky BitLocker.
Vytvoření klíče a jeho uložení
Systém vám nabídne na výběr dvě klíčové možnosti: heslo a flash disk.
Při použití flash disku můžete pevný disk používat pouze v případě, že vložíte tento flash disk – klíč na něj bude zapsán v zašifrované podobě. Pokud používáte heslo, budete ho muset zadávat při každém přístupu k šifrovanému oddílu na tomto disku. V případě systémové logické jednotky počítače bude heslo nutné během studeného spouštění (od nuly) nebo úplného restartu nebo při pokusu o načtení obsahu logické jednotky na jiném počítači. Abyste se vyhnuli případným nástrahám, vytvořte heslo pomocí anglických písmen a číslic.
Po vytvoření klíče budete požádáni o uložení informací pro obnovení přístupu v případě jeho ztráty: můžete uložit speciální kód do textového souboru, uložit jej na flash disk, uložit na svůj účet Microsoft nebo vytisknout.
Vezměte prosím na vědomí, že se neukládá samotný klíč, ale speciální kód potřebný pro postup obnovení přístupu.
Šifrování USB disků a flash disků
Šifrovat můžete i externí USB disky a flash disky – tato funkce se poprvé objevila ve Windows 7 pod názvem BitLocker To Go. Postup je stejný: vytvoříte heslo a uložíte kód pro obnovení.
Když připojíte USB disk (připojíte k počítači) nebo se jej pokusíte odemknout, systém vás požádá o heslo.
Pokud nechcete pokaždé zadávat heslo, protože jste si jisti bezpečností při práci na tomto počítači, můžete v dalších parametrech při odemykání uvést, že tomuto počítači důvěřujete - v tomto případě bude heslo vždy zadáváno automaticky, dokud nezrušíte konfiguraci důvěryhodnosti. Upozorňujeme, že na jiném počítači vás systém požádá o zadání hesla, protože nastavení důvěryhodnosti na každém počítači funguje nezávisle.
Jakmile budete s USB diskem pracovat, odpojte jej, buď jednoduchým odpojením, nebo přes nabídku bezpečného vysunutí, a šifrovaný disk bude chráněn před neoprávněným přístupem.
Dvě metody šifrování
Při šifrování nabízí BitLocker dvě metody, které mají stejný výsledek, ale různou dobu provádění: můžete šifrovat pouze místo obsazené informacemi, přeskočit zpracování prázdného místa, nebo projít celý disk a zašifrovat celý prostor logického oddílu , včetně neobsazeného prostoru. První se stane rychleji, ale je stále možné obnovit informace od nuly. Faktem je, že pomocí speciálních programů můžete obnovit informace, i když byly smazány z koše, a i když byl disk naformátován. Prakticky je to samozřejmě obtížné, ale teoretická možnost stále existuje, pokud nepoužíváte speciální nástroje pro mazání, které trvale odstraní informace. Při zašifrování celého logického disku se zašifruje i místo označené jako prázdné a nebude z něj možnost obnovovat informace ani pomocí speciálních utilit. Tato metoda je naprosto spolehlivá, ale pomalejší.
Při šifrování disku je vhodné nevypínat počítač. Zašifrování 300 gigabajtů mi trvalo asi 40 minut. Co se stane, když náhle vypadne proud? Nevím, nezkontroloval jsem, ale na internetu píšou, že se nic špatného nestane - stačí znovu spustit šifrování.
Závěr
Pokud tedy neustále používáte flash disk, na kterém ukládáte důležité informace, můžete se pomocí nástroje BitLocker chránit před důležitými informacemi, které se dostanou do nesprávných rukou. Můžete také chránit informace na pevných discích počítače, včetně systémových disků – stačí počítač úplně vypnout a informace na discích se stanou nepřístupné pro cizí lidi. Používání BitLockeru po nastavení šablon bezpečnostních zásad nezpůsobuje žádné potíže ani neškoleným uživatelům Při práci se šifrovanými disky jsem nezaznamenal žádné zpomalení.
Upozorňujeme na přehled nejoblíbenějšího hardwaru a softwaru pro šifrování dat na externím pevném disku.
Začněme tím nejjednodušším. Mac OS X má vestavěnou Diskovou utilitu, která umožňuje vytvořit šifrovaný obraz disku. K šifrování souborů nebo složek můžete také použít software třetích stran, například FileWard. Některé zálohovací aplikace navíc nabízejí šifrování záloh ihned po vybalení.
Tyto metody jsou dobré. Někdy však použití softwarového šifrování není tou nejlepší volbou. Například, když potřebujete zašifrovat zálohy Time Machine. Chcete-li takové zálohy chránit, budete muset provést některé složité manipulace, protože Time Machine nepodporuje šifrování. Běžný software nepomůže, když potřebujete vytvořit šifrovanou kopii spouštěcího disku, aby zůstal zaváděcí. Šifrované disky mají i další omezení: nelze je používat na jiných počítačích (Mac nebo PC) bez speciálního softwaru.
je jednou z těch aplikací, které umožňují zašifrovat obsah disku, který zůstává spustitelný a použitelný na Macu a PC. Je to skvělá aplikace, ale pro přístup k informacím na každém počítači, ke kterému je takový disk připojen, je nutná instalace PGP. Pokud je disk poškozen, může šifrování bránit obnově dat.
Pokud potřebujete univerzální řešení, které neomezuje využití disku, měli byste si zakoupit HDD s vestavěným šifrováním. Disk šifruje a dešifruje data sám, takže není potřeba instalovat další software. V tomto případě lze disk použít jako spouštěcí svazek nebo pro Time Machine. Jedno upozornění: pokud selže řadič disku nebo jiná elektronika, nebudete moci přenášet data ze zařízení (ani s plně funkční mechanikou), dokud nebude HDD plně obnoven.
Pevné disky s povoleným šifrováním se dodávají v několika typech v závislosti na mechanismu dešifrování:
Hardwarové klíče
Někteří výrobci nabízejí šifrování HDD boxů, které jsou uzamčeny pomocí fyzického zařízení. Dokud je klíč přítomen (připojený nebo blízko disku), lze disk číst.
HDD tohoto typu: RadTech (95 USD), RocStor a několik zařízení od (50 USD+). Všechny boxy mají dva nebo tři kompatibilní klíče, které se připojují do speciálního portu na zařízení. SecureDISK nabízí s infračerveným klíčem (k použití disku musí být médium v blízkosti).
Snímače otisků prstů
Pokud se obáváte ztráty fyzických médií, můžete se podívat na HDD boxy se snímačem otisků prstů. Několik příkladů: MXI Security (419–599 USD) a LaCie (400 USD za 2GB model). (Některé starší modely boxů LaCie, formát 2,5″, nešifrují data, ale používají méně spolehlivé zamykání ve firmwaru). Tyto disky se snadno používají a mohou uložit otisky prstů až pěti lidí. Stojí za zmínku, že existuje několik technik, jak oklamat skener prstu (bez přítomnosti původního prstu).
Klávesnice
(230-480 $) – šifrování diskových schránek, které nevyžadují fyzické klíče ani biometrické čtečky. Místo toho se k zadání hesla (až 18 znaků) používá klávesnice. Použití klávesnice místo fyzické klávesy je výhodné, když disk často prochází mezi rukama. Disky podporují funkci „samodestrukce“, která po několika neúspěšných pokusech o zadání hesla odstraní všechny uložené informace.
Dva typy autentizace
Minimálně jeden produkt nabízí kombinaci fyzického klíče (ve formě čipové karty) a vestavěné klávesnice v pouzdře kompaktního disku. Tato možnost ochrany pevného disku je nejspolehlivější, protože pro přístup k informacím musí mít uživatel klíč a znát tajné heslo. 
Notebooky jsou v poslední době velmi oblíbené díky dostupné ceně a vysokému výkonu. A uživatelé je často používají mimo zabezpečené prostory nebo je nechávají bez dozoru. To znamená, že otázka zajištění toho, aby osobní informace na systémech se systémem Windows nebyly přístupné cizincům, se stává extrémně naléhavou. Pouhé nastavení přihlašovacího hesla zde nepomůže. A šifrování jednotlivých souborů a složek (o tom si přečtěte) je příliš rutinní. Proto je nejpohodlnější a nejspolehlivější prostředek šifrování pevného disku. V tomto případě můžete zašifrovat pouze jeden z oddílů a ponechat na něm soukromé soubory a programy. Navíc lze takový oddíl skrýt, aniž by k němu bylo přiřazeno písmeno jednotky. Taková sekce se navenek bude jevit jako nezformátovaná, a proto nebude přitahovat pozornost útočníků, což je obzvláště účinné, protože nejlepším způsobem, jak chránit tajné informace, je skrýt samotný fakt o jejich existenci.
Jak funguje šifrování pevného disku
Obecný princip je tento: šifrovací program vytvoří obraz souborového systému a všechny tyto informace umístí do kontejneru, jehož obsah je zašifrován. Takovým kontejnerem může být buď jednoduchý soubor, nebo oddíl na diskovém zařízení. Použití zašifrovaného kontejnerového souboru je pohodlné, protože takový soubor lze zkopírovat na libovolné vhodné místo a dále s ním pracovat. Tento přístup je vhodný při ukládání malého množství informací. Ale pokud je velikost kontejneru několik desítek gigabajtů, pak je jeho mobilita velmi pochybná a kromě toho tak velká velikost souboru prozrazuje skutečnost, že obsahuje některé užitečné informace. Proto je univerzálnějším přístupem šifrování celého oddílu na pevném disku.
Pro tyto účely existuje mnoho různých programů. Ale nejslavnější a nejspolehlivější je považován za TrueCrypt. Vzhledem k tomu, že tento program je open source, znamená to, že neexistují žádné hacky specifické pro dodavatele, které by vám umožnily přistupovat k šifrovaným datům přes nezdokumentovaná zadní vrátka. Bohužel se objevují spekulace, že tvůrci programu TrueCrypt byli nuceni opustit další vývoj a předat štafetu svým proprietárním protějškům. Nejnovější spolehlivá verze 7.1a však zůstává plně funkční na všech verzích Windows a většina uživatelů tuto verzi používá.
Pozornost!!! Nejnovější aktuální verze je 7.1a ( Odkaz ke stažení). Nepoužívejte „vykácenou“ verzi 7.2 (projekt byl uzavřen a na oficiálních stránkách programu navrhují přechod z TrueCrypt na Bitlocker a je k dispozici pouze verze 7.2).
Vytvoření šifrovaného disku
Zvažme standardní přístup při šifrování oddílů. K tomu potřebujeme nepoužívaný oddíl na pevném disku nebo flash disku. Za tímto účelem můžete uvolnit jednu z logických jednotek. Ve skutečnosti, pokud neexistuje žádný volný oddíl, můžete během procesu vytváření šifrovaného disku zvolit šifrování disku bez formátování a uložit stávající data. To však trvá déle a existuje malé riziko ztráty dat během procesu šifrování, pokud počítač zamrzne.
Pokud je požadovaný oddíl na diskovém zařízení připraven, můžete nyní spustit program TrueCrypt a vybrat položku nabídky „Vytvořit nový svazek“.
Protože máme zájem o ukládání dat nikoli do kontejnerového souboru, ale do diskového oddílu, vybereme možnost „Šifrovat nesystémový oddíl/disk“ a obvyklý typ šifrování svazku.
V této fázi se objeví zmíněná volba - šifrovat data v oddílu nebo je naformátovat bez uložení informací.
Poté se program zeptá, které algoritmy použít pro šifrování. Pro domácí potřeby není velký rozdíl - můžete si vybrat jakýkoli z algoritmů nebo jejich kombinaci.
Pouze v tomto případě stojí za zvážení, že při použití kombinace několika algoritmů je při práci se šifrovaným diskem vyžadováno více výpočetních zdrojů - a podle toho klesá rychlost čtení a zápisu. Pokud váš počítač není dostatečně výkonný, pak má smysl kliknout na testovací tlačítko a vybrat optimální algoritmus pro váš počítač.
Dalším krokem je vlastní proces formátování zašifrovaného svazku.
Nyní stačí počkat, až program dokončí šifrování pevného disku.
Stojí za zmínku, že ve fázi nastavování hesla můžete jako další ochranu zadat soubor klíče. V tomto případě bude přístup k zašifrovaným informacím možný pouze v případě, že je tento soubor klíče k dispozici. Pokud je tedy tento soubor uložen na jiném počítači v místní síti, pak v případě ztráty notebooku se zašifrovaným diskem nebo flash diskem nikdo nebude mít přístup k tajným datům, i když uhádl heslo - koneckonců, soubor klíče není na samotném notebooku ani na flash disku.
Skrytí šifrovaného oddílu
Jak již bylo zmíněno, výhodou šifrovaného oddílu je, že je v operačním systému umístěn jako nepoužívaný a nezformátovaný. A nic nenasvědčuje tomu, že obsahuje zašifrované informace. Jediný způsob, jak to zjistit, je použití speciálních kryptoanalytických programů, které dokážou na základě vysokého stupně náhodnosti bitových sekvencí usoudit, že sekce obsahuje zašifrovaná data. Ale pokud nejste potenciálním cílem pro zpravodajské služby, pak je nepravděpodobné, že budete čelit takové hrozbě kompromisu.
Ale pro další ochranu před obyčejnými lidmi má smysl skrýt šifrovaný oddíl ze seznamu dostupných písmen jednotek. Navíc přístup k disku přímo jeho písmenem nic nedá a je vyžadován pouze v případě, že je šifrování odstraněno formátováním. Chcete-li uvolnit svazek z použitého písmene, přejděte do části „Ovládací panely“ „Správa počítače / Správa disků“ a vyvoláním místní nabídky pro požadovanou část vyberte „Změnit písmeno jednotky nebo cestu k jednotce...“, kde můžete odstranit vazbu.
Po těchto manipulacích nebude šifrovaný oddíl viditelný v Průzkumníku Windows a dalších správcích souborů. A přítomnost jednoho bezejmenného a „neformátovaného“ oddílu mezi několika různými systémovými oddíly pravděpodobně nevzbudí zájem lidí zvenčí.
Použití šifrovaného disku
Chcete-li používat šifrované zařízení jako běžný disk, musíte jej připojit. Chcete-li to provést, v hlavním okně programu klikněte pravým tlačítkem myši na jedno z dostupných písmen jednotek a vyberte položku nabídky „Vybrat zařízení a připojení...“
Poté musíte označit dříve zašifrované zařízení a zadat heslo.
V důsledku toho by se v prohlížeči Windows měla objevit nová jednotka s vybraným písmenem (v našem případě jednotka X).
A nyní můžete s tímto diskem pracovat jako s každým běžným logickým diskem. Hlavní věcí po dokončení práce je nezapomenout buď vypnout počítač, nebo zavřít program TrueCrypt nebo deaktivovat šifrovaný oddíl - koneckonců, dokud je disk připojen, má k datům na něm umístěným přístup každý uživatel. Oddíl můžete odpojit kliknutím na tlačítko „Odpojit“.
Výsledek
Použití programu TrueCrypt vám umožní zašifrovat váš pevný disk a tím skrýt vaše soukromé soubory před cizími lidmi, pokud někdo náhle získá přístup k vašemu flash disku nebo pevnému disku. A umístění zašifrovaných informací na nepoužívaném a skrytém oddílu vytváří další úroveň ochrany, protože nezasvěcený okruh lidí si nemusí uvědomovat, že tajné informace jsou uloženy na jednom z oddílů. Tento způsob ochrany soukromých dat je v naprosté většině případů vhodný. A pouze v případě, že jste terčem hrozby násilí, abyste získali své heslo, budete možná potřebovat sofistikovanější bezpečnostní metody, jako je steganografie a skryté svazky TrueCrypt (se dvěma hesly).
Dříve jsme mluvili o tom, jak můžete zašifrovat pevný disk v počítači, aby se nikdo nedostal k souborům a programům na něm uloženým, i když se mu ho podaří dostat ven a připojit k jinému zařízení. Dnes vám řekneme, jak použít stejnou metodu šifrování pro externí paměťová média, například flash disky a přenosné pevné disky.
Jak šifrovat externí disk pomocí nástroje BitLocker:
1. Připojte flash disk nebo jiné úložné zařízení k USB portu vašeho počítače.
2. Otevřete Ovládací panely a přejděte na BitLocker Drive Encryption.
3. V této části vyhledejte jednotku, kterou chcete zašifrovat, a klikněte na „Povolit BitLocker“.
4. Otevře se dialogové okno s výběrem možností šifrování.
5. Postupujte podle pokynů a vytvořte heslo (složité - s písmeny v různých případech a číslicemi) a uložte klíč pro obnovení přístupu. Tento klíč lze uložit na váš účet Microsoft, soubor uložit na jiné médium nebo vytisknout na papír. Mějte na paměti, že pro obnovení přístupu k šifrovaným médiím, pokud zapomenete heslo, budete muset kromě tohoto klíče zadat také přihlašovací jméno a heslo k účtu Microsoft.
6. Vyberte, které soubory chcete šifrovat – všechny zaznamenané na médiu nebo pouze ty, které na něj budou v budoucnu zkopírovány. V druhém případě budou chráněny pouze nové soubory, ale šifrování bude rychlejší.
7. Vyberte metodu šifrování: novou, při které nebude možné disk odemknout v dřívějších verzích Windows, nebo starou, která se používá ve Windows 7, 8 a 10.
8. Disk bude zašifrován a poté jej můžete začít používat.
Nyní, pokaždé, když připojíte disk k počítači, budete požádáni o heslo. Pokud jste si jisti, že váš počítač nebude používat nikdo kromě vás, můžete jej přidat mezi důvěryhodné, což znamená, že v budoucnu nebudete požádáni o heslo k dešifrování dat na něm. V tomto případě bude heslo vyžadováno pouze v případě, že je váš disk připojen k jinému zařízení.
Disk můžete používat na důvěryhodném počítači stejným způsobem, jako by nebyl zašifrován, protože nebudete muset zadávat heslo. V tomto případě zůstane disk při připojení k jiným počítačům chráněn. V každém případě použití nástroje BitLocker neovlivní rychlost zápisu a čtení souborů.
Heslo nastavené na disku můžete změnit v části „BitLocker Drive Encryption“ v „Ovládacím panelu“.
