Czy zastanawialiście się kiedyś co się stanie, kiedy ktoś ukradnie Wam komputer? Co jeżeli skradzione dane o klientach, pracownikach i firmie trafią w niepowołane ręce?
Taka wizja nie dawała mi spokoju od dawna. Wiedziałem, że teoretycznie można się przed tym zabezpieczyć szyfrując dane, ale… no właśnie – zawsze jest jakieś „ale”:
- Czy nie spadnie wydajność systemu?
- Czy nie stracę wszystkich danych przez złe działanie programu szyfrującego?
- Czy to będzie wygodne rozwiązanie?
- Czy dane na pewno będą bezpieczne?
Od czego zacząć?
W moim przypadku od wyboru oprogramowania, które dokładnie wszystko zaszyfruje.
System Windows 7 ma wbudowane narzędzia do szyfrowania danych, lecz moje zaufanie do narzędzi z Redmont jest ograniczone. Po za tym BitLocker (służący do szyfrowania danych) występuje w wersjach Windows 7 Ultimate i Enterprise, a ja mam tylko wersję Professional.
Po kilkunastu minutach Googlowania mamy lidera – TrueCrypt. Program darmowy, popularny w Internecie, wysoko oceniany w rankingach i posiadający obszerny podręcznik użytkownika (tylko wersja angielskojęzyczna).
Zainstalowany.
Co szyfrować?
Dysk mam podzielony na dwie partycje: systemowa zawiera system i wszystkie programy; dodatkowa zawiera wszystkie mniej i bardziej poufne dane. Z obawy przed spadkiem wydajności i stabilności systemu decyduję się na drugą partycję. Jeżeli wszystko będzie OK, to zaszyfruję później partycję systemową.
Na etapie zapoznawania się z dokumentacją zauważyłem, że TrueCrypt wyróżnia cztery rodzaje szyfrowanych danych:
– partycję systemową
– partycję niesystemową
– kontener (folder)
– pamięć przenośną
Jak (nie) szyfrować?
Tym razem postanowiłem przynajmniej przejrzeć dokumentację programu… przynajmniej rozdział „dla początkujących”. Cały proces wyglądał na banalnie prosty:
1. Klikam „Utwórz wolumen” (strasznie dziwne słowo, ale nie wiem jak inaczej przetłumaczyć „Volume”)
2. Wybieram opcję „Szyfruj niesystemową partycję/dysk”
3. Decyduję, czy wolumen ma być standardowy (tak) czy ukryty. Ukryty wolumen, to funkcja przydatna jeżeli ktoś siłą lub sposobem zdobędzie nasze hasło do zaszyfrowanego wolumenu (cytując dokumentację)
4. Wybieram partycję do szyfrowania
5. Decyduję czy chcę ją formatować (nie chcę)
6. Wybieram algorytm szyfrowania AES bo jest domyślnie wybrany, a inne nazwy nic mi nie mówią. Dodatkowo kojarzę, że mój komputer posiada sprzętowe szyfrowanie danych o równie tajemniczej nazwie AES
7. Wybieram algorytm hashowania (cokolwiek to znaczy) SHA-512 . Odrzuciłem opcję RIPEMD-160, bo łatwiej złamać zabezpieczenie 160 bitowe niż 512 bitowe. Odrzucam też opcję Whirlpool, bo kojarzy mi się z pralką
8. Wprowadzam i potwierdzam hasło
9. Ruszam myszą w celu wygenerowania losowych danych (najciekawszy etap)
10. Wybieram „tryb wycierania” – czyli wielokrotnego nadpisywania danych w celu uniemożliwienia ich późniejszego odczytania z dysku. Mam do wyboru tryby: Brak, 3-krotny, 5-krotny, 35-krotny (Gutmanna) – oczywiście wybieram ten ostatni, bo TAK „wytartych” danych już nikt na pewno nie odczyta
11. Rozpoczynam szyfrowanie…
… i przecieram oczy! Widzę jak powolutku zmieniają się tysięczne części procenta na pasku postępu, a pole „Pozostało:” wskazuje wartość 27 godzin – masakra. Dobrze, że to było sobotnie popołudnie i miałem zapasowy komputer.
27 godzin później
Szyfrowanie zostało zakończone i nie dostałem, żadnych informacji o błędach – super.
Próbuję dostać się na moją zaszyfrowaną partycję i system informuje mnie, że jest niedostępna – super.
Z instrukcji wynika, że zaszyfrowaną partycję należy „zmontować”, żeby moc z niej korzystać. Klikam odpowiedni przycisk, wpisuję hasło składające się z ponad 20 znaków (żeby było bezpieczniej) i pojawia się komunikat, że wprowadzone hasło jest nieprawidłowe – super… tym bardziej super, że nie zrobiłem kopii zapasowej dysku.
Upewniłem się 30 razy, że to hasło na pewno nie jest prawidłowe.
Później przygotowałem w Excelu wariacje hasła z najbardziej prawdopodobnymi literówkami, które mogłem popełnić i wpisywałem jedna po drugiej przez jakieś 40 minut – to była na prawdę piękna chwila, kiedy dysk został „zmontowany”.
W „Moim komputerze” pojawiła się kolejna partycja, zawierająca wszystkie zaszyfrowane dane.
Czy nie spadnie wydajność systemu?
Jeżeli spadła to niezauważalnie. Z informacji znalezionych na komputerswiat.pl wynika, że wydajność spada o 0-11% w zależności od wykonywanych czynności.
Czy nie stracę wszystkich danych przez złe działanie programu szyfrującego?
Czas pokaże.
Czy to będzie wygodne rozwiązanie?
Jedyna uciążliwość to konieczność zmontowania/odmontowania dysku, przez otwarcie programu TrueCrypt, jeżeli hibernujemy system zamiast go zamykać.
Podczas zamykania/restartowania systemu partycja jest odmontowana automatycznie.
Przy uruchomieniu systemu można automatycznie zainicjować montowanie partycji wykorzystując funkcje „Ulubione woluminy” w TrueCrypt.
Czy dane na pewno będą bezpieczne?
Tak, pod warunkiem, że hasło jest bezpieczne – a to odrębny temat.
