Dysk pod kluczem

Dane przechowywane w urządzeniach przenośnych mogą mieć znaczną wartość. Niewielu ludzi zdaje sobie z tego sprawę, dopóki nie zostaną skradzione, na przykład razem z notebookiem. Najrozsądniejszą ochroną jest szyfrowanie całej zawartości twardego dysku.


Dane przechowywane w urządzeniach przenośnych mogą mieć znaczną wartość. Niewielu ludzi zdaje sobie z tego sprawę, dopóki nie zostaną skradzione, na przykład razem z notebookiem. Najrozsądniejszą ochroną jest szyfrowanie całej zawartości twardego dysku.

Na rynku znajdziemy wiele programów, których zadaniem jest szyfrowanie danych. Można szyfrować wszystko: od notatek (Steganos LockNote) i pojedynczych plików (AxCrypt), przez katalogi (EFS), partycje (TrueCrypt, DriveCrypt), aż do całych dysków (Drive Crypt Plus Pack, PointSec PC, Safeboot i inne). Do grupy oprogramowania, które potrafi zaszyfrować całą zawartość dysku, dołączył niedawno darmowy TrueCrypt, rozwijany na zasadach open source. Warto dokładniej zapoznać się z tą aplikacją.

TrueCrypt

Przy wyborze algorytmu szyfrowania w kreatorze tworzenia woluminu mamy do dyspozycji osiem kombinacji.

Przy wyborze algorytmu szyfrowania w kreatorze tworzenia woluminu mamy do dyspozycji osiem kombinacji.

Za jego pomocą można utworzyć wirtualny dysk, zawierający zaszyfrowane dane z partycji systemowej, a nawet całego dysku. Dane w bezpiecznej postaci są przechowywane na dysku, zaś deszyfrowanie odbywa się wyłącznie w pamięci komputera.

TrueCrypt wykorzystuje najmocniejsze znane algorytmy szyfrujące, ponadto potrafi korzystać z nich w formie łańcucha. Ta unikatowa opcja znacząco podwyższa poziom bezpieczeństwa, ponieważ wszystkie trzy najważniejsze algorytmy szyfrujące - AES (Rijndael), Serpent i Twofish z osobnymi kluczami (po 256 bitów każdy) mogą być użyte jednocześnie. Każdy z kluczy w takim łańcuchu jest całkowicie niezależny od pozostałych, mimo że wszystkie zostały wygenerowane z tego samego hasła. W takim wypadku najsłabszym elementem może się okazać hasło użytkownika.

TrueCrypt przewyższa pod względem stosowanych zabezpieczeń kryptograficznych niektóre komercyjne pakiety. Skuteczność jest bardzo wysoka i niejednokrotnie przewyższa słabsze rozwiązania sprzętowe (takie jak tanie i popularne szyfratory, gdzie stosuje się algorytm 3DES w trybie ECB). Niestety, za skuteczność ochrony płaci się wydajnością - łańcuch trzech algorytmów może być nawet pięć razy wolniejszy w działaniu niż pojedynczo stosowany AES i znacząco spowolni pracę komputera.

Jednym z niewielu niedostatków TrueCrypt jest brak możliwości odzyskania hasła w wypadku jego utraty (potrafią to pakiety komercyjne, takie jak PointSec PC firmy Check Point). W zamian za to stosowana jest technologia kopii klucza na bezpieczny nośnik. Inną pożądaną funkcjonalnością byłaby instalacja ukrytego systemu operacyjnego chronionego osobnym hasłem (jak w pakiecie DriveCrypt Plus Pack).

Benchmark algorytmów szyfrowania i ich łańcuchów pokazuje wydajność poszczególnych rozwiązań - są one znacząco różne.

Benchmark algorytmów szyfrowania i ich łańcuchów pokazuje wydajność poszczególnych rozwiązań - są one znacząco różne.

TrueCrypt w najnowszej wersji (w chwili pisania tego tekstu - oznaczona 5.0a) obsługuje szyfrowanie całej zawartości twardego dysku, łącznie z partycją systemową Windows. Program obsługuje także tworzenie zaszyfrowanego pliku używanego jako dysk - tak jak starsze wersje aplikacji.

Obsługiwane są systemy z rodziny Windows: Windows XP (32 i 64 bity), Windows Vista (32 i 64 bity), Windows Server 2003 (32 i 64 bity), Windows Server 2008 (32 i 64 bity).

Ograniczona funkcjonalność (bez szyfrowania partycji systemowej) dotyczy platform Windows 2000, Mac OS X (Tiger i Leopard) oraz Linuksa (jądro w wersji 2.4 lub 2.6). Platformy Windows 2003 IA-64, Windows 2008 IA-64, Windows XP IA-64 oraz Windows 95/98/ME/NT nie są wspierane.

Należy także pamiętać, że zaszyfrowany system plików nie poddaje się tak łatwo kopiowaniu między dyskami za pomocą programów typu Ghost. Możliwe jest jedynie zapisywanie sektor po sektorze za pomocą niskopoziomowych narzędzi, takich jak dd. Jest to dość poważne utrudnienie w firmach, gdzie często stosuje się narzędzia do szybkiego odtwarzania systemu z obrazu w razie awarii.

Dwa stopnie tajności

W pewnych wypadkach użytkownik może być zmuszony do podania hasła. TrueCrypt ma specjalny mechanizm ochrony użytkownika - umożliwia utworzenie ukrytego woluminu, umieszczonego wewnątrz standardowego. Badając plik lub dysk, nie można ustalić istnienia "tajnego" woluminu, gdyż nie odróżnia się od losowych danych. Proces dostępu do ukrytego woluminu jest identyczny, jak przy standardowym - różni się tylko hasłem.

Szczegóły w dokumentacji projektu pod adresem www.truecrypt.org/docs/ .