Neotálejte a zašifrujte ho!

By mě zajímalo jak je to v případě takto zašifrovaného disku s policií. Tedy někdo mě napráší, že používám nelegální soft (téměř vždy se něco najde), policie zabaví důkazy – počítač. A teď zjistí, že je zašifrovaný. Musím vydat heslo? Nebo jak by to proběhlo.

#1 Kalata: heslo jsi zapomněl.. ;)

Davide – ten PGP ale umí nejen šifrovat bootovací disk, ale i ZIP soubory, a také poštu, prostě toho umí mnohem více, a navíc stojí €69, takže podstatně méně než DCPP.

Na DCPP jsem koukal taky, ale PGP je prostě vzhledem k ceně lepší.

#1 Kalata: ani nepoznáš, že DCPP nějaké heslo chce. Tváří se, že disk neobsahuje systém a můžeš nadávat policajtům, že ti ho zničili 

Jak říká #2 Radek Hulán:, heslo můžeš zapomenout. Někdy tě ale mohou vyslýchat i osoby, které pro osvěžení paměti použijí třeba sekáček na maso – pak se bude hodit „fingovaný“ operační systémem, do kterého se nabootuje po zadání speciálního špatného hesla.

Zkrátka u SecurStarů mysleli na vše, tohle PGP neumí.

#2 Radek Hulán: Ano, PGP má širší záběr a sám jsem jeho spokojeným uživatelem. Pro šifrování emailů a jednotlivých souborů stačí bezplatná verze, tady se těžko konkuruje Nicméně v úzkém oboru šifrování celých disku on-fly pro mě vede DCPP.

Jen otázka – má PGP pořešenou situaci, kdy v půlce (de)šifrování disku vypadne proud?

Hmm.. Ja pouzivam nativne sifrovanie v NTFS (win2k/xp) a som celkom spokojny. Da sa nastavit per subor / adresar, takze mam sifrovane iba veci, ktore naozaj sifrovane byt musia. Jedinou nevyhodou je fakt, ze utocnik sa dostane k menam suborov (vie zobrazit zasifrovany adresar)…

ja som na archivaciu pouzival taku malu fintu, ktora uz dnes moc nefunguje: vadilo mi, ze aj zasifrovany archiv vedel vypisat zoznam suborov, tak som to vzdy zbalil dvojmo, takze prvy balik po zobrazeni zoznamu suborov iba zobrazil v nom vlozeny dalsi archiv. Bohuzial po genialnom objave rekurzie uz tato finta nema vyznam 

Pred rokmi, ked maximom vykonu bola 286tka sa pre on-fly vyrabali ISA karty na sifrovanie obsahu disku. Ona sa proste vopchala do biosu a pred nacitanim/zapisom na disk vsetko sifrovala. Pekne na tom bolo to, ze karta sa tvarila ako bezny radic (jo vtedy boli radice diskov extra karty), co moze uniknut pozornosti 

#4 hvge: vyzkoušej Advanced EFS Data Recovery, tvrdí, že to umí „instantly“ dekryptovat.

#5 rony: chránit názvy souborů v archívu dnes už umí RAR, je to dobrá věc.

Jak už ostatní zmínili, PGP zvládá šifrovat i bootovací disk. Já sám toho využívám, je to pro mne mnohem pohodlnější, než mít virtuální disk, kde furt něco přesouvám mezi klasickým diskem a virtuálním. Takhle vím, že mám šifrované vše a nemusím se o nic starat.

A co, mnou oblíbený, Truecrypt ? Myslím že taky není špatný? Šifruju s ím celou jednu 30GB partišnu

O šifrování dat na disku nedávno psal i Radek Hulán: http://hulan.cz/…dat-na-disku (to je jiný článek než ten o PGP, který už je odkazován).

I tam jsem se v diskuzi pozastavoval nad tím (ale názor nebyl publikován), proč prostě nepoužít vestavěné šifrování Windows XP. Stejně typicky nechci šifrovat celý disk, ale jen adresář s tajnými daty, takže to, že např. adresář Windows celý zašifrovat nejde, ničemu nevadí.

Odkazovaný program sice dešifruje data instantly, ale pouze v případě znalosti hesla. Při neznalosti hesla si ve Windows XP ani neškrtne:

If files were encrypted under Windows XP (with or without SP1/SP2) or Windows Server 2003, the password of user who encrypted the files (or Recovery Agent) is needed for decryption.

Ja na stanici pouzivam GBDE. Zpomaleni (pokud vubec nejake) je nemeritelne. Funguje velice spolehlive a navic je zadarmo.

Rad bych se zeptal problematiky znalych, pokud o tom neco vite, venovali byste mi prosim minutku?

1. Kdyz prepisu boot sektor, at uz omylem ci umyslne (utocnik), budu se i potom moci dostat k datum? A vydrzi ochrana i pri prepsani boot sektoru treba z liveCD?
2. Kdyz vytahnu disk/vypnou proud pri zapisu do kryptovane jednotky, ztratim nic/aktualne zapisovany soubor/vsechno?
3. Je potom mozne (a smysluplne) disk defragmentovat ci testovat pomoci chkdsk?

Diky vsem za vas cas, tohle jsou otazky ktere ve svam faq asi zadny vyrobce sifrovacich sw nema (ale zato je tam plno kecu o absolutni ochrane :)).

#3 David Grudl: Je ta metoda s „falešným“ OS zmíněná v druhém odstavci to, co jsi nechtěl prozradit? Moc chytrá finta…

Šifrování dat uvedeným způsobem je sice hezká věc, ale důvodem, proč jsem se k němu dosud neodhodlal, je problém, který tu ještě nikdo nezmínil – jak se řeší obnova dat při havárii disku? Nemusí jít jen o přepsání boot sektoru, jak zmiňuje #11 Keff:, ale může dojít např. k fyzickému poškození části povrchu disku.
U disku nešifrovaného bývá šance obnovit soubory ležící mimo zničenou oblast, jak je to ale v případě, že disk obsahuje jediný obrovský zašifrovaný soubor? Ptám se možná trochu hloupě, protože nevím, jak konkrétně zmíněné programy přesně pracují, ale hádám, že to může být dost velký problém.

#12 Bochi: to šifrování boot disku je na úrovni SEKTORU, maximálně přijdeš o sektor, nikdy ne o všechna data. Pokud se ti pokazí master boot sektor, nabootuješ z diskety a po zadání hesla to normálně jede..

Docela by me zajimalo, jestli si to rozumí i s linuxem. Ikdyz do nej uz je asi neco open-source(v linuxu se moc nevyznam ale planuju ze to brzo zmenim tak abych nevyhodil ty prachy zbytecne ;)).

Ještě ke srovnání PGP a DCPP

• DCPP funguje pod Windows 2000, PGP vyžaduje XP SP1
• DCPP je dražší (věřím však tomu, že pokud si vyžádáte slevu, cenu na úroveň PGP sníží)
• DCPP využívám dva roky (v té době ani jiná volba nebyla), považuji je tedy za ověřené řešení
• DCPP lze provozovat v režimu, kdy tají svou existenci (důležité)
• DCPP zvládá boot do „fingovaného“ OS (to je spíš perlička)
• DCPP má nástroje na obnovu partice z DOS a přežije výpadek proudu během úvodního šifrování celého disku – obojí jsou velmi důležité věci, které zamezí ztrátě dat. Nevím ale, jak je na tom PGP?

#11 Keff: Po instalaci se Ti vygeneruje disketa, kde je program na obnovu Master Boot Recordu a také dekryptovač celého disku. Ztráta dat tedy nehrozí. Obojí je otestované, kamarádovi to už zachránilo život 

Na dalším používání se nic nemění. Tedy stále má smysl defragmentovat atd.

#9 Jakub Vrána: aha, je to psané v Requirements. Pro uživatele Windows 2000 je to však mnohem benevolentnější. Jo, nevíš co se stane, pokud o systém přijdu (virus?) a musím nainstalovat čistý OS – dostanu se k zašifrovaným da­tům?

#12 Bochi: „falešný OS“ je fajn vychytávka, kterou snad nikdy nebudu potřebovat ;) V článku jsem měl na mysli něco jiného…

Osobne se mi take vice zamplouva DCPP .. ale ma penezenka ma sklony k PGP. Preci jenom neuchovavam tolik citlivych dat, takze mi zatim staci free verze PGP.

Já jsem se nikdy k šifrování disku neodhodlal, protože jsem paranoidní (bojím se i NTFS na W32/PC) vzhledem k možné obnově dat po havárii – párkrát jsem si to už okusil a při představě rekonstrukce zašifrovaného disku nebo nějakého robustnějšího FS mi běhá mráz po zádech… :(

a co hardwarové šifrování, disk přečteš pouze ve svém notebooku, do něho se dostaneš pouze přes heslo, na to máš tři pokusy…

A jakej je rozdil mezi plus veri a nonplus verzi? teda krome ceny :)))

Čtenář má dost indícií se rozhodnout, který soft použije. Já myslím, že je to vcelku jedno. Sám jsem DCPP začal používat, neboť dříve nic jiného neexistovalo a v současnosti nevidím jediný důvod, proč přecházet na PGP. Naopak – ani by to nešlo (mám w2k) a o jednu skvělou funkci bych přišel.

#19 Arg:

• DriveCrypt = PGP Disk (virtuální diky)
• DriveCrypt Plus Pack = PGP Whole Disk (celé disky)

#16 pykaso: Přes internet jsem si zatím slevu vždycky ukecal Dokonce i u Corelu 

No tak to jses dobrej Momentalne to resim tak, ze mam sifrovany usb flash disk na ktery si ukladam hesla (desitky hesel, ktera si nejsem schopen zapamatovat) a vsechny citlive data.

Toto reseni mi zatim vyhovuje, protoze muzu prenaset tyto data mezi pocitaci doma a pracovnim notebookem.

#15 David Grudl: Diky, uklidnil jsi me:). Napsal jsem si panum z DCPP a odpovedeli stejne:
The data will still be OK, but if the MBR is overwritten you won't be able to boot to the encrypted system (except with an ER disk).

If the power shuts down during writint to an encrypted volume you shouldn't experience any problems.

Also you can defragment and check the disk.

Na Linuxu mame CryptoFS – free a spolehlive, ale pokud vim, nejde tim sifrovat korenovy adresar

Mam Windows XP embedded ktory bootuje z USB-FLASH disku. Potreboval by som ho zasifrovat. :)) Vedel by si DriveCrypt poradit aj z bootovanim z USB disku alebo aky ja navod na to ako to spravit. Vdaka za odpoved…

Stalo se vám, jako kupujícímu tohoto produktu, že po vás po koupi chtěli scan pasu, i když platba kartou v pořádku prošla?

Díky!

Milka: Patent- ověřování totožnosti.

Zdravim,chtel bych se zeptat jestli nekdo mate zkusenosti pri zasifrovani systemoveho disku s pre-boot overenim pres token.Trapim se s tim uz hodne dlouho,proste token je pri bootovani uplne ignorovan,vyzkousel jsem DCPP,Bestcryp­t..pokazde stejne,uz si s tim nevim rady.