Na navigaci | Klávesové zkratky

Neotálejte a zašifrujte ho!

Ceníte si dat na svém disku? A tušíte, jak snadno se k nim může dostat někdo cizí?

Pokud vlastníte notebook, stačí chvilka nepozornosti a ukradnou vám ho. Mohou se vloupat do bytu nebo kanceláře a dostat se ke stolním počítačům. Nebo vám zcizí data „legální“ cestou – počítač zabaví exekutor kvůli nezaplacené splátce, nebo policie v rámci vyšetřování. A že jsou pak data v bezpečí, přístupné jen nepodplatitelným policejním expertům? Haha, hehehe, LOL, ROTFL :-)) Máte-li na Policii ty správné známosti, stačí naprášit konkurenci, že používá kradený software, a večer už sjíždíte jejich harddisky.

pozn. pro Policii: to je samozřejmě čirá fantazie (mrk), něco takového se v naší zemi stát nemůže, tento příklad byl zasazen do Číny nebo Běloruska.

Šifrujeme celý disk

Existuje celá řada programů, které šifrují data na bázi virtuálního disku. Ten se navenek jeví jako běžný disk, obsah je však uložen (zašifrovaný!) v jediném souboru. S virtuálním diskem lze pracovat jako se skutečným, můžete kopírovat soubory, instalovat aplikace, formátovat. Disk se však musí nejprve připojit (po zadání hesla) a poté jej můžete zase odpojit.

Právě připojení disku je limitujícím faktorem jeho užití. Abychom jej mohli připojit, musíme mít nastartovaný operační systém. Tedy nelze šifrovat bootovací disk.

Šifrujeme „céčko“

První (a zřejmě nejlepší) software pro šifrování celých disků nabídla firma SecurStar a jmenuje se DriveCrypt Plus Pack (DCPP). Narozdíl od virtuální disků, tento skutečně fyzicky zašifruje celý disk nebo partition.

Jak DCPP funguje? Při spuštění počítače si načte „ze začátku“ harddisku (de)šifrovací rutiny a požádá o zadání hesla. Teprve pomocí platného hesla dešifruje další části disku a bootování může pokračovat. Zkrátka: po načtení jakýchkoliv dat z disku program tyto dešifruje a naopak před zápisem na disk data zašifruje. Tedy nikdy nedojde k situaci, že by disk obsahoval nějaká nekryptovaná data.

Program podporuje DOS, Windows 2000 a Windows XP. Zřejmě není možné vytvořit ovladač pro starší verze Windows, který by zpracoval přímé přístupy na disk.

Pro případ nouze se k programu dodává utilitka (pro DOS), která umí disk dekryptovat. Samozřejmě po zadání správného hesla – bez něj jste … víte kde :-)

Jak mi to zpomalí počítač?

Je jasné, že celá tahle sranda bude mít nějakou režii. Jsem ochoten pro dobrou věc jisté zpomalení tolerovat, ale musí být únosné, že. Proto jsem provedl měření – nabootoval jsem počítač bez DCPP a s ním. Měřil jsem od okamžiku odklepnutí hesla až po poslední spouštěný program. A teď se podržte: zpomalení 0%. Musel jsem se podívat na fyzický obsah disku, abych se přesvědčil, že šifrování vůbec pracuje.

Při měření benchmarkem jsem sice zaznamenal zpomalení asi o 30%, ale to mě spíš vedlo k zamyšlení, jak málo tyto testy odpovídají realitě.

No nekup to!

Pokud už máte ve druhém okně otevřenou Astalavistu a hledáte crack, tak ji zase hezky zavřete. Neoriginální program používá slabou šifru, kterou lze „snadno“ prolomit. Takže jedině s plnou verzí si vychutnáte sílu 256 bitové šifry.

Závěrem

Nevím, jak na šifrování údajů nahlíží náš právní řád. Nicméně program nabízí jednu úžasnou vychytávku (neprozradím), která tyto případné problémy téměř eliminuje.

S obdobným řešením nedávno přišlo i PGP a jmenuje se PGP Whole Disk. DCPP mi však přijde mnohem šikovnější.

Pokud Vaše data mají vyšší hodnotu než EUR 125, s koupí neváhejte.


viz pokračování

Komentáře

  1. Kalata #1

    By mě zajímalo jak je to v případě takto zašifrovaného disku s policií. Tedy někdo mě napráší, že používám nelegální soft (téměř vždy se něco najde), policie zabaví důkazy – počítač. A teď zjistí, že je zašifrovaný. Musím vydat heslo? Nebo jak by to proběhlo.

    před 12 lety | reagoval [2] Radek Hulán [3] David Grudl
  2. Radek Hulán http://hulan.cz/blog/ #2

    #1 Kalato, heslo jsi zapomněl.. ;)

    Davide – ten PGP ale umí nejen šifrovat bootovací disk, ale i ZIP soubory, a také poštu, prostě toho umí mnohem více, a navíc stojí €69, takže podstatně méně než DCPP.

    Na DCPP jsem koukal taky, ale PGP je prostě vzhledem k ceně lepší.

    před 12 lety | reagoval [3] David Grudl [3] David Grudl
  3. David Grudl http://davidgrudl.com #3

    avatar

    #1 Kalato, ani nepoznáš, že DCPP nějaké heslo chce. Tváří se, že disk neobsahuje systém a můžeš nadávat policajtům, že ti ho zničili :-)

    Jak říká #2 Radek Hulán, heslo můžeš zapomenout. Někdy tě ale mohou vyslýchat i osoby, které pro osvěžení paměti použijí třeba sekáček na maso – pak se bude hodit „fingovaný“ operační systémem, do kterého se nabootuje po zadání speciálního špatného hesla.

    Zkrátka u SecurStarů mysleli na vše, tohle PGP neumí.

    #2 Radku Huláne, Ano, PGP má širší záběr a sám jsem jeho spokojeným uživatelem. Pro šifrování emailů a jednotlivých souborů stačí bezplatná verze, tady se těžko konkuruje :-) Nicméně v úzkém oboru šifrování celých disku on-fly pro mě vede DCPP.

    Jen otázka – má PGP pořešenou situaci, kdy v půlce (de)šifrování disku vypadne proud?

    před 12 lety | reagoval [12] Bochi
  4. hvge http://hvge.sk #4

    Hmm.. Ja pouzivam nativne sifrovanie v NTFS (win2k/xp) a som celkom spokojny. Da sa nastavit per subor / adresar, takze mam sifrovane iba veci, ktore naozaj sifrovane byt musia. Jedinou nevyhodou je fakt, ze utocnik sa dostane k menam suborov (vie zobrazit zasifrovany adresar)…

    před 12 lety | reagoval [6] David Grudl
  5. rony http://spravodaj.madaj.net/ #5

    ja som na archivaciu pouzival taku malu fintu, ktora uz dnes moc nefunguje: vadilo mi, ze aj zasifrovany archiv vedel vypisat zoznam suborov, tak som to vzdy zbalil dvojmo, takze prvy balik po zobrazeni zoznamu suborov iba zobrazil v nom vlozeny dalsi archiv. Bohuzial po genialnom objave rekurzie uz tato finta nema vyznam ;-)

    Pred rokmi, ked maximom vykonu bola 286tka sa pre on-fly vyrabali ISA karty na sifrovanie obsahu disku. Ona sa proste vopchala do biosu a pred nacitanim/zapisom na disk vsetko sifrovala. Pekne na tom bolo to, ze karta sa tvarila ako bezny radic (jo vtedy boli radice diskov extra karty), co moze uniknut pozornosti ;-)

    před 12 lety | reagoval [6] David Grudl
  6. David Grudl http://davidgrudl.com #6

    avatar

    #4 hvge, vyzkoušej Advanced EFS Data Recovery, tvrdí, že to umí „instantly“ dekryptovat.

    #5 rony, chránit názvy souborů v archívu dnes už umí RAR, je to dobrá věc.

    před 12 lety
  7. Pavel F. #7

    Jak už ostatní zmínili, PGP zvládá šifrovat i bootovací disk. Já sám toho využívám, je to pro mne mnohem pohodlnější, než mít virtuální disk, kde furt něco přesouvám mezi klasickým diskem a virtuálním. Takhle vím, že mám šifrované vše a nemusím se o nic starat.

    před 12 lety
  8. Michal #8

    A co, mnou oblíbený, Truecrypt ? Myslím že taky není špatný? Šifruju s ím celou jednu 30GB partišnu

    před 12 lety
  9. Jakub Vrána http://php.vrana.cz/ #9

    O šifrování dat na disku nedávno psal i Radek Hulán: http://hulan.cz/…dat-na-disku (to je jiný článek než ten o PGP, který už je odkazován).

    I tam jsem se v diskuzi pozastavoval nad tím (ale názor nebyl publikován), proč prostě nepoužít vestavěné šifrování Windows XP. Stejně typicky nechci šifrovat celý disk, ale jen adresář s tajnými daty, takže to, že např. adresář Windows celý zašifrovat nejde, ničemu nevadí.

    Odkazovaný program sice dešifruje data instantly, ale pouze v případě znalosti hesla. Při neznalosti hesla si ve Windows XP ani neškrtne:

    If files were encrypted under Windows XP (with or without SP1/SP2) or Windows Server 2003, the password of user who encrypted the files (or Recovery Agent) is needed for decryption.

    před 12 lety | reagoval [15] David Grudl
  10. xert #10

    Ja na stanici pouzivam GBDE. Zpomaleni (pokud vubec nejake) je nemeritelne. Funguje velice spolehlive a navic je zadarmo.

    před 12 lety
  11. Keff http://www.tomaskafka.com #11

    Rad bych se zeptal problematiky znalych, pokud o tom neco vite, venovali byste mi prosim minutku?

    1. Kdyz prepisu boot sektor, at uz omylem ci umyslne (utocnik), budu se i potom moci dostat k datum? A vydrzi ochrana i pri prepsani boot sektoru treba z liveCD?
    2. Kdyz vytahnu disk/vypnou proud pri zapisu do kryptovane jednotky, ztratim nic/aktualne zapisovany soubor/vsechno?
    3. Je potom mozne (a smysluplne) disk defragmentovat ci testovat pomoci chkdsk?

    Diky vsem za vas cas, tohle jsou otazky ktere ve svam faq asi zadny vyrobce sifrovacich sw nema (ale zato je tam plno kecu o absolutni ochrane :)).

    před 12 lety | reagoval [12] Bochi [15] David Grudl
  12. Bochi http://johanesville.net #12

    #3 Davide Grudle, Je ta metoda s „falešným“ OS zmíněná v druhém odstavci to, co jsi nechtěl prozradit? ;-) Moc chytrá finta…

    Šifrování dat uvedeným způsobem je sice hezká věc, ale důvodem, proč jsem se k němu dosud neodhodlal, je problém, který tu ještě nikdo nezmínil – jak se řeší obnova dat při havárii disku? Nemusí jít jen o přepsání boot sektoru, jak zmiňuje #11 Keff, ale může dojít např. k fyzickému poškození části povrchu disku.
    U disku nešifrovaného bývá šance obnovit soubory ležící mimo zničenou oblast, jak je to ale v případě, že disk obsahuje jediný obrovský zašifrovaný soubor? Ptám se možná trochu hloupě, protože nevím, jak konkrétně zmíněné programy přesně pracují, ale hádám, že to může být dost velký problém.

    před 12 lety | reagoval [13] Radek Hulán [15] David Grudl
  13. Radek Hulán http://hulan.cz/blog/ #13

    #12 Bochi, to šifrování boot disku je na úrovni SEKTORU, maximálně přijdeš o sektor, nikdy ne o všechna data. Pokud se ti pokazí master boot sektor, nabootuješ z diskety a po zadání hesla to normálně jede..

    před 12 lety
  14. Arg #14

    Docela by me zajimalo, jestli si to rozumí i s linuxem. Ikdyz do nej uz je asi neco open-source(v linuxu se moc nevyznam ale planuju ze to brzo zmenim tak abych nevyhodil ty prachy zbytecne ;)).

    před 12 lety
  15. David Grudl http://davidgrudl.com #15

    avatar

    Ještě ke srovnání PGP a DCPP

    • DCPP funguje pod Windows 2000, PGP vyžaduje XP SP1
    • DCPP je dražší (věřím však tomu, že pokud si vyžádáte slevu, cenu na úroveň PGP sníží)
    • DCPP využívám dva roky (v té době ani jiná volba nebyla), považuji je tedy za ověřené řešení
    • DCPP lze provozovat v režimu, kdy tají svou existenci (důležité)
    • DCPP zvládá boot do „fingovaného“ OS (to je spíš perlička)
    • DCPP má nástroje na obnovu partice z DOS a přežije výpadek proudu během úvodního šifrování celého disku – obojí jsou velmi důležité věci, které zamezí ztrátě dat. Nevím ale, jak je na tom PGP?

    #11 Keffe, Po instalaci se Ti vygeneruje disketa, kde je program na obnovu Master Boot Recordu a také dekryptovač celého disku. Ztráta dat tedy nehrozí. Obojí je otestované, kamarádovi to už zachránilo život :-)

    Na dalším používání se nic nemění. Tedy stále má smysl defragmentovat atd.

    #9 Jakube Vráno, aha, je to psané v Requirements. Pro uživatele Windows 2000 je to však mnohem benevolentnější. Jo, nevíš co se stane, pokud o systém přijdu (virus?) a musím nainstalovat čistý OS – dostanu se k zašifrovaným datům?

    #12 Bochi, „falešný OS“ je fajn vychytávka, kterou snad nikdy nebudu potřebovat ;) V článku jsem měl na mysli něco jiného…

    před 12 lety | reagoval [22] Keff
  16. pykaso #16

    avatar

    Osobne se mi take vice zamplouva DCPP .. ale ma penezenka ma sklony k PGP. Preci jenom neuchovavam tolik citlivych dat, takze mi zatim staci free verze PGP.

    před 12 lety | reagoval [20] David Grudl
  17. Jan Brašna http://www.janbrasna.com #17

    Já jsem se nikdy k šifrování disku neodhodlal, protože jsem paranoidní (bojím se i NTFS na W32/PC) vzhledem k možné obnově dat po havárii – párkrát jsem si to už okusil a při představě rekonstrukce zašifrovaného disku nebo nějakého robustnějšího FS mi běhá mráz po zádech… :(

    před 12 lety
  18. rarous http://rarous.aspweb.cz #18

    avatar

    a co hardwarové šifrování, disk přečteš pouze ve svém notebooku, do něho se dostaneš pouze přes heslo, na to máš tři pokusy…

    před 12 lety
  19. Arg #19

    A jakej je rozdil mezi plus veri a nonplus verzi? teda krome ceny :)))

    před 12 lety | reagoval [20] David Grudl
  20. David Grudl http://davidgrudl.com #20

    avatar

    Čtenář má dost indícií se rozhodnout, který soft použije. Já myslím, že je to vcelku jedno. Sám jsem DCPP začal používat, neboť dříve nic jiného neexistovalo a v současnosti nevidím jediný důvod, proč přecházet na PGP. Naopak – ani by to nešlo (mám w2k) a o jednu skvělou funkci bych přišel.

    #19 Argu,

    • DriveCrypt = PGP Disk (virtuální diky)
    • DriveCrypt Plus Pack = PGP Whole Disk (celé disky)

    #16 pykaso, Přes internet jsem si zatím slevu vždycky ukecal :-) Dokonce i u Corelu :-)

    před 12 lety
  21. pykaso http://pykaso.net/webzine #21

    avatar

    No tak to jses dobrej :-) Momentalne to resim tak, ze mam sifrovany usb flash disk na ktery si ukladam hesla (desitky hesel, ktera si nejsem schopen zapamatovat) a vsechny citlive data.

    Toto reseni mi zatim vyhovuje, protoze muzu prenaset tyto data mezi pocitaci doma a pracovnim notebookem.

    před 12 lety
  22. Keff http://www.tomaskafka.com #22

    #15 Davide Grudle, Diky, uklidnil jsi me:). Napsal jsem si panum z DCPP a odpovedeli stejne:
    The data will still be OK, but if the MBR is overwritten you won't be able to boot to the encrypted system (except with an ER disk).

    If the power shuts down during writint to an encrypted volume you shouldn't experience any problems.

    Also you can defragment and check the disk.

    před 12 lety
  23. anicka http://weblog.anicka.net #23

    Na Linuxu mame CryptoFS – free a spolehlive, ale pokud vim, nejde tim sifrovat korenovy adresar

    před 12 lety
  24. jack #24

    Mam Windows XP embedded ktory bootuje z USB-FLASH disku. Potreboval by som ho zasifrovat. :)) Vedel by si DriveCrypt poradit aj z bootovanim z USB disku alebo aky ja navod na to ako to spravit. Vdaka za odpoved…

    před 10 lety
  25. Milka #25

    Stalo se vám, jako kupujícímu tohoto produktu, že po vás po koupi chtěli scan pasu, i když platba kartou v pořádku prošla?

    Díky!

    před 10 lety
  26. Jindra #26

    Milka: Patent- ověřování totožnosti.

    před 9 lety
  27. Roman #27

    avatar

    Zdravim,chtel bych se zeptat jestli nekdo mate zkusenosti pri zasifrovani systemoveho disku s pre-boot overenim pres token.Trapim se s tim uz hodne dlouho,proste token je pri bootovani uplne ignorovan,vyzkousel jsem DCPP,Bestcrypt..pokazde stejne,uz si s tim nevim rady.

    před 9 lety

Tento článek byl uzavřen. Už není možné k němu přidávat komentáře.