Na navigaci | Klávesové zkratky

Neotálejte a zašifrujte ho - doplnění

K článku Neotálejte a zašifrujte ho mi dovolte doplnění. Diskuze se zvrhla v souboj dvou nástrojů: SecurStar DriveCrypt Plus Pack (DCPP) vs. PGP Desktop Professional 9.0 (PGP). Oba dva jsem proto porovnal v reálném prostředí a vyzkoušel, jak obstojí v kritických situacích, jako je výpadek proudu během šifrování.

DriveCrypt Plus Pack 3.0

Jde o samostatnou aplikaci. Oproti PGP podporuje i Windows 2000 (také XP bez Service packu), což je důležité pro 15% uživatelů, co považují W2K za svůj srdeční systém (zkráceně w2kHzOS).

DCPP disponuje zajímavými funkcemi pro zmatení nepřítele. Tají svou existenci, o heslo si říká způsobem, který neznalý jen težko postřehne a dokonce umí při zadání záměrně špatného hesla nabootovat do fingovaného operačního systému. A tady mohou být dostupná data, který zdánlivě nepřítele uspokojí.

Nevýhodou je, že s DCPP nefunguje Režim spánku (tedy pokud je šifrován disk obsahující hibernační swapfile). Verze 3.8 už hibernaci podporuje.

Naopak výhodou je DOSová utilita pro obnovu (dešifrování) dat. Samozřejmě je třeba znát heslo.

DCPP je dražší než PGP a také (už) není distribuován včetně zdrojových kódů. V PGP má nyní vyrostla silná konkurence, tak věřím, že tomu svou licenční politiku přizpůsobí.

PGP Desktop Professional 9.0

Jde o celý balík aplikací, umožňující šifrovat od e-mailů přes IM komunikaci až po soubory a celé disky. Od minulé verze PGP 8 se podařilo vývojářům ujít hezký kus cesty. Vytvořili integrované a přehledné prostředí, kde je vše snadno na dosah. Počítač vám tedy může po kliknutí na ikonku zašifrovat i kolemjdoucí!

PGP se chová přímočaře, tedy nenajdeme tu vychytávky pro zmatení útočníka, naopak vždy jasně informuje o situaci.

Velkým záporem je absence nástroje pro obnovu šifrovaného disku z DOSu. Také jsem při experimentování PGP brzy zmátl a dostal se do situace, kdy disky už nešlo šifrovat ani zpětně dešifrovat. Mám pocit, že u tak mocného nástroje bude lepší počkat na první update.

Srovnání

Síla šifry je stejná:

  • šifrování AES/256bit
  • hashovací funkce SHA1

Oba systémy se také bezproblému zotaví z přerušení napájení během šifrování.

Rozdíly jsou však v rychlostech. Měřil jsem čas úvodního šifrování (není tak podstatné) a poté praktický test – kopírování většího množství dat na šifrovaném disku:

  čistý systém PGP DCPP
úvodní šifrování 415 s 463 s
kopírování 267 s 310 s (16%) 290 s (8%)

PGP je tedy jedenkrát pomalejší než DCPP. Nemusíte se ale bát, že šifrování počítač významně zpomalí – například přítomnost DCPP je v praxi téměř nepostřehnutelná.

Shrnutí

Oba programy splňují základní funkci: po vypnutí přívodu elektrického proudu se z počítače stává nedobytný trezor. Rozdíl nastává v okamžiku, kdy vás někdo nutí jej odemknout. Zatímco DCPP nabízí cesty, jak kličkovat, PGP nikoliv.

Doporučení: pokud používáte Windows 2000, kupte DCPP a vyžádejte si slevu. Většině uživatelů Windows XP SP1 bude zase výborně vyhovovat PGP Whole Disk. Jestli se vám však zamlouvají skrývací taktiky, kriticky bazírujete na rychlosti počítače nebo prostě chcete mít situaci více pod kontrolou, šifrujte disk s DCPP.

Upozornění: instalace PGP Whole Disk a DCPP současně může ve Windows XP způsobit vážnou kolizi a ztrátu dat!

Tip: swapovací soubory přesuňte na nešifrovaný disk.

A ještě poznámka

V poslední době se vytváří atmosféra, že šifrování je nástrojem zlodějů a kriminálních živlů a že slušný poctivý člověk nemá důvod ani potřebu něco skrývat. S tímto bytostně nesouhlasím a považuji to za politickou demagogii. Naopak, každý člověk má právo na své soukromí a může ho legálními prostředky chránit sám.

Komentáře

  1. benny #1

    oceňuju, že dgx utnul flameware pod minulým článkem, neobhajuje to svoje a místo toho oba programy vyzkoušel a napsal nezaujaté srovnání! Jo takhle kdyby se diskutovalo o všem :-)

    Ale chtěl jsem spíš k té poslední myslence. To me zaujalo, mám totiž spojené šifrování s KGB, CIA atd. Potřebuje ale normální člověk své data šifrovat?

    před 12 lety | reagoval [2] Radek Hulán [3] David Grudl
  2. Radek Hulán http://hulan.cz/blog/ #2

    #1 benny, ano, potřebuje, na počítači má člověk mraky osobních dat, ať už jsou to fotky poměrně dost známé nahé (ex)přítelkyně, (ex)manželky, sama sebe, tak mraky dokumentů a smluv, co jsou ryze interní povahy, portfolio akcií, a další věci, pokud je takovýto počítač notebook, je nezbytné jej šifrovat, pokud nikoliv, risk, že člověk bude třeba vykraden, a toto všechno bude mít nějaký anoymní zlodějíček, je hodně nepříjemná.

    Tudíž – každý člověk potřebuje šifrovat. Je to jako pojistka na auto, připadá ti to zcela k ničemu, dokud něco nenastane..

    @David: skvělé porovnání, díky! :-)

    před 12 lety
  3. David Grudl http://davidgrudl.com #3

    avatar

    #1 benny, no Radek mi s odpovědí ušetřil práci – jen zopakuji, že šifruji proto, aby s ukradením (nebo úředním zabavením) počítače nebylo také zcizeno soukromí, jehož cena mnohanásobně převyšuje cenu železa.

    Ale také je dobré myslet na „život po smrti“. Pokud se s tebou něco stane, nechť fotky nahé přítelkyně zůstanou navždy pod šifrou, ale rozpracovaný revoluční systém, který vydělá 30 milionů dolarů, by mohl být pro pozůstalé nějak přístupný, že…

    před 12 lety
  4. salko #4

    avatar

    Ahojte, mám otázku k článku:
    při provozu má DCPP poloviční zpomalení

    dalo by sa to rozviesť v číslach? A iba pre jednoznačnosť, PGP je teda pomalšie?
    Chcem totiž zainvestovat a kúpiť si jeden z týchto dvoch produktov.

    Ďakujem.

    před 12 lety | reagoval [6] David Grudl
  5. llook http://llook.wz.cz/weblog/ #5

    avatar

    V souvislosti s šifrováním jsem ten názor z poznámky na konci ještě neslyšel, ale třeba v souvislosti se zveřejněním příjmů manažerů a nebo veřejně činných osob jo („pokud nedělají nic špatného, nemají co tajit“).

    Trochu se bojím, abych jednou neměl doma obousměrnou televizi a místo na pivo nechodil na Victory Gin.

    před 12 lety
  6. David Grudl http://davidgrudl.com #6

    avatar

    #4 salko, článek jsem mírně upravil – přidal jsem tabulku naměřených časů a ještě zmínil pár zkušeností.

    před 12 lety | reagoval [7] salko
  7. salko #7

    avatar

    #6 Davide Grudle, Dakujem za tabulku.

    před 12 lety
  8. Fous #8

    jak se DCPP snáší např. s NOD32 a Tiny Personal Firewallem 2005? Oboje mám instalováno na notebooku a DCPP k nim rád přidám

    před 12 lety | reagoval [9] David Grudl
  9. David Grudl http://davidgrudl.com #9

    avatar

    #8 Fousi, má smysl řešit, jak se snáší s nástroji na údržbu disků (Partition Magic, Ghost, TrueImage apod.) S ostatním softwarem nemá jak kolidovat, šifrovaný disk se chová jako normální.

    (podobný druh otázek ale stejně směřujte na podporu PGP nebo DCPP, odpovědi neznám)

    před 12 lety | reagoval [10] Radek Hulán
  10. Radek Hulán http://hulan.cz/blog/ #10

    #9 Davide Grudle, jen na okraj 310 s pro PGP a 290 s pro DCPP není „jedenkrát“ ;) V obou případech je to v zásadě zanedbatelné zpomalení.

    V mém případě ony dříve zmíněné výhody PGP převažují nad pár % horším výkonem (taky jej potvrzuji, testoval jsem i DCPP, ale nefungoval mi s RAID, PGP ano, přestože to oficiálně také nepodporuje).

    před 12 lety | reagoval [12] David Grudl
  11. Keff http://www.tomaskafka.com/bloguje #11

    Diky moc DGX za objektivni test! Udelal jsi to na co se mnozi zvanilove nezmohli ani po 20ti hodinach sexu s mladymi kusy :)).
    Ale vazne – diky tvemu testu jsem zjistil ze ani jeden z produktu neni pro me, PGP mit nemuzu protoze stoural jako ja by si drive ci pozdeji ‚zabouchl klice od sejfu vevnitr‘ :) a uspani pocitace povazuji za jednu z nejlepsich vymozenosti notebooku a s jejim znemoznenim se nesmirim (je neuveritelna pohoda v praci proste sklapnout viko a doma o hodinu pozdeji po 10s pokracovat kde jsem prestal)… Takze cekam na dalsi verze.

    před 12 lety | reagoval [12] David Grudl
  12. David Grudl http://davidgrudl.com #12

    avatar

    #10 Radku Huláne, DCPP kopírování zpomalí o 8%, PGP o 16% a jak jsem si právě ověřil kalkulačkou, 8*2 = 16. V praxi je samozřejmě zpomalení nepozorovatelné, protože počítač dělá i jiné věci, než jen kopírování. (nicméně PGP by zrychlit mohlo).

    Co mě ale skutečně zarazilo, byl výše zmíněný stav, kdy nešlo disk (de)šifrovat ani PGP odinstalovat. Původně jsem chtěl zjistit důvody a zkusit stav navodit znovu, ale ten čas tomu věnovat nechci. Bude to souviset s pokusem odinstalovat PGP, když jsem měl zašifrovaný disk (d:), nebo smazat ten divný soubor, co si na disk ukládá. Tak třeba to někdo vyzkouší a zjistí, kde je zakopaný pes. Pro mě tím první verze PGP Whole Disk ztratila důveru.

    A je jasné, že až se tyto věci vychytají, bude to úžasné a snadné šifrovací řešení pro masy. I když zůstávám u konkurence, PGP mě příjemně překvapilo.

    #11 Keffe, Nefunkční hibernace v DCPP mi také moc chyběla (ač mám desktop). Jen doplním, že nefunguje pokud šifruješ bootovací disk (resp. disk, kam se hibernační soubor ukládá).

    před 12 lety
  13. pkm #13

    Vám se to kecá, používáte na desktopu jenom jeden OS. Já potřebuju Windows i Linux. Používat pod wokny nějakou takovou věcičku a pod Linuxem cryptoloop mi přijde už celkem overkill. Naštěstí nemám notebook.

    před 12 lety
  14. David Grudl http://davidgrudl.com #14

    avatar

    Mám určitou teorii, že DCPP a PGP používají docela jiné techniky. DCPP je více lowlevel, PGP naopak využívá vyšších funkcí Windows. To by vysvětlovalo, proč PGP potřebuje novější Windows (teprve v nich správně fungují potřebné funkce), proč je pomalejší (větší režie kvůli oněm funkcím), a proč podporuje více „technologií“, jako hibernace nebo RAID.

    (mimochodem, mám samostatný disk jako RAID level 0 a s DCPP valí jak pes)

    před 12 lety
  15. Jakub Vrána http://php.vrana.cz/ #15

    Škoda, že nebylo porovnáno také standardní šifrování ve Windows XP, které je zdarma a pokud vím, tak nabízí stejnou úroveň zabezpečení. Nenabízí šifrování celých disků, ale obvykle stejně stačí šifrovat adresář s tajnými daty (a z hlediska výkonu to je lepší).

    před 12 lety
  16. salko #16

    avatar

    Zdravim, no vidim, ze sa tu utvorili dva vojnove tabory. Mam prosbu na dgx-sa. Ten test, ktory si prevadzal, mohol by si prosim ta este raz urobit (ak neobtazujem)? Jedna sa mi o nasl.:

    • test urobit vyhradne po restarte pocitaca
    • test urobit na vzorke jedneho velkeho suboru (napr. 300MB)
    • test urobit na vzorke dalsieho velkeho suboru (napr. 650MB)
    • test urobit na vela (napr. 2000) malych suboroch v jednom adresary

    vlastne je to spolu 9 testov (cisty system, DCPP, PGP). O tom, preco vzdy po restarte je snad jasne. Idealne by bolo kazdy test zopakovat dva krat (spolu teda 18 restartov).

    Sorry, ze s tym otravujem ale ako som spominal, chcem si jeden z tychto dvoch systemov zakupit (pre NB) a chcem mat 100% jasno. Keby existovali plne funkcne trial verzie tak nevaham a testujem.

    Dakujem.

    před 12 lety | reagoval [17] David Grudl
  17. David Grudl http://davidgrudl.com #17

    avatar

    #16 salko, to je tak na den práce. Pošli fakturační údaje, domluvíme se :-)

    Ale vážně: stáhni si warez, vyzkoušej, výsledky rád uveřejním. Stejně si myslím, že ty rychlosti jsou až druhořadé.

    před 12 lety
  18. salko #18

    avatar

    Predsa len este jedna otazka, ktora verzia DCPP bola pouzita pri teste? Nejako nemozem najst tu informaciu v clankoch.
    Dakujem.

    před 12 lety | reagoval [19] David Grudl
  19. David Grudl http://davidgrudl.com #19

    avatar

    #18 salko, Testoval jsem poslední verzi 3.00g. Ale čistě subjektivně bych řekl, že od verze 2.1 (první kterou znám) nepozoruju žádnou změnu rychlosti.

    Tu nikam nevedoucí diskuzi o rychlosti PGP vs. DCPP jsem odsud odstranil, pokud by snad někoho zajímala, je tady.

  20. salko #20

    avatar

    #19 Davide Grudle, Ok, ja sa chystám na jeden čistý disk urobiť celú sériu testov (čo asi bude na dlhšie) a výsledky by som poslal asi na váš email.

    před 12 lety
  21. Radim Richter #21

    avatar

    #19 Davide Grudle,
    Při čtení příspěvku mne údaj o dvojnásobné rychlosti či pomalosti značně zarazil. Jsou tam však údaje, tak jsem usoudil ve svém chápání poměrů. Leč spor o rychlost mne přiměl k úvaze a ješitně i chuti vydat rozhřešení.

    Pokud je v noci 10st. Celsiových a ve dne 20st.C, je přes den dvakrát tepleji než v noci, reletivně vztaženo k počátku 0st.C. No a toto je tábor relativních dgx, jež berou za počátek porovnávání čas nad společnou dobu šifrování. A mají bezesporu pravdu.

    Pokud ale uvažuji, že počátek porovnávání teplot (času ) je při asolutní nule (společném začátku), pak bezesporu není zdaleka dvakrát tepleji (dvakrát rychleji). Bude to jen nepatrné procentíčko. A toto je tábor absolutních Hulánovců, a mají určitě také pravdu.

    Rozhřešení nebude.
    Všichni mají svoji pravdu.
    Nesjednotili metodiku (počátek) porovnávání.

    před 12 lety
  22. Orrorin #22

    Proč se tu mažou komentáře? Napsal jsem příspěvek, který nikoho neurážel a byl věcný (nehrál si se slovíčky jako některé jiné). Dokonce si troufám říct, že byl hodnotný. Tak proč?

    před 12 lety | reagoval [23] David Grudl
  23. David Grudl http://davidgrudl.com #23

    avatar

    #22 Orrorine, komentář jsem nesmazal, přečti si #19 David Grudl. S tvým komentářem souhlasím – proto jsem také kopíroval mnohonásobně větší objem dat, než byla velikost vyrovnávací paměti a tím eliminoval paralelní zpracování na minimum. Důkazem jsou právě naměřené rozdíly.

    před 12 lety
  24. Radek Hulán http://hulan.cz/blog/ #24

    jen pro info, právě byla vydána verze PGP 9.0.2, která podporuje i šifrování boot disku Win 2000:

    http://www.pgp.com/…/index2.html

    před 12 lety
  25. David Grudl http://davidgrudl.com #25

    avatar

    Pozor, je možné, že PGP je děravý systém. Nemám to ověřeno.

    před 10 lety
  26. martin #26

    Nedávno vyšla nová verze DCPP 3.8, která již podporuje režim spánku (hibernaci), i když máte zašifrovaný systémový disk. DCPP 3.8 mám na firemním notebooku a režim spánku stejně jako na nezašifrovaném disku.

    před 10 lety
  27. dd #27

    Funguje někomu DCPP 3.9 ve Win Vista?

    Nemohu nabootovat, hlásí to chybu toho .sys.

    před 10 lety
  28. Honza #28

    co pouzit na sifrovani boot disku pod windows xp 64-bit ?

    před 10 lety

Tento článek byl uzavřen. Už není možné k němu přidávat komentáře.