TrueCrypt: šifrování pevných i přenosných disků

24.7.2008 Jan Polzer Komentáře (11) velikost textu: A A A
Před ztrátou dat se můžete bránit pravidelným zálohováním. Avšak ztráta dat s sebou nese i riziko jejich zneužití. Stačí si nechat ukrást notebook, ztratit flash disk a neštěstí je na světě. Bránit se můžete s open source programem TrueCrypt.

Stránky

TrueCrypt slouží k šifrování disků a vytváření virtuálních zabezpečených jednotek, do kterých můžete ukládat svá data. Díky silnému šifrovacímu algoritmu budou vaše dokumenty v bezpečí před zraky nenechavců. Zašifrovat tedy můžete jak skutečný disk (pevný nebo externí, flash disk atd.), tak speciální soubor, který pak slouží jako úložiště připojené pomocí virtuální diskové jednotky. Zajímavým řešením je zašifrování diskového oddílu, kde je nainstalován operační systém.

Po spuštění vám TrueCrypt nabídne seznam volných písmen pro připojení diskových jednotek. Už z toho vyplývá, že si můžete vytvořit několik různých virtuálních šifrovaných disků a používat je všechny najednou. Připojením, resp. vytvořením šifrované jednotky vás provede průvodce. Zašifrovaný disk může být skrytý, což napomůže bezpečnosti používání.

Šifrovací algoritmy, které TrueCrypt používá, jsou ve zkratce popsány přímo v průvodci. Na výběr máte z AES, Serpent, Twofish a jejich různých kombinací. K dispozici jsou také tři hašovací algoritmy. Čím silnější zabezpečení, tím je práce se šifrovaným diskem teoreticky o něco pomalejší. Současné procesory jsou však schopny rychle zpracovat takové množství dat, že byste neměli žádné zpomalení při práci se zašifrovaným diskem poznat. Doporučuji vyzkoušet benchmark obsažený přímo v TrueCrypt.

Samozřejmostí je kontrola zvoleného hesla na odolnost proti útoku brutální silou (jednoduše testování různých kombinací znaků). Místo hesla můžete použít bezpečnější soubory s klíčem. Nevýhoda je ta, že pokud tyto soubory ztratíte, nebude možné se k zašifrovaným datům dostat. TrueCrypt umí vytvořit vlastní soubor s klíčem, pro ověřování můžete použít i jakýkoli jiný. Využít lze dokonce složky s různými soubory, které pak budou spolu použity jako jediný klíč. TrueCrypt nemění jejich obsah. Zašifrovaný disk bude zformátován souborovým systémem NTFS nebo FAT, podle vašeho výběru.

Práce se šifrovanými disky

Jakmile se pokusíte o připojení virtuální nebo skutečného zašifrovaného disku, budete vyzváni k zadání hesla nebo připojení souborů s klíčem. Připojovací informace si TrueCrypt na požádání uchová v paměti, dokud počítač nevypnete. Jestliže vám jde o maximální bezpečnost, pak této možnosti nevyužívejte. Stačí nechat bez dozoru uspaný notebook a pak vám TrueCrypt nebude nic platný.

Na druhou stranu má TrueCrypt několik vlastností, které minimalizují zneužití uchovávaných přístupových informací. Pro případ, že hesla nebo klíče přeci jen necháte uložit do paměti, je tu ještě funkce po jejich ruční odstranění.

Disky lze připojovat i v režimu pouze pro čtení. Při práci s TrueCrypt můžete využít funkce pro vytvoření záchranného disku pro případ, že pracujete se zašifrovaným systémovým diskem. TrueCrypt dovede zálohovat hlavičky šifrovaných disků a nabízí i funkci pro obnovu z těchto záloh.

Pro pohodlnou práci se šifrovanými disky a vlastně pro to, aby použití TrueCrypt mělo nějaký praktický smysl, doporučuji zapnutí jeho startu hned po přihlášení do systému a případně automatické připojení vybraných jednotek. Na zmíněné situace s notebookem je TrueCrypt připraven tak, že okamžitě po odhlášení uživatele nebo přechodu do úsporného režimu disky odpojí. Totéž můžete nastavit při spuštění spořiče obrazovky. Při automatickém odpojování dojde i ke smazání přístupových informací uchovaných v paměti - tedy pokud to nezměníte v nastavení programu.

Instalace češtiny

Open source program TrueCrypt se standardně instaluje pouze s anglickým rozhraním. K dispozici je i český překlad, který je však na webu programu označen jako nekompletní. Pokud jej i tak chcete vyzkoušet, klepněte po spuštění TrueCrypt do nabídky Settings|Language a v novém okně pak na odkaz Download Language Pack. Budete přesměrováni na webovou stránku, kde si češtinu stáhnete.

Nyní vypněte TrueCrypt (pravým tlačítkem myši na ikonku v systémové liště, funkce Exit) a obsah staženého balíčku s překladem nakopírujte do složky programu, typicky C:\Program Files\TrueCrypt (na Windows Vista 64bit zřejmě C:\Program Files (x86)\TrueCrypt). Znovu TrueCrypt spusťte, požijte nabídku Settings|Language a v okně si vyberte češtinu - tedy pokud se vám z nějakého důvodu neaktivovala automaticky.

Problémy s pamětí?

Při instalaci TrueCrypt je doporučeno vypnutí stránkovacího souboru Windows, neboť jsou v něm uloženy citlivé informace z operační paměti. Pokud tak učiníte, počítejte s tím, že se váš systém může začít chovat nestabilně. Ověřeno na počítači s Windows Vista, který po tomto nastavení začal mít problémy s překreslováním a neustále požadoval ukončení programů kvůli nedostatku volné operační paměti.

Až na tento drobný problém, který lze vyřešit tím, že při instalaci TrueCrypt jednoduše odstraníte zatrhovátko u volby pro vypnutí stránkovacího souboru (paging file), pracuje TrueCrypt v prostředí Windows bez problémů.

Stránky

Související články

Ukládejte svá data bezpečně
Ukládejte svá data bezpečně
6. 7. 2011 Komentáře (0)
Reklama
Diskuze Přidat komentář E-mail Tisk Oblíbené

Komentáře

24. Červenec 2008 - 20:22 od jan

Díky za skvělý článek i s názorným příkladem! :-) Výhledově bych určitě uvítal i návod na bezpečné šifrování pevného disku (ev. zálohy na externím pevném disku). Ještě jednou díky!

25. Červenec 2008 - 8:36 od Návštěvník (neověřeno)

EFS nad NTFS nestačí?

27. Červenec 2008 - 16:44 od pepak

EFS zrovna dvakrát bezpečný není, z několika důvodů:

- Pokud vím, neexistuje žádný nezávislý audit, který by vyhodnotil kvalitu implementace (proč na tom záleží - viz tento článek o nejrůznějších chybných implementacích dnes už prolomené šifry RC4, které nicméně jsou a budou aktuální i pro implementace zatím neprolomených šifer: http://underhanded.xcott.com/?page_id=9 0).

- Šifra samotná používá silný klíč, ale tento klíč je chráněn přihlašovacím heslem do Windows, jehož síla je nejistá (starší implementace byly vysloveně slabé, nové už jsou snad v pořádku, ale rainbow tables pro ni jsou snad nejkompletnější existující, což v součinnosti s tendencí uživatelů používat slabá hesla činí praktický útok velmi reálným).

- Poněkud problematické jsou recovery scénáře (což mimochodem platí i pro Bitlocker) - sice existují, ale jsou hodně těžkopádné a náchylné k potížím. Takže se docela dobře může stát, že drobná chybka v souborovém systému zlikviduje všechna šifrovaná data...

25. Červenec 2008 - 16:06 od Návštěvník (neověřeno)

Jen dodatek: Pro používání TrueCryptu, resp. jeho instalaci, musí být uživatel administrátorem. Bez admin. práv nelze nainstalovat a tedy a ni použít. Rovněž nelze usb disk použít bez toho, aby byl TruCrypt na daném počítači nainstalován = pro přenášení dat mezi dvěma počítači jde o jedno z neljepších řešení, ale pro toho, kdo má na USB disku "celou kancelář" a využívá např. internetových kaváren, tak pro toho tenhle program není.

27. Červenec 2008 - 10:00 od -JK-

Rovněž nelze usb disk použít bez toho, aby byl TruCrypt na daném počítači nainstalován
To není pravdou, při použití "traveller mode" se na USB nainstaluje plně funkční kopie Truecryptu, pomocí které lze zašifrovanou oblast flash disku normálně otevřít.

Jen dodatek: Pro používání TrueCryptu, resp. jeho instalaci, musí být uživatel administrátorem. Bez admin. práv nelze nainstalovat a tedy a ni použít.
K instalaci admin. práva potřeba jsou a je to i logické, ale tím to končí. Používat lze i pod běžným uživatelem.
Což ale neplatí u traveller, tam ty práva potřeba jsou.

27. Červenec 2008 - 16:54 od pepak

Ke článku:

- Formulace "Zašifrovat tedy můžete jak skutečný disk (pevný nebo externí, flash disk atd.), tak speciální soubor, který pak slouží jako úložiště připojené pomocí virtuální diskové jednotky" by chtěla předělat. Takhle je to poněkud matoucí pro člověka, který TC nezná. Co třeba něco jako: "TrueCrypt používá pro ukládání dat speciální šifrované kontejnery. Kontejnerem může být celý disk, jednotlivá partition nebo i obyčejný soubor. ..."

- Tvrzení "Čím silnější zabezpečení, tím je práce se šifrovaným diskem teoreticky o něco pomalejší" bych označil za nesmysl. Všechny nabízené šifry jsou silné (při současném stavu znalostí a/nebo bez naprosto zásadního převratu v technologiích neprolomitelné) a nedá se říct, že by pomalejší (nejspíš Serpent) byla bezpečnější než rychlejší (nejspíš Rijndael/AES). Pokud už se bavit o tom, co je a není bezpečnější, tak leda v souvislosti s "velikostí kaskády", ale ani tady nemusí rychlost být v rozporu s bezpečností (třeba na mém počítači je kaskáda AES-Twofish rychlejší než samotný Serpent).

- Ten benchmark mimochodem nebere ohled na rychlost média, se kterým se pracuje, a počítá jenom s šifrováním v paměti. Což pak vede k mírně zavádějícím výsledkům.

9. Květen 2009 - 19:20 od Návštěvník (neověřeno)

Ahoj, potřeboval bych poradit.
S něčím jsem si poradil, ale nevím jak dál.
Mám dva disky. Jeden je rozdělen na tři oddíly C,D,E, druhý na dva F,G.
C je bootovací s Win XP. Na všech oddílech je toho hodně nainstalováno. Nic není prázdné.
Nainstaloval jsem TrueCrypt 6.1a, vypálil záchranné CD, při instalaci jsem chtěl, aby se zašifroval celý disk (C,D,E), ale nějak se mi podařilo jen systémové C (když jsem chtěl celý disk, tak to něco psalo moc jsem tomu nerozumněl a tak jsem udělal jen C a doufal, že to došifruju později). Počítač jsem restartoval, všechno OK naběhlo. Dal jsem zašifrovat oddíl C. Také OK (trvalo to asi hodinu).
A teď nevím, jak dál. Jak se dají zašifrovat D a E a celý druhý disk s F a G? Prostě na to jsem nepřišel. Když spustím TrueCrypt tak mi to nabízí písmena disků, které nemám (kromě C).
Může mi někdo trochu podrobněji vysvětlit, jak ten druhý disk (F,G) zašifrovat?
To se musí vytvořit nějaký prázdný virtuální disk s dvěma oddíly, třeba R a S? A do něj pak nasypat obsah z F a G? Nojo, mě se ale ten virtuální nikam nevejde, to by bylo dost nešikovné, to asi ne. Mám už všechno dost zaplněno daty a nedovedu si představit vytvoření nového virtuálního disku o velikosti třeba 100GB. A nebo špatně uvažuju a je všechno úplně jinak a dělá se to jinak?
Můžete mi prosím někdo poradit, jak zašifrovat všechno? Sem nebo na mail "fpok()post.cz". Děkuji.

12. Říjen 2009 - 14:49 od Noah (neověřeno)

No co jsem vycetl truecrypt si chce oddil sam naformatovat,takze bud vykopirovat data jinam a pak je vratit.Snad jsem to dobre pochopil,je to velice neprakticke.To me odrazuje pouzit tenhle soft.Mit plnou 500 disk a kopirovat data pryc je totalni blobst :))

28. Červen 2009 - 12:35 od Rick

Zdravím, zamkol som si USB flashdisk. Po pripojení USB k PC vyberiem písmeno (oddiel), dám pripojiť, zadám heslo, a je to. Ale potom pri prezeraní USB kľúča v TC mi to v nej ukazuje zložkú Recykled a všelijaké súbory. Potom som naňho nakopíroval jeden súbor - po odpojení a následnom pripojení spať, tam už ten súbor nebol. Myslím, že tohto TrueCryptu už mám dosť. Ako by sa dala odstrániť táto ochrana heslom ?! Toto šifrovanie ? Dalo by sa to spraviť len jednoduchým formátovaním flashdisku ?
Diky za akúkoľvek pomoc :)

23. Červenec 2009 - 8:13 od Návštěvník (neověřeno)

nevite nekdo jak v truecryptu vytvorit sifrovane vypalene cd,dvd ?
dik

24. Únor 2010 - 12:19 od xEdax (neověřeno)

Nechápu proč truecrypt neumí všechny disky zašifrovat tím stylem jako dokáže šifrovat systémový disk. Proč je třeba něco vytvářet a připojovat? Když se zašifruje systémový disk(oddíl) také se nic nepřipojuje extra, ale automaticky se startem windows. Program PGP to umí tak, že není třeba vytvářet kontejner nebo formátovat disk čímž přijdu o všechna data na dotyčném oddíle, pokud však chci vytvoří kontejner, který se připojí podobně jako v truecryptu.

Přidat komentář

Reklama