Šifrovanie WINDOWS

Šifrovanie disku s operačným systémom (Windows)

V minulom článku sme rozoberali, ako zabrániť prípadnému zneužitiu citlivých dát pri krádeži notebooku či USB kľúča umiestneniu daných citlivých dát do zašifrovaného zväzku. V prípade krádeži notebooku ale môže útočník získať niektoré citlivé údaje uložené v útrobách operačného systému (ako napr. uložené heslá prehliadačov, heslá poštových, sociálnych a IM klientov,…) V dnešnom článku si ukážeme, ako zašifrovať celý pevný disk s operačným systémom a znemožniť tak prípadnému zlodejovi zneužitie ďalších citlivých údajov.

V našom riešení budeme opäť používať program Truecrypt, ktorý pre systém MS Windows podporuje aj šifrovanie disku s operačným systémom (System Encryption). Funguje to tak, že Truecrypt zašifruje celý disk (alebo oblasť) so systémom Windows. Po zapnutí počítača budeme vyzvaní na zadanie hesla na odomknutie systémového disku. Po jeho úspešnom odomknutí sa systém spustí a beží úplne normálne, ako sme zvyknutí. Šifrovanie je plne transparentné a ani si ho neuvedomujeme.

Nastavenie šifrovania systémového disku/oblasti

• Nainštalujeme a spustíme program Truecrypt
• Z menu vyberieme System → Encrypt System Partition/Drive
• V prvom kroku zvolíme Normal a pokračujeme Next
• Systém sa nás pýta, či chceme zašifrovať len oblasť so systémom alebo celý disk. Náš notebook ale môže obsahovať skrytú oblasť, kde sú uložené obnovovacie súbory od výrobcu. Aj keď program Truecrypt automaticky zvolí lepšiu možnosť, odporúčam zvoliť Encrypt the windows system pariton pre menej skúsených užívateľov.
• V ďalšom kroku vyberieme bez ohľadu na všetko Single boot, čo znamená že náš počítač má len jeden operačný systém (aj keby mal viac, tak program urobí to isté, len vyhodí kopec upozornení) a dáme Next
• V tomto kroku vyberáme šifrovací algoritmus. Pre optimálny pomer bezpečnosť/výkon odporúčam AES a HASH algritmus RIPEMD-160 a pokračujeme kliknutím na Next
• Zvolíme heslo, ktorým budeme odomykať náš systém a dáme Next. Ak sme zvolili heslo kratšie ako 20 znakov, program nás na to upozorní otázkou, či ho chceme naozaj použiť, takže klikneme na Áno
• Teraz budeme chvíľu hýbať myšou v okne. Je to ako prísada pre generovanie hlavného kľúča. Keď už toho máme dosť, klikneme na Next. Program nám zobrazí vygenerované kľúče, pokračuje kliknutím na Next
• Chystáme sa vytvoriť záchranné CD. Toto CD obsahuje zálohu kľúčových dát s hlavičkou, zavádzača systému a pôvodného zavádzača a umožňuje dešifrovať systém v prípade, keby sa vyskytli problémy pri spúšťaní systému. Bez napálenia a overenia tohto CD nás program nepustí ďalej. Takže ho musíme napáliť. Výnimku tvorí prípad, keď truecrypt zistí, že na počítači nemáme žiadnu napaľovačku. Vtedy nám ponúkne 3 možnosti, z ktorých vyberieme tú prvú, že budeme mať ISO obraz disku uložený na vymeniteľnom médiu, ako napr. USB kľúč. Napaľovanie vo Windows 7 a Vista by nemal byť problém, keďže obidva systémy vedia napaľovať ISO obrazy. Pre napálenie obrazu v systéme Windows XP môžeme použiť jednoduchý program, ktorý nám Truecrypt ponúka – Infra Recorder.
• Keď máme disk napálený a vložený v mechanike, klikneme na Next a program ho overí. Ak mechaniku nemáme, preskočíme tento krok
• Program nám ponúka možnosť niekoľkokrát prepísať voľné miesto na disku, ktoré môže obsahovať obnoviteľné zbytky po vymazaných súboroch. Ak chceme toto voľné prepísať, vyberieme zo zoznamu možnosť, koľkonásobne ho chceme prepísať (Nikoľko, 3x, 7x, 35x). Čím viackrát bude program prepisovať, tým dlhšie to bude trvať. Ak nechceme voľné miesto prepísať, necháme vybraté None a pokračujeme Next
• Dostali sme sa ku kroku, kde program overí, či funguje šifrovanie a celý systém. Kliknutím na tlačítko Test nám program vyhodí informácie, podľa ktorých máme postupovať v prípade, že sa systém nepodarí spustiť a ponúka nám možnosť vytlačiť. Ja v tomto článku v krátkosti spomeniem prípadné problémy a riešenia a je tu tiež priestor na komentáre v prípade otázok, takže klikneme na OK. Systém sa nás pýta, či chceme počítač reštartovať, odpovieme Áno
• Po reštarte si systém pýta heslo na skúšku šifrovania. Zadáme heslo a stlačíme kláves ENTER. Ak by sme boli presvedčený o správnosti zadaného hesla a systém by ho z nejakého dôvodu nebral, stlačíme kláves ESC a systém by mal nabehnúť
• Po úspešnom vykonaní testu nám Truecrypt ponúka možnosť konečne zašifrovať obsah disku/oblasti. Upozorňuje nás však, že ak dôjde počas šifrovania k výpadku napájania alebo pádu systému (modrá obrazovka), môžeme prísť o niektoré dáta. Preto nás upozorňuje, že si máme zálohovať dôležité dáta. Keď sme pripravení, klikneme na Encrypt
• Proces šifrovania môžeme kedykoľvek bez problémov zastaviť kliknutím na Defer a kedykoľvek v ňom pokračovať voľbou z ponuky System → Resume Interrupted Process.
• Ak počas šifrovania bude nejaký program potrebovať pracovať s dátami na pevnom disku, Truecrypt počká, kým daný program urobí všetky operácie a potom bude pokračovať v šifrovaní. Počas šifrovania doporučujem nepracovať s počítačom, čo môže výrazne predĺžiť a spomaliť proces.
• Po skončení šifrovania celého disku môžeme normálne pracovať.

Dešifrovanie systémového disku/oblasti

Keby sme v budúcnosti chceli z nejakého dôvodu dešifrovať systémový disk/oblasť a obnoviť pôvodný zavádzač, môžeme tak urobiť kliknutím na ponuku System → Permanently Decrypt System Partition/Drive. Program sa nás spýta, že či naozaj chceme dešifrovať systémový disk/oblasť a potom nás upozorní, že ak sa rozhodneme pokračovať, budú na disk zapísané dešifrované dáta.

Používate operačný systém Linux a chceli by ste podobné riešenie na ochranu vašich dát? V budúcom článku sa budeme zaoberať šifrovaním koreňového (root) oddielu linuxového operačného systému použitím DM-Crypt s rozšírením LUKS (Linux Unified Key System). Takže nezmeškajte budúci článok.

Ivan Králik