Ceníte si dat na svém disku? A tušíte, jak snadno se k nim může dostat někdo cizí?
Pokud vlastníte notebook, stačí chvilka nepozornosti a ukradnou vám ho. Mohou se vloupat do bytu nebo kanceláře a dostat se ke stolním počítačům. Nebo vám zcizí data „legální“ cestou – počítač zabaví exekutor kvůli nezaplacené splátce, nebo policie v rámci vyšetřování. A že jsou pak data v bezpečí, přístupné jen nepodplatitelným policejním expertům? Haha, hehehe, LOL, ROTFL 🙂 Máte-li na Policii ty správné známosti, stačí naprášit konkurenci, že používá kradený software, a večer už sjíždíte jejich harddisky.
pozn. pro Policii: to je samozřejmě čirá fantazie (mrk), něco takového se v naší zemi stát nemůže, tento příklad byl zasazen do Číny nebo Běloruska.
Šifrujeme celý disk
Existuje celá řada programů, které šifrují data na bázi virtuálního disku. Ten se navenek jeví jako běžný disk, obsah je však uložen (zašifrovaný!) v jediném souboru. S virtuálním diskem lze pracovat jako se skutečným, můžete kopírovat soubory, instalovat aplikace, formátovat. Disk se však musí nejprve připojit (po zadání hesla) a poté jej můžete zase odpojit.
Právě připojení disku je limitujícím faktorem jeho užití. Abychom jej mohli připojit, musíme mít nastartovaný operační systém. Tedy nelze šifrovat bootovací disk.
Šifrujeme „céčko“
První (a zřejmě nejlepší) software pro šifrování celých disků nabídla firma SecurStar a jmenuje se DriveCrypt Plus Pack (DCPP). Narozdíl od virtuální disků, tento skutečně fyzicky zašifruje celý disk nebo partition.
Jak DCPP funguje? Při spuštění počítače si načte „ze začátku“ harddisku (de)šifrovací rutiny a požádá o zadání hesla. Teprve pomocí platného hesla dešifruje další části disku a bootování může pokračovat. Zkrátka: po načtení jakýchkoliv dat z disku program tyto dešifruje a naopak před zápisem na disk data zašifruje. Tedy nikdy nedojde k situaci, že by disk obsahoval nějaká nekryptovaná data.
Program podporuje DOS, Windows 2000 a Windows XP. Zřejmě není možné vytvořit ovladač pro starší verze Windows, který by zpracoval přímé přístupy na disk.
Pro případ nouze se k programu dodává utilitka (pro DOS), která umí disk dekryptovat. Samozřejmě po zadání správného hesla – bez něj jste … víte kde 🙂
Jak mi to zpomalí počítač?
Je jasné, že celá tahle sranda bude mít nějakou režii. Jsem ochoten pro dobrou věc jisté zpomalení tolerovat, ale musí být únosné, že. Proto jsem provedl měření – nabootoval jsem počítač bez DCPP a s ním. Měřil jsem od okamžiku odklepnutí hesla až po poslední spouštěný program. A teď se podržte: zpomalení 0%. Musel jsem se podívat na fyzický obsah disku, abych se přesvědčil, že šifrování vůbec pracuje.
Při měření benchmarkem jsem sice zaznamenal zpomalení asi o 30%, ale to mě spíš vedlo k zamyšlení, jak málo tyto testy odpovídají realitě.
No nekup to!
Pokud už máte ve druhém okně otevřenou Astalavistu a hledáte crack, tak ji zase hezky zavřete. Neoriginální program používá slabou šifru, kterou lze „snadno“ prolomit. Takže jedině s plnou verzí si vychutnáte sílu 256 bitové šifry.
Závěrem
Nevím, jak na šifrování údajů nahlíží náš právní řád. Nicméně program nabízí jednu úžasnou vychytávku (neprozradím), která tyto případné problémy téměř eliminuje.
S obdobným řešením nedávno přišlo i PGP a jmenuje se PGP Whole Disk. DCPP mi však přijde mnohem šikovnější.
Pokud Vaše data mají vyšší hodnotu než EUR 125, s koupí neváhejte.
viz pokračování
Komentáře
Kalata #1
By mě zajímalo jak je to v případě takto zašifrovaného disku s policií. Tedy někdo mě napráší, že používám nelegální soft (téměř vždy se něco najde), policie zabaví důkazy – počítač. A teď zjistí, že je zašifrovaný. Musím vydat heslo? Nebo jak by to proběhlo.
Radek Hulán #2
#1 Kalato, heslo jsi zapomněl.. ;)
Davide – ten PGP ale umí nejen šifrovat bootovací disk, ale i ZIP soubory, a také poštu, prostě toho umí mnohem více, a navíc stojí €69, takže podstatně méně než DCPP.
Na DCPP jsem koukal taky, ale PGP je prostě vzhledem k ceně lepší.
David Grudl #3
#1 Kalato, ani nepoznáš, že DCPP nějaké heslo chce. Tváří se, že disk neobsahuje systém a můžeš nadávat policajtům, že ti ho zničili 🙂
Jak říká #2 Radek Hulán, heslo můžeš zapomenout. Někdy tě ale mohou vyslýchat i osoby, které pro osvěžení paměti použijí třeba sekáček na maso – pak se bude hodit „fingovaný“ operační systémem, do kterého se nabootuje po zadání speciálního špatného hesla.
Zkrátka u SecurStarů mysleli na vše, tohle PGP neumí.
#2 Radku Huláne, Ano, PGP má širší záběr a sám jsem jeho spokojeným uživatelem. Pro šifrování emailů a jednotlivých souborů stačí bezplatná verze, tady se těžko konkuruje 🙂 Nicméně v úzkém oboru šifrování celých disku on-fly pro mě vede DCPP.
Jen otázka – má PGP pořešenou situaci, kdy v půlce (de)šifrování disku vypadne proud?
hvge #4
Hmm.. Ja pouzivam nativne sifrovanie v NTFS (win2k/xp) a som celkom spokojny. Da sa nastavit per subor / adresar, takze mam sifrovane iba veci, ktore naozaj sifrovane byt musia. Jedinou nevyhodou je fakt, ze utocnik sa dostane k menam suborov (vie zobrazit zasifrovany adresar)…
rony #5
ja som na archivaciu pouzival taku malu fintu, ktora uz dnes moc nefunguje: vadilo mi, ze aj zasifrovany archiv vedel vypisat zoznam suborov, tak som to vzdy zbalil dvojmo, takze prvy balik po zobrazeni zoznamu suborov iba zobrazil v nom vlozeny dalsi archiv. Bohuzial po genialnom objave rekurzie uz tato finta nema vyznam 😉
Pred rokmi, ked maximom vykonu bola 286tka sa pre on-fly vyrabali ISA karty na sifrovanie obsahu disku. Ona sa proste vopchala do biosu a pred nacitanim/zapisom na disk vsetko sifrovala. Pekne na tom bolo to, ze karta sa tvarila ako bezny radic (jo vtedy boli radice diskov extra karty), co moze uniknut pozornosti 😉
David Grudl #6
#4 hvge, vyzkoušej Advanced EFS Data Recovery, tvrdí, že to umí „instantly“ dekryptovat.
#5 rony, chránit názvy souborů v archívu dnes už umí RAR, je to dobrá věc.
Pavel F. #7
Jak už ostatní zmínili, PGP zvládá šifrovat i bootovací disk. Já sám toho využívám, je to pro mne mnohem pohodlnější, než mít virtuální disk, kde furt něco přesouvám mezi klasickým diskem a virtuálním. Takhle vím, že mám šifrované vše a nemusím se o nic starat.
Michal #8
A co, mnou oblíbený, Truecrypt ? Myslím že taky není špatný? Šifruju s ím celou jednu 30GB partišnu
Jakub Vrána #9
O šifrování dat na disku nedávno psal i Radek Hulán: https://web.archive.org/…dat-na-disku (to je jiný článek než ten o PGP, který už je odkazován).
I tam jsem se v diskuzi pozastavoval nad tím (ale názor nebyl publikován), proč prostě nepoužít vestavěné šifrování Windows XP. Stejně typicky nechci šifrovat celý disk, ale jen adresář s tajnými daty, takže to, že např. adresář Windows celý zašifrovat nejde, ničemu nevadí.
Odkazovaný program sice dešifruje data instantly, ale pouze v případě znalosti hesla. Při neznalosti hesla si ve Windows XP ani neškrtne:
xert #10
Ja na stanici pouzivam GBDE. Zpomaleni (pokud vubec nejake) je nemeritelne. Funguje velice spolehlive a navic je zadarmo.
Keff #11
Rad bych se zeptal problematiky znalych, pokud o tom neco vite, venovali byste mi prosim minutku?
Diky vsem za vas cas, tohle jsou otazky ktere ve svam faq asi zadny vyrobce sifrovacich sw nema (ale zato je tam plno kecu o absolutni ochrane :)).
Bochi #12
#3 Davide Grudle, Je ta metoda s „falešným“ OS zmíněná v druhém odstavci to, co jsi nechtěl prozradit? 😉 Moc chytrá finta…
Šifrování dat uvedeným způsobem je sice hezká věc, ale důvodem, proč jsem se k němu dosud neodhodlal, je problém, který tu ještě nikdo nezmínil – jak se řeší obnova dat při havárii disku? Nemusí jít jen o přepsání boot sektoru, jak zmiňuje #11 Keff, ale může dojít např. k fyzickému poškození části povrchu disku.
U disku nešifrovaného bývá šance obnovit soubory ležící mimo zničenou oblast, jak je to ale v případě, že disk obsahuje jediný obrovský zašifrovaný soubor? Ptám se možná trochu hloupě, protože nevím, jak konkrétně zmíněné programy přesně pracují, ale hádám, že to může být dost velký problém.
Radek Hulán #13
#12 Bochi, to šifrování boot disku je na úrovni SEKTORU, maximálně přijdeš o sektor, nikdy ne o všechna data. Pokud se ti pokazí master boot sektor, nabootuješ z diskety a po zadání hesla to normálně jede..
Arg #14
Docela by me zajimalo, jestli si to rozumí i s linuxem. Ikdyz do nej uz je asi neco open-source(v linuxu se moc nevyznam ale planuju ze to brzo zmenim tak abych nevyhodil ty prachy zbytecne ;)).
David Grudl #15
Ještě ke srovnání PGP a DCPP
#11 Keffe, Po instalaci se Ti vygeneruje disketa, kde je program na obnovu Master Boot Recordu a také dekryptovač celého disku. Ztráta dat tedy nehrozí. Obojí je otestované, kamarádovi to už zachránilo život 🙂
Na dalším používání se nic nemění. Tedy stále má smysl defragmentovat atd.
#9 Jakube Vráno, aha, je to psané v Requirements. Pro uživatele Windows 2000 je to však mnohem benevolentnější. Jo, nevíš co se stane, pokud o systém přijdu (virus?) a musím nainstalovat čistý OS – dostanu se k zašifrovaným datům?
#12 Bochi, „falešný OS“ je fajn vychytávka, kterou snad nikdy nebudu potřebovat ;) V článku jsem měl na mysli něco jiného…
pykaso #16
Osobne se mi take vice zamplouva DCPP .. ale ma penezenka ma sklony k PGP. Preci jenom neuchovavam tolik citlivych dat, takze mi zatim staci free verze PGP.
Jan Brašna #17
Já jsem se nikdy k šifrování disku neodhodlal, protože jsem paranoidní (bojím se i NTFS na W32/PC) vzhledem k možné obnově dat po havárii – párkrát jsem si to už okusil a při představě rekonstrukce zašifrovaného disku nebo nějakého robustnějšího FS mi běhá mráz po zádech… :(
rarous #18
a co hardwarové šifrování, disk přečteš pouze ve svém notebooku, do něho se dostaneš pouze přes heslo, na to máš tři pokusy…
Arg #19
A jakej je rozdil mezi plus veri a nonplus verzi? teda krome ceny :)))
David Grudl #20
Čtenář má dost indícií se rozhodnout, který soft použije. Já myslím, že je to vcelku jedno. Sám jsem DCPP začal používat, neboť dříve nic jiného neexistovalo a v současnosti nevidím jediný důvod, proč přecházet na PGP. Naopak – ani by to nešlo (mám w2k) a o jednu skvělou funkci bych přišel.
#19 Argu,
#16 pykaso, Přes internet jsem si zatím slevu vždycky ukecal 🙂 Dokonce i u Corelu 🙂
pykaso #21
No tak to jses dobrej 🙂 Momentalne to resim tak, ze mam sifrovany usb flash disk na ktery si ukladam hesla (desitky hesel, ktera si nejsem schopen zapamatovat) a vsechny citlive data.
Toto reseni mi zatim vyhovuje, protoze muzu prenaset tyto data mezi pocitaci doma a pracovnim notebookem.
Keff #22
#15 Davide Grudle, Diky, uklidnil jsi me:). Napsal jsem si panum z DCPP a odpovedeli stejne:
The data will still be OK, but if the MBR is overwritten you won't be able to boot to the encrypted system (except with an ER disk).
If the power shuts down during writint to an encrypted volume you shouldn't experience any problems.
Also you can defragment and check the disk.
anicka #23
Na Linuxu mame CryptoFS – free a spolehlive, ale pokud vim, nejde tim sifrovat korenovy adresar
jack #24
Mam Windows XP embedded ktory bootuje z USB-FLASH disku. Potreboval by som ho zasifrovat. :)) Vedel by si DriveCrypt poradit aj z bootovanim z USB disku alebo aky ja navod na to ako to spravit. Vdaka za odpoved…
Milka #25
Stalo se vám, jako kupujícímu tohoto produktu, že po vás po koupi chtěli scan pasu, i když platba kartou v pořádku prošla?
Díky!
Jindra #26
Milka: Patent- ověřování totožnosti.
Roman #27
Zdravim,chtel bych se zeptat jestli nekdo mate zkusenosti pri zasifrovani systemoveho disku s pre-boot overenim pres token.Trapim se s tim uz hodne dlouho,proste token je pri bootovani uplne ignorovan,vyzkousel jsem DCPP,Bestcrypt..pokazde stejne,uz si s tim nevim rady.
Tento článek byl uzavřen. Už není možné k němu přidávat komentáře.