Šifrování tajných dat na disku. Podrobný návod pro vás

Chránit citlivá data na pevném disku počítače či externích médiích je dnes už prakticky nutnost. Naučte se i vy šifrovat soubory, o kterých by nikdo nepovolaný neměl nic vědět.

V ochraně citlivých dokumentů, osobních fotografií, videosnímků anebo firemních materiálů nám pomůže bezplatný opensourcový nástroj TrueCrypt, který jsme si trošku představili v článku minulý týden. (Chraňte obsah disku před nezvanými hosty. Zašifrujte jej!) Už víme, co dokáže i jak data chrání. Dnes si ukážeme, jak přesně s programem pracovat. Čtenáři snad pomůže i řada přiložených obrázků.

Čtěte také: Kdo vám nejvíce narušuje soukromí?

Pamatujte však, že při ztrátě hesla, které použijete k šifrování dat či celého systému, nemáte žádnou šanci se ke svým souborů dostat. Ztracené heslo nelze nijak získat zpátky, nikam se neukládá a není možné jej obnovit ani nijak resetovat. Kdyby to bylo možné, celý program TrueCrypt by ztratil smysl. 

Čeština

Prvním nezbytným krokem pro většinu českých uživatelů bude TrueCrypt naučit česky. Bohužel čeština není přímo v instalačním souboru. Dá se ale snadno doinstalovat.

Samotný TrueCrypt si stáhněte odtud a češtinu najdete na tomto odkaze. Bohužel program není přeložený celý, některé fráze jsou stále anglicky. Takových míst je však málo a neměla by práci ztěžovat ani začátečníkům.

Nainstalujte TrueCrypt a rozbalte archiv s češtinou. Buď přímo do hlavní složky, v níž je TrueCrypt uložen (ve Windows standardně C:Program FilesTrueCrypt), nebo někam libovolně na disk a soubor Language.cs.xml zkopírujte do uvedené složky.

Češtinu ještě musíte aktivovat, což provedete v hlavním okně programu výběrem Settings | Language. Toť vše. 

Kontejner aneb virtuální pevný disk

V okně programu vidíte seznam disků, které můžete vytvořit v šifrované podobě. V praxi to znamená, že jednou z možností šifrování dokumentů je vytvoření tzv. kontejneru. Jde vlastně o speciální soubor, do kterého budete ukládat cenná data. Celý šifrovaný kontejner se svým obsahem se pak k Windows připojí jako nový disk. 

Postupně zvolte Vytvořit svazek a Create an encrypted file container (Vytvořit šifrovaný kontejner), což je první možnost v šifrování dat (vidíte i další možnosti, ale ty nás v tuto chvíli nezajímají). 

Na výběr pak dostanete, zda vytvořený kontejner má být viditelný, nebo neviditelný (což se hodí v případě, že jste nuceni vyzradit heslo). Nyní zvolme první možnost a  dostáváme se k umístění svazku. Možná bude leckoho mást, že TrueCrypt si zažádá o cestu k souboru, který ještě neexistuje. Nicméně ničeho se nelekejte, tlačítkem „Vybrat soubor“ vyberte složku, do které chcete kontejner umístit, a do políčka „Název souboru“ zadejte název kontejneru, který právě vytváříte.

Vytvoření kontejneru v zadaném adresáři. Zde byl na disku C vytvořen adresář Crypt a do něj uložíme kontejner, třeba pojmenovaný jako tc.

Následuje výběr šifrovacího algoritmu. Jak víme z minula, dostupné jsou tři algoritmy a pět jejich kaskád. Stejně tak jsme viděli, že nejrychlejším algoritmem je AES, takže jej nyní použijeme (ostatně při výběru si můžete sami otestovat, jak je který algoritmus rychlý, kliknutím na Test rychlosti).

 

V dalším kroku si navolíte, jak velký má kontejner být (můžete pak i nastavit, aby vytvořený šifrovaný svazek měl dynamickou velikost, tj. s přidanými daty se bude zvětšovat ― zadaná velikost je pak maximální velikost svazku, do které kontejner může narůst). 

Na řadu přichází volba hesla. Zde byste měli být obezřetní, protože čím kratší a jednodušší heslo zvolíte, tím snadněji se dá případně prolomit hrubou silou. Na to vás ostatně i s vysvětlením upozorní sám TrueCrypt. 

Nepoužívejte krátká hesla, chcete-li si být zabezpečením jisti.

Pak si zvolte, jaký formát má virtuální disk (kontejner) mít (NTFS, FAT32, žádný). Klikněte na tlačítko Formátovat a vyčkejte, než se zvolená operace provede (v žádném případě nemějte strach o data na disku, těch se formátování netýká).

 

V hlavním okně programu dále budete muset vytvořenému svazku přiřadit nějaké písmenko disku, pod kterým se připojí k Windows. Pravým tlačítkem vyberte písmeno a zvolte Select File and Mount (Vybrat soubor a připojit). Vyberte vytvořený kontejner, TrueCrypt vás vyzve k zadání hesla ― po chvíli se disk připojí a vy jej můžete vidět ve složce Tento počítač mezi ostatními disky.

 

Nyní s virtuálním šifrovaným diskem můžete normálně pracovat: kopírovat do něj důvěrné dokumenty, upravovat je, vytvářet nové apod. Po odhlášení ze systému či jeho restartování se šifrovaný disk automaticky odpojí. Nehrozí tedy, že by někdo k jeho obsahu měl přístup ― kontejner při dalším přihlášení budete muset opět připojit právě zmíněným způsobem. Ale dávejte pozor: pokud se vzdálíte od počítače, jen vypnutí programu TrueCrypt nestačí, šifrovaný kontejner musíte odpojit pomocí odpovídajícího tlačítka. Jinak k vašim datům bude mít přístup úplně každý.

Zabezpečený virtuální disk můžete jako obyčejný jiný soubor libovolně přenášet, mazat, zálohovat na externí média či nahrát na internet (pro někoho dalšího, kdo s vámi na něčem spolupracuje). Vaše dokumenty budou přitom stále v bezpečí, jen dbejte na sílu hesla.

Skrytý šifrovaný disk

Na začátku návodu jsme se zmínili o možnosti vytvoření skrytého šifrovaného disku. Ten se hodí v případě, že vás někdo nutí prozradit heslo k vašim tajným dokumentům. Skrytý kontejner vám z těchto nepříjemností pomůže. 

V takovém případě v prvním kroku zvolte vytvoření skrytého svazku, vyberte Normální mód a při vytvoření kontejneru postupujte jako v případě výše. Pak si nastavíte volby pro vnější svazek (vnitřní skrytý svazek bude posléze do něj přidán), jak jsme si řekli výše (tj. šifrovací algoritmus, velikost, heslo, souborový systém, formátování). 

Po dokončení procesu se vytvoří virtuální disk Z, který se automaticky připojí k Windows. Teď pozor. Tento disk vlastně slouží jen pro zmatení nepřítele: nakopírujte do něj nějaké soubory, které vypadají jako tajné a důležité, třeba nějaké materiály s fiktivními daty. Po vyzrazení hesla bude mít dotyčný pocit, že nad vámi vyhrál a vaše dokumenty získal, ale přitom ty opravdu důležité budou skryté o něco hlouběji.  

Po nakopírování smyšlených tajných dokumentů pokračujte v nastavení programu TrueCrypt, klikněte na tlačítko Další a nastavte parametry jako předtím (tj. nový šifrovací algoritmus, velikost, atd.) Zde však musíte pro skrytý svazek vymyslet zcela nové heslo, jiné než má vnější, „falešný“, kontejner. 

Po vytvoření skrytého vnořeného svazku můžete s tajnými daty začít pracovat. Dávejte však pozor: do vnějšího svazku s fiktivními tajnými dokumenty již nic nekopírujte, nezapisujte do něj, jinak by mohlo dojít k poškození svazku vnořeného. 

Fígl je v tom, že donutí-li vás někdo heslo prozradit, vy mu sdělíte heslo vnějšího svazku. Tím pádem se takovému člověku při připojení disku zobrazí obsah vnější slupky, kde jsou na-oko-tajné dokumenty. Neexistuje způsob, jak by mohl dokázat, že kontejner obsahuje ještě vnořenou část, takže druhé heslo po vás žádat nebude. O vnořené části víte jen vy a jen vy k ní máte přístup pomocí druhého hesla ― vnitřní svazek se sice připojí pod stejným písmenem, ale jeho obsah bude jiný, ten „pravý“. 

(pokračování příště)

21. 11. 2008

Autor: Oldřich Klimánek