Konrad Kowalewski 13K4 - Projekt 2 - AiBSK

Konrad Kowalewski 13K4 Stosowane rozwiązania szyfrowania systemów plików – wady i zalety poszczególnych rozwiązań na przykładzie konkretnego wybranego przez siebie narzędzia do szyfrowania całych dysków.

I. TrueCrypt 7.1a

Główne okno programu

W pierwszej części projektu postanowiłem użyć według mnie najlepszego i bezpłatnego programu do szyfrowania danych czyli TrueCrypt w wersji 7.1a. Istnieje nowsza wersja 7.2 jednak służy już ona tylko do odszyfrowania danych, bo twórcy postanowili zakończyć rozwijanie tego produktu. Projekt ten otrzymał jednak nowe życie i jest rozwijany pod nazwą VeraCrypt, ale o tym kiedy indziej. TrueCrypt jest dostępny na platformy Windows, Linux i Mac OS. Argumentami przemawiającymi za wyborem TrueCrypt było to że zapewnia on świetny poziom bezpieczeństwa i jest zupełnie darmowy. Program jest domyślnie w języku angielskim, ale dla osób słabiej radzących sobie z tym językiem istnieje spolszczenie dostępne do pobrania pod adresem: http://www.dobreprogramy.pl/TrueCrypt,Program,Windows,12855.html

TrueCrypt pozwala zaszyfrować cały dysk twardy , ale także wybrana partycje, pendrive, karte SD, folder a nawet pojedyncze pliki. Posiada kilka silnych algorytmów szyfrowania min.: AES-256, Serpent i TwoFisch. Możliwe jest też użycie ich kombinacji co jeszcze bardziej zwiększa poziom bezpieczeństwa danych. Przy użyciu skomplikowanego algorytmu szyfrowania możemy odczuć różnice w szybkości działania komputera. Szczególnie na starych, wolnych dyskach i przy małej mocy obliczeniowej procesora, jednak w dzisiejszych czasach i przy obecnej ‘mocy’ przeciętnego sprzętu komputerowego różnice te są praktycznie niezauważalne. Istotną zaletą jest możliwość zabezpieczenia systemu ( wraz w plikami ) na hasło. Cały proces szyfrowania/deszyfrowania jest niewidoczny i wykonywany w ‘locie’. Autorzy stworzyli również moduł o nazwie TrueCrypt Rescue Disk, daje on nam możliwość utworzenia dysku ratunkowego, który zabezpieczy nas na wypadek zapomnienia hasła, uszkodzenia bootloadera itp. Warto zauważyć że w wypadku gdy zapomnimy hasła i nie posiadamy dysku ratunkowego dostęp do plików nie będzie możliwy w żaden inny sposób, czyli stracimy nasze dane na zawsze!

Zajmiemy się teraz praktycznym wykorzystaniem TrueCrypt i zaszyfrujemy cały dysk systemowy.

1. Uruchamiamy TrueCrypt, wybieramy System -> Szyfruj partycje/dysk systemowy…

2. Wybieramy Normalny i klikamy Dalej >

3. Wybieramy Zaszyfruj cały dysk i klikamy Dalej > Wybrałem zaszyfrowanie całego dysku ponieważ zabezpieczę w ten sposób wszystkie dane ze wszystkich partycji na dysku, wybranie opcji pierwszej spowodowało by zaszyfrowanie tylko partycji na której zainstalowany jest system.

4. Wybieramy NIE i klikamy Dalej >

5. Wybieramy zgodnie ze stanem faktycznym, w moim wypadku wybieram Jeden system, i klikamy Dalej >

6. Wybieramy interesujący nas algorytm którym zaszyfrujemy nasz dysk twardy i klikamy Dalej >. Warto najpierw jednak skorzystać z opcji Benchmark i sprawdzić szybkość szyfrowania dla poszczególnych algorytmów.

7. W przypadku mojego sprzętu najszybszy jest algorytm AES i dlatego mój wybór padł na niego.

8. Wpisujemy dwukrotnie nasze hasło, i klikamy Dalej >

Należy pamiętać żeby hasło nie było zbyt łatwe, ale zarazem takie byśmy go nie zapomnieli !!!

9. Wybieramy TAK.

10 . Poruszamy myszką w tym oknie losując pule losowych danych a następnie klikamy Dalej >. Wylosowane dane posłużą do wygenerowania klucza szyfrującego, sposób ten daje dużą unikatowość klucza szyfrującego.

11. Widzimy wygenerowany klucz, klikamy Dalej >

12. Tworzymy płytę ratunkową, klikamy Przeglądaj i wybieramy lokalizacje w której chcemy zapisać obraz .ISO płyty ratunkowej, klikamy Dalej >.

13. Klikamy OK.

UWAGA : Dopóki nie wypalimy obrazu na płycie CD to nie przejdziemy do następnego punktu kreatora. Jeśli nie posiadamy nagrywarki CD/DVD ( tak jak to ma miejsce w moim przypadku ) możemy użyć programu DAEMON TOOLS i zamontować wczesniej zapisany obraz .ISO w wirtualnym napędzie a następnie kliknąć DALEJ > w celu weryfikacji.

14. Klikamy Dalej >.

15. Wybieramy tryb BRAK ( najszybszy ) i klikamy Dalej >. Wybranie innej opcji ma sens tylko wtedy gdy w przeszłości na dysku mieliśmy wrażliwe dane które zostały usunięte i chcielibyśmy je BEZPOWROTNIE usunąć, trwa to bardzo długo.

16. Wybieramy TEST.

17. Wybieramy TAK.

18. Wybieramy TAK.

19. Po ponownym włączeniu wyskakuje nam takie okno, wpisujemy podane wcześniej hasło i klikamy ENTER.

20. Po załadowaniu systemu wyskakuje nam potwierdzenie pomyślnego przejścia testu , wybieramy Zaszyfruj.

21. Szyfrowanie dysku rozpoczęło się, możemy odłożyć ten proces na później klikając Opóznij. Podczas szyfrowania komputer działa normalnie i można z niego korzystać w dotychczasowy sposób.

22. Po ukończeniu procesu szyfrowania zobaczymy powyższy komunikat. Dysk jest zaszyfrowany a nasze dane bezpieczne.

Proces usuwania szyfrowania/deszyfrowania dysku twardego wygląda następująco:

23. Uruchamiamy TrueCrypt, wybieramy System -> Trwale odszyfruj partycję/dysk systemowy

24. Wybieramy TAK.

25. Wybieramy TAK.

26. Deszyfrowanie dysku rozpoczęło się, możemy odłożyć ten proces na później klikając Opóznij. Podczas deszyfrowania komputer działa normalnie i można z niego korzystać w dotychczasowy sposób.

27. Po ukończeniu procesu deszyfrowania zobaczymy powyższy komunikat.

II. BitLocker BitLocker jest narzędziem do szyfrowania danych dostarczanym jako funkcja razem z system operacyjnym Windows ( od Windows Vista do obecnie najnowszego Windows 10 ). To co na pierwszy rzut oka wyróżnia BitLockera od TrueCrypta to fakt że procesem szyfrowania/dostępu do danych zajmować się może układ scalony na płycie głównej nazywany Trusted Platform Module ( TPM ). Zaletą tego rozwiązania jest to że nie ma potrzeby stosowania dodatkowych kluczy/haseł poza hasłem do konta użytkownika w Windows. BitLocker oczywiście oferuje też możliwość tradycyjnego zabezpieczenia hasłem, a nawet kluczem USB. Sam proces szyfrowania w BitLockerze przeprowadzany jest przy użyciu algorytmu AES (128 lub 256 bitów), niestety nie mamy tutaj możliwości wyboru innego algorytmu, TrueCrypt pod tym względem bezkonkurencyjnie wygrywa. Przypominając TrueCrypt posiada kilka algorytmów szyfrujących do wyboru ( w tym AES ), nie wspominając już o możliwości szyfrowania np. dwoma algorytmami jednocześnie. Obecnie ( począwszy od Windows 7 ) pliki rozruchowe znajdują się na osobnej specjalnie do tego stworzonej partycji służącej tylko do rozruchu systemu. BitLocker mimo że jest dobrym i godnym polecenia programem ( funkcją ? ) nie potrafi zaszyfrować takiej partycji, natomiast TrueCrypt jest w stanie zaszyfrować omawianą partycje rozruchową ale tylko wtedy gdy pozwolisz mu zaszyfrować cały dysk systemowy ( jeśli wybierzesz szyfrowanie tylko partycji z zainstalowanym Windowsem pliki rozruchowe nie zostaną zaszyfrowane). Planowałem pokazać jak zaszyfrować dysk BitLockerem przy użyciu modułu TPM gdyż ma to w moim odczuciu jedną ogromną zaletę. W przypadku szyfrowania dysku przy użyciu hasła, musimy je wpisywać przy każdorazowym uruchomieniu komputera. Moduł TPM robi tą czynność automatycznie co znacznie ułatwia życie, a przy tym zwiększa poziom bezpieczeństwa naszych danych gdyż niemożliwe jest np. podpatrzenie hasła podczas wpisywania go z klawiatury. Ogólnie mówiąc zastosowanie TPM znacznie utrudnia przechwycenie hasła ( uzyskanie hasła = dostęp do danych) w sposób niekontrolowany. Niestety sprzęt którym dysponuje nie posiada wbudowanego na płycie głównej układu TPM, przez co jestem zmuszony skorzystać w poniższym przykładzie z tradycyjnego zabezpieczenia na hasło. Pokaże teraz jak przy użyciu BitLockera zaszyfrować zewnętrzny dysk twardy USB:

1. Wchodzimy w Panel Sterowania i wybieramy Szyfrowanie dysków funkcją BitLocker

2. Wybieramy dysk który chcemy zaszyfrować (w moim wypadku jest to dysk G ) i klikamy Włącz funkcje BitLocker

3. Wybrałem opcje Użyj hasła w celu odblokowania dysku, podaj dwukrotnie hasło które będzie służyć do odblokowywania dysku i kliknij Dalej.

4. Mamy do wyboru 3 opcje, każda jest tak samo dobra, wybór należy do Ciebie. Ja zdecydowałem się na opcje Zapisz w pliku i kliknołęm Dalej.

4a. Zawartość zapisanego pliku z punktu 4, zawiera Klucz odzyskiwania.

5. Wybieramy pierwszą opcje i klikamy Dalej.

6. Zgodnie z opisem wybieramy odpowiadający nam tryb szyfrowania, ja wybrałem Nowy tryb szyfrowania i nacisnołem Dalej.

7. Upewnij się że pamiętasz ( i nie zapomnisz! ) podanego wcześniej hasła i naciśnij Rozpocznij szyfrowanie.

8. Czekamy cierpliwie do osiągnięcia 100% 

9. Udało się, dysk jest zaszyfrowany a nasze dane bezpieczne.

Oba programy, tzn. BitLocker i TrueCrypt są naprawdę godne polecenia. Jeśli zależy ci na dużej ilości możliwych konfiguracji i funkcji to skorzystaj z TrueCrypt, cały proces przebrnięcia przez kreator trwa odrobine dłużej ale program posiada tak wiele możliwości że zadowoli nawet najbardziej wybrednego użytkownika. Jeśli natomiast cenisz sobie wygodę ( użycie modułu TPM), nie znasz się na algorytmach i tych ‘wszystkich funkcjach’, chcesz po prostu łatwo i szybko zabezpieczyć dostęp do swoich prywatnych plików, dokumentów, zdjęć itd. to BitLocker na 99% spełni twoje oczekiwania.