Opravdové zabezpečení citlivých dat i Windows: TrueCrypt 7.0

V době sociálních sítí, kdy lidé vystavují všemožné fotografie a další osobní věci na web zcela dobrovolně, by se snad i mohlo zdát, že lámat si hlavu se zabezpečením dat je vcelku zbytečné. Určitě se ale stále najdou uživatelé, kteří v systému mají něco, nad čím by neradi ztratili kontrolu a co by se nemělo dostat do cizích rukou.

Výborným lékem na problémy se zabezpečení souborů nebo celých instalací operačních systémů je šifrování. Bez znalosti příslušného hesla, které si uživatel zvolí a jež by mimochodem mělo být co nejsilnější, nemá nezvaný host žádnou šanci zjistit, co v počítači máte.

Zejména teď, když jsou tak populární co možná nejmobilnější osobní počítače (jako netbooky), jež se o to více v kavárnách a při cestování ztrácejí, by mnozí z uživatelů měli šifrování dat věnovat zvýšenou pozornost. Přesto tato záležitost i v roce 2010 u domácích uživatelů zůstává jakousi undergroundovou záležitostí spojovanou především s paranoidnějšími jedinci. Jenomže citlivé soubory bychom si měli chránit všichni.

Nové verze Windows (Vista i Sedmičky) už šifrování složek a systému podporují přes aplikaci BitLocker. Ta je ale bohužel dostupná jen v nejvyšších, tudíž nejdražších, edicích. Nejvíce prodávané edice OEM Windows (předinstalované na nových počítačích) Home či Starter uživatelským šifrování nedisponují; stejně špatně jsou na tom i stále nejpopulárnější Windows XP. Pak nezbývá nic jiného, než se poohlédnout po programu třetí strany.

Mezi nejpopulárnější aplikaci tohoto typu patří nejen ve světě Windows program TrueCrypt.

Jde o velmi jednoduchý program, co se obsluhy týče, malý a nenáročný na hardwarové prostředky (velikost instalačního souboru pro Windows je 3,3 MB, 2,5 MB pro Linux a 7,9 MB pro Mac OS X), nosit jej lze i na USB klíčence. A hlavně je to software dostupný naprosto zdarma. Před pár dny navíc vyšla jeho nová verze přinášející jednu zásadní novinku (viz níže).

Síla TrueCryptu aneb Krátké představení

TrueCrypt umožňuje šifrování v několika různých rovinách. Co a jak šifrovat záleží na rozhodnutí uživatele.

Lze si vytvořit speciální soubor (kontejner), který bude představovat nový virtuální diskový oddíl na pevném disku, a do něj ukládat data (samozřejmě lze vytvářet složky apod.). Kontejner se po připojení v okně programu (po zadání hesla) do systému zařadí jako další disk a ani začátečník by s ním neměl mít žádný problém (tento způsob ochrany dat je pro naprosté začátečníky patrně tím nejlepším).

Můžeme však šifrovat i diskové oddíly nebo i celé disky – včetně toho systémového, na kterém jsou nainstalované Windows (linuxový systémový oddíl šifrovat nelze).

TrueCrypt je nadto s to aktuálně používaný operační systém nebo kontejner s reálnými uživatelskými daty maskovat.

Tím se myslí následující: pokud by vás někdo nutil k vyzrazení hesla k šifrované části disku, můžete bez starostí sdělit druhé heslo (TrueCrypt vás při vytváření takového fíglu navede), čímž se otevře naprosto jiná složka s libovolnými daty.

Totéž platí i v případě instalace Windows – systém můžete nainstalovat i podruhé a bude naprosto „holý“. Člověk, který vás ke sdělení hesla donutil, nebude mít žádnou šanci zjistit, že to nejsou ta data a ten systém, který chtěl vidět.

Jak bylo uvedeno zpočátku článku, důležité je heslo. Za běžných domácích podmínek vám patrně vystačí jakékoli „rozumné“ – avšak chcete-li si být zabezpečením dat jisti, heslo by mělo mít minimálně 20 znaků.

Co je nového

Po zhruba osmi měsících vývoje vyšla nová verze TrueCrypt, tentokráte s číslem 7.0. Mezi největší novinky patří hardwarová akcelerace šifrování AES – v praxi to znamená, že šifrování je čtyři až osmkrát rychlejší, než když se o ně stará pouze samotná softwarová implementace.

Tuto novou funkci bohužel neocení každý a už vůbec ne majitelé počítačů s procesorem AMD. Pro hardwarovou akceleraci AES je totiž nutný určitý typ procesorů s instrukční sadou AES-NI, což podporují jen určité modely CPU z řad Intel Core i7 a Intel Core i5. Potřebnou instrukční sadu budou procesory od AMD mít až příští rok (procesory Bulldozer).

Na druhou stranu se dá na příslušných procesorech akcelerace vypnout – jak uvádějí vývojáři programu TrueCrypt, tuto možnost ocení ti, kdo chtějí, aby šifrování dat probíhalo čistě přes opensourcovou implementaci AES (někteří lidé mohou mít v hardwarovou implementaci Intelu jistou nedůvěru – proto i samotné generování šifrovacího klíče probíhá pouze přes software).

Ke stažení je i čeština k aktuální verzi, byť překlad není kompletní (při aktualizaci TrueCryptu si budeme muset stáhnout i nový soubor češtiny).

Další novinkou je automatické připojení svazku při připojení externího disku (například USB klíčenky) k počítači. K tomu slouží záložky „Favorites“. (Oblíbené, v českém překladu toto označení však ještě chybí.) [Poznámka: Automatické připojení se nastavuje přes pravé tlačítko myši na šifrovaném oddílu.]

Z hlediska bezpečnosti TrueCrypt 7.0 opravuje problém s možným „prolomením“ šifrování na operačních systémech Windows. Problém s bezpečností, jak se svého času hodně psalo, totiž mohl nastat při uspání systému na pevný disk, kdy nebyly šifrovány soubory obsahující informace o stavu systému před uspáním.

Microsoft sice už pro šifrování daných souborů poskytl potřebné API, ovšem jen pro Windows Vista a novější. I když se vývojáři TrueCryptu pokusili o určité změny, na systémech Windows XP nebo Windows 2000 nemohou zaručit, že soubory pro hibernaci budou vždy šifrovány. Tomuto problému věnují celý jeden článek (anglicky). Je-li šifrován celý systémový disk (tj. s instalací Windows), problém se v takovém případě uživatelů netýká.

Ostatní novinky se týkají opět zmíněné sekce „Oblíbené“, které nejsou teď tak důležité. Současně bylo opraveno několik malých chyb, jež se objevily v předchozí verzi.

Stahovat TrueCrypt můžete z oficiálních stránek projektu (pro systémy Windows, Linux, Mac OS X).

22. 7. 2010

Autor: Oldřich Klimánek