Šifrování celého disku představuje skvělou ochranu v situacích, kdy dojde ke ztrátě nebo odcizení zařízení. Prozkoumáme nativní řešení BitLocker od Microsoftu a jeho alternativy.
Jak znepokojující je skutečnost, že zcizený notebook zdravotnického zařízení Coplin Health Systems v Západní Virginii obsahoval citlivé údaje 43 000 pacientů?
A co ztráta USB disku dodavatelem v Japonsku, na kterém se nacházely osobní údaje 460 000 občanů?
Klíčovým problémem bylo, že data nebyla zašifrována.
To umožnilo neoprávněným osobám snadný přístup k osobním údajům a jejich následný prodej na dark webu.
Tyto události nás učí, jak důležité je šifrování dat. Přitom je to tak snadné, jak si ukážeme.
Následující části se věnují šifrování celého disku, použití nástroje BitLocker a představí několik alternativ.
Šifrování celého disku (Full Disk Encryption – FDE)
FDE (Full Disk Encryption) se týká procesu uzamčení celého disku k vašemu systému. To chrání data na kompromitovaných zařízeních a při aplikaci na systémové disky může také umožnit kontrolu při spouštění pro zvýšení bezpečnosti.
BitLocker
Verze Windows Professional, Enterprise a Education jsou standardně vybaveny nástrojem BitLocker pro šifrování zařízení.
BitLocker umožňuje chránit disky heslem, které fungují bezproblémově po přihlášení. Nabízí také obnovovací klíč, který slouží k resetování hesla, bez nějž by byl obsah disku nedostupný.
Jeho výhodou je také multiplatformní kompatibilita. Například disk zašifrovaný ve Windows zůstává bezpečný i v Linuxu.
Důležité je mít na paměti, že jakmile je systém odemčen, ochrana pomocí šifrování již není aktivní. Šifrovací mechanismy by neměly smysl v případě, že by například spyware ukradl vaše osobní údaje, které jste si možná nechtěně nainstalovali. Proto FDE nenahrazuje antivirové a antispywarové nástroje.
Pro spuštění BitLockeru zadejte „BitLocker“ do vyhledávacího pole na hlavním panelu a otevřete „Spravovat BitLocker“.
Nyní vyberte disk, který chcete šifrovat, a klikněte na „Zapnout BitLocker“.
Následný proces se liší pro systémový disk a nesystémové oddíly, včetně přenosných disků.
BitLocker na systémových jednotkách
Standardně se pro ověření identity používá bezpečnostní čip TPM (verze 1.2 nebo novější). Systém se spustí po ověření klíče čipem TPM.
Trusted Platform Module (TPM) je čip, kterým jsou moderní počítače běžně vybaveny. Jde o samostatný čip, který zajišťuje integritu zařízení. Pokud však váš systém TPM nerozpozná ani po jeho fyzické přítomnosti, může být nutné tuto funkci aktivovat.
Pokud není TPM přítomen, neexistuje žádné ověření před spuštěním a kdokoliv s přístupem k vašemu počítači ho může zapnout hrubou silou, pokud zná přihlašovací heslo do Windows.
Nicméně je možné zapnout PIN před spuštěním v editoru místních zásad skupiny a užít si tak maximální zabezpečení. Poté čip TPM vyžaduje obnovovací klíč a PIN před spuštěním počítače.
Rozdíl je v tom, že tyto čipy jsou vybaveny ochranou proti hrubé síle, takže útočník má omezený počet pokusů, než se systém zablokuje.
Důležité je nakonfigurovat vše před zahájením šifrování.
Postup je poměrně jednoduchý. Nejprve otevřete Windows Run stisknutím kláves ⊞+R, zadejte „gpedit.msc“ a stiskněte Enter.
Dále přejděte do „Konfigurace počítače“ > „Šablony pro správu“ > „Součásti systému Windows“ > „Šifrování zařízení BitLocker“ > „Jednotky operačního systému“:
Nyní bude šifrování BitLocker vyžadovat PIN nebo přednastavenou USB jednotku jako fyzické ověření před spuštěním.
Dále budete pokračovat volbou mezi šifrováním celého disku nebo pouze použitého místa na disku.
Šifrování celého disku je obecně lepší volbou u starších počítačů, protože prázdné sektory mohou obsahovat data, která lze obnovit pomocí nástrojů pro obnovu dat systému Windows.
Následně si vyberete mezi použitím nového nebo kompatibilního režimu šifrování. Pro systémovou jednotku je vhodnější „Nový režim šifrování“. „Kompatibilní režim“ se lépe hodí pro přenosné disky.
Nakonec se doporučuje v následujícím kroku spustit kontrolu systému BitLocker a ověřit, že vše funguje bez problémů.
BitLocker na pevných datových jednotkách
Šifrování těchto oddílů a jednotek je jednodušší. Systém vás požádá o nastavení hesla předem.
Jakmile to máte nastavené, další proces je obdobný jako šifrování systémových disků a blokování systémových kontrol pomocí BitLockeru.
BitLocker je praktický nástroj, ale není dostupný pro uživatele Windows Home. Druhou nejlepší bezplatnou volbou je „Šifrování zařízení Windows“, pokud jej vaše zařízení podporuje.
Rozdíl oproti BitLockeru je ten, že ukládá specifické požadavky na TPM. Navíc zde není možnost ověření před spuštěním.
Dostupnost této funkce můžete ověřit prostřednictvím „Informací o systému“. Otevřete „Windows Spustit“, zadejte „msinfo32“ a stiskněte enter. Přejděte dolů a ověřte, zda v sekci podpory šifrování zařízení jsou všechny předpoklady splněny.
Pokud tomu tak není, vaše zařízení pravděpodobně nepodporuje šifrování zařízení. Můžete se však obrátit na podporu výrobce a zjistit možné řešení.
Alternativně existuje několik nástrojů pro šifrování celého disku, jak bezplatných, tak i placených.
VeraCrypt
VeraCrypt je bezplatný open-source šifrovací software pro Windows, Mac a Linux. Podobně jako BitLocker můžete šifrovat systémové disky, datové disky a přenosné disky.
Je flexibilnější a nabízí celou řadu šifrovacích algoritmů. Dokáže také šifrovat za běhu. Vytvořte šifrovaný kontejner a přesuňte do něj své soubory, aby byly zašifrovány.
VeraCrypt také umožňuje vytvářet skryté šifrované svazky a podporuje ověřování před spuštěním, stejně jako BitLocker.
Uživatelské rozhraní může být na první pohled trochu matoucí, ale existuje mnoho návodů na YouTube, které vám s tím pomohou.
BestCrypt
BestCrypt lze popsat jako uživatelsky přívětivou placenou verzi Veracrypt.
Nabízí přístup k různým algoritmům a možnostem pro dosažení šifrování celého disku. Podporuje vytváření šifrovacích kontejnerů a šifrování systémových jednotek.
Navíc umožňuje nasazení spouštění chráněného heslem.
BestCrypt je multiplatformní šifrovací nástroj a je dodáván s 21denní bezplatnou zkušební verzí.
Komerční alternativy BitLockeru
Zahrnují firemní řešení založená na multilicencování.
ESET
Šifrování celého disku ESET je vynikající pro vzdálenou správu. Nabízí flexibilitu s lokálními a cloudovými řešeními šifrování.
Tato funkce zajišťuje ochranu pevných disků, přenosných disků, e-mailů atd. pomocí 256bitového šifrování AES, které splňuje průmyslové standardy.
Umožňuje také šifrování jednotlivých souborů pomocí šifrování na úrovni souborů (FLE).
Můžete se o tom přesvědčit prostřednictvím interaktivního dema nebo 30denní bezplatné zkušební verze.
Symantec
Symantec od společnosti Broadcom je dalším významným hráčem v poskytování šifrovacích řešení na podnikové úrovni. Toto šifrování celého disku podporuje TPM a zajišťuje celistvost institucionálních zařízení.
Navíc získáte kontrolu před spuštěním, šifrování e-mailů a výměnných disků.
Symantec vám pomůže nastavit jednotné přihlášení a může chránit i cloudové aplikace. Podporuje čipové karty a má různé metody obnovy v případě, že uživatel zapomene přístupový kód.
Symantec navíc nabízí šifrování na úrovni souborů, sledování citlivých souborů a řadu dalších funkcí, což z něj dělá atraktivní řešení pro komplexní šifrování.
ZENworks
ZENworks od Microfocus je jednoduchý způsob, jak zvládnout šifrování AES-256 v jakékoli organizaci.
Podporuje volitelné ověření před spuštěním pomocí uživatelského jména a hesla nebo čipové karty s kódem PIN. ZENworks nabízí centralizovanou správu klíčů, která uživatelům pomáhá při přihlašování při spouštění.
Můžete vytvářet zásady šifrování pro zařízení a vynucovat je pomocí standardního webového připojení HTTP.
Můžete si vyzkoušet jeho bezplatnou zkušební verzi bez nutnosti zadávání údajů o kreditní kartě.
FDE vs FLE
Někdy není výhodné šifrovat celý disk. V takových případech je efektivnější chránit konkrétní soubory, což vede k šifrování na úrovni souborů (File-Level Encryption – FLE) nebo šifrování založeném na souborech (File-Based Encryption – FBE).
FLE je běžnější a často ho používáme, aniž bychom si toho byli vědomi.
Například konverzace WhatsApp jsou šifrovány end-to-end. Podobně jsou e-maily odeslané prostřednictvím Proton Mail také automaticky šifrované a k jejich obsahu má přístup pouze příjemce.
Podobně lze chránit i samostatné soubory pomocí FLE s pomocí nástrojů jako AxCrypt nebo FolderLock.
Hlavní výhodou FBE oproti FDE je, že každý soubor může mít odlišný šifrovací klíč. Pokud tedy dojde ke kompromitaci jednoho klíče, ostatní soubory zůstanou v bezpečí.
To však s sebou nese další obtíže se správou takových klíčů.
Závěr
Šifrování celého disku je zásadní, pokud dojde ke ztrátě zařízení obsahujícího citlivé informace.
I když má každý uživatel nějaká důležitá data, podniky potřebují šifrování disků více než kdokoliv jiný.
Pro běžné uživatele Windows je BitLocker nejvhodnější šifrovací nástroj. VeraCrypt je dobrou alternativou pro ty, kteří jsou ochotni tolerovat starší uživatelské rozhraní.
Organizace by se neměly spoléhat na doporučení jiných, ale měly by si vybrat řešení, které nejlépe vyhovuje jejich specifickým potřebám. Jedinou věcí, které by se majitelé firem měli vyhnout, jsou vendor lock-iny (závislost na jednom dodavateli).
PS: Nezapomeňte se podívat na náš článek o rozdílu mezi šifrováním a ověřováním, kde si můžete osvěžit základy.