Chráníme svá data šifrováním

Ztratili jste někdy flash disk či notebook? Případně vám bylo jedno či druhé ukradeno? Po řádění zlodějů ve vašem bytě či domě jste přišli o počítač a externí disky?

Budu předpokládat, že většina rozumně uvažujících uživatelů má svá důležitá data minimálně v jedné kopii zálohovaná na jiném místě, takže nedošlo k újmě ve formě ztráty dat. Přišli jste tak o zařízení, která je obsahovala. Není to nic, nad čím člověk mávne rukou, ale za mnohem horší považuji fakt, že nálezce či zloděj může získat přístup k našim datům.

Sám jsem nad závažností takové situace příliš neuvažoval, dokud mě před časem nepotkala jedna z horších víše uvedených.

Vás nic takového nemůže potkat? Já si to nemyslel, ač jsem na své věci poměrně opatrný. Přes to jsem nebyl opatrný dost. Příčinu ke ztrátě jsem nezavdal, přesto jsem byl postaven před hotovou věc: počítač včetně externího disku (krom mnoha dalších věcí) byl pryč. Na štěstí šlo jen o stařičké PC v té době využívané primárně jako multimediální přehrávač ke zvukové aparatuře a jako čtečka knih. Citlivá pracovní data neobsahoval, ale osobní ano, včetně přístupu do e-mailových schránek přes poštovního klienta. Účet v systému byl sice zaheslovaný, to však nebrání vyjmutí a přendání disku do jiného počítače.

První, co bylo třeba udělat okamžitě po zjištění, je změna hesel všude tam, kam by se dalo díky informacím z počítače dostat. A dál? Dál sice můžete doufat, že policie dopadne pachatele, jenže ani to nemusí vůbec nic znamenat – věřte.

Pak už vaše činy mohou leda ovlivňovat to, aby taková situace nenastala v budoucnu.

Opomenu zcela věci ohledně větší opatrnosti, lepším zabezpečení obydlí atd. Tímto textem se chci zaměřit na zabezpečení našich dat.

Jsem uživatel pracující primárně v operačním systému Windows 10. Pátrání po možnostech jsem tedy zaměřil tímto směrem. Přečetl jsem poměrně dost článků, prostudoval nejednu diskusi, konzultoval se zkušenějšími. Mé požadavky, světe div se, nejlépe splnilo řešení integrované přímo ve Windows. To že ho obsahuje vím už roky, ale nikdy jsem si na něj neudělal čas, abych ho hlouběji prozkoumal. Vlastně mě překvapuje, že Microsoft své uživatele netlačí k jeho používání. Sám už mnoho let využívám pro zabezpečení určitých dat software VeraCrypt, dříve TrueCript, ale to primárně pro pracovní citlivá data. Mám vytvořenou virtuální jednotku, jejíž obsah je šifrovaný. Při potřebě přístupu k datům ji „odemknu“, provedu co potřebuji a jednotku odpojím a tím uzamknu. Jenže takové řešení není to, co potřebuji. Chci mít šifrovaný celý obsah disku. To sice VeraCrypt také nabízí, jenže je to řešení třetí strany a tomu jsem se chtěl, je-li to možné, raději vyhnout.

Nástroj BitLocker Drive Encryption

Právě pod tímto názvem najdeme nástroj od Microsoft, který nám se zabezpečením pomůže. Nabízí šifrování pevných i flash disků pomocí algoritmu AES s velikostí klíče 128 či 256 bitů. Od Windows 10 (1511) nabízí bezpečnější variantu XTS-AES. Kvůli kompatibilitě se staršími verzemi Windows však disponuje možností šifrování i starší variantou. To se hodí zejména u přenosných médií, u kterých nevíme, zda nebude třeba je využít na jiném PC, než u kterého proběhlo šifrování.

Šifrovací klíč

Šifrovací klíč má stejnou funkci, jako běžný klíč od dveří. Tedy měl by být jedinečnou možností, jak odemknout dveře, potažmo jak se dostat k zašifrovaným datům. Jedná se o shluk číslic a písmen, který můžeme mít uchován v různé podobě: vytištěný na papíře, uložený jako soubor třeba na flash disku či v tzv. TPM čipu. Pokud by se někdo pokusil rozšifrovat data s nesprávným klíčem, nedostane se k datům v čitelné podobě.

Stejně tak jako je důležité klíč od bytu nenechat jen tak někde povalovat, neměl by ani šifrovací klíč být jednoduše komukoli dostupný. V našem textu se budeme zabývat i touto problematikou.

V předchozí kapitole je zmíněn šifrovací algoritmus AES. Způsobů šifrování je celá řada, tento je pouze jeden z nich. Je to opět podobné s analogií běžného klíče a zámku. Dozický zámek používáme běžně u vrátek od zahrady, u kůlny, ale určitě si jím nezabezpečíme byt. Bylo by pak velmi jednoduché se do něj dostat. Sáhneme tedy po vložkovém zámku s kvalitní cylindrickou vložkou chráněnou bezpečnostním kováním. Takže typ zámku a jeho další bezpečnostní prvky jsou v případě šifrování v podstatě to samé, jako volba typu šifrování. Liší se úrovní zabezpečení, náročností překonání, rychlostí odemčení (rozšifrování) atd.

Co je potřeba

Podpora BitLocker je ve Windows již od verze Windows Vista a to vždy v edicích Enterprise a Ultimate (Vista, 7, 8, 8.1) a ve Windows 10 v edicích Pro, Enterprise a Education. Zjednodušeně řečeno: šifrovat pomocí BitLocker nelze v edicích Home. Ovšem pracovat s obsahem zašifrovaných disků lze i zde.

Čip TPM

V kapitole o šifrovacích klíčích jsou zmíněny možnosti jejich uchování. Jednou z nich je využití čipu TPM (Trusted Platform Module). Ten může být součástí základní desky počítače v podobě malého připájeného čipu. Pokud ho vaše zařízení obsahuje, jde o velkou výhodu a značné zjednodušení při práci s integrovanými šifrovanými disky.

Čip jednak uchovává klíč, jednak hlídá důvěryhodnost hardware i software počítače. Má i další funkce, které však pro tento text nejsou podstatné.

Konkrétní výhodou jeho přítomnosti je, že pro přístup k šifrovaným integrovaným diskům není třeba zadávat klíč či heslo ručně při spouštění systému. Klíč je uložen v čipu, takže ověření důvěryhodnosti proběhne bez nutnosti interakce uživatele.

Přítomnost čipu je možné ověřit ve Správci zařízení (vlastnosti na ikoně Tento počítač | Správce zařízení). Pokud ve stromu máte větev Zabezpečovací zařízení, která obsahuje položku „Čip Trusted Platform Module X.X“, kde X.X zastupuje verzi firmware (obvykle 1.2 či 2.0), zařízení čip obsahuje.

Je na zvážení, zda šifrování integrovaných disků bez přítomnosti čipu využívat. Při každém spuštění by bylo nutné, před spuštěním systému a tedy bez hlasové kontroly, zadávat heslo.

Nepřítomnost čipu však nijak neovlivňuje šifrování externích disků.

Aktualizace firmware TPM čipu

Nepatříte-li mezi pokročilejší uživatelem, tuto kapitolu můžete v klidu přeskočit přechodem na další nadpis. Týká se procesu aktualizace software obsaženém v čipu. Ten sice zajistí jeho vylepšení, ale postup je uživatelsky poměrně náročný a v některých krocích vyžaduje i práci beze zraku či za pomoci vidícího.

Postup zde naznačím, ať ti, co se do toho budou chtít pustit vědí, co je čeká a však případné další informace si sami dohledají.

TPM čipy obsažené v zařízeních jsou často vybaveny starší verzí firmware. Na mém stolním počítači cca 5 let starém byla verze 1.2 a u notebooku také. Aktuální verze je 2.0.

Než se do aktualizace TPM pustíte, ověřte v Nástroji BitLocker Drive Encryption, zda šifrování nemáte aktivované. Pokud ano, šifrování v BitLockeru vypněte.

Dále aktualizujte na nejnovější verzi BIOS případně další potřebné ovladače. U počítačů od HP vám s tím pomůže utilita HP Assistant.

V dalším kroku je potřeba stáhnout utilitu k provedení aktualizace čipu. U počítačů od HP se obvykle jedná o HP TPM Configuration Utility

V balíčku jsou kromě aktualizačního programu přítomny soubory *.bin, které obsahují samotnou aktualizaci. Je nutné vybrat správný soubor dle čipu přítomného v zařízení. Informace o něm lze zjistit v Nastavení / Aktualizace a zabezpečení / Zabezpečení Windows / Zabezpečení zařízení / Podrobnosti o procesoru zabezpečení.

Tento soubor je nutné před spuštěním programu nakopírovat do stejné složky.

Po spuštění programu je potřeba odsouhlasit provedení aktualizace a následně restartování zařízení.
Na úrovni BIOS, tedy bez ozvučení je ještě nutné opět odsouhlasit provedení aktualizace firmware. Po dokončení proběhne další restart a pokud vše proběhlo bez problému, naběhne systém.

Ve Správci zařízení pak můžeme ověřit, že je zde u Čip Trusted Platform Module opravdu uvedena verze 2.0.

Postup je popsán pro počítače HP. U jiných zařízení se může samozřejmě lišit.

Konečně šifrujeme

Úvod byl sice dlouhý, ale díky tomu nebude třeba vysvětlovat žádné pojmy, jen si popíšeme jednotlivé kroky vedoucí k zašifrování disků.

Flash disk

Poměrně podceňovanou záležitostí je šifrování obsahu flash disků. Přitom zrovna u tohoto média je pravděpodobnost ztráty největší. Pokud na něm máme citlivá data, může to být velký problém. Nejprve si tedy popíšeme zašifrování právě tohoto média.

Po připojení flash disku na něj stačí přes Tento počítač přejít a v kontextovém menu zvolit Zapnout nástroj BitLocker.

Spustí se průvodce šifrováním zvoleného disku.

V prvním kroku volíme, jakým způsobem budeme disk odemykat. Na výběr máme heslo či čipovou kartu. Zvolíme odemykání heslem a do příslušných polí zapíšeme heslo, po jehož zadání se bude obsah flash disku zpřístupňovat.

V druhém kroku, po potvrzení tlačítka Další, volíme způsob zálohy obnovovacího klíče. Ten se může hodit, pokud heslo zapomeneme.

K dispozici máme jeho uložení do souboru či účtu Microsoft nebo vytištění.

Zvolíme uložení do souboru a po potvrzení vybereme umístění, kam má být soubor s klíčem uložen. Z nějakého důvodu nemůže být klíč umístěný přímo v kořeni disku, je třeba zvolit složku.

Po uložení se vracíme do stejného okna a potvrzením tlačítka Další přecházíme na následující krok.

V něm volíme, zda chceme šifrovat celou jednotku, včetně prázdného místa či pouze využité místo. První možnost je vhodné zvolit u již využívaných disků. Bude zašifrované s daty i prázdné místo, které však může obsahovat smazaná data. Proces bude delší, ale bezpečnější. Druhou možnost zvolíme u nových disků.

Potvrzení tlačítka Další nás posune na následující krok, ve kterém volíme způsob šifrování. K výběru máme dvě možnosti:

  • Nový režim šifrování – vhodné pro pevné disky v zařízení,
  • Režim kompatibility – vhodné pro výměnné disky. Jde sice o starší způsob šifrování, při zvolení však budeme mít jistotu, že si s takto zašifrovaným diskem poradí starší verze Windows.

Nový režim je k dispozici od Windows 10 verze 1511. Pokud jste si jistí, že budete flash disk používat jen na nových systémech, klidně zvolte možnost první.

V následujícím kroku, po potvrzení tlačítka Další, již můžeme spustit proces šifrování stiskem tlačítka Zahájit šifrování. Proces může trvat i desítky minut. 32 GB flash disk trvalo pro představu nástroji zašifrovat cca 20 minut. Průběh šifrování můžeme sledovat v okně nástroje, kde jsme zároveň upozorněni, že pokud potřebujeme disk v průběhu šifrování vypojit, musíme ho nejprve pozastavit.

Po dokončení procesu jsme v příslušném okně na tuto situaci upozorněni. Okno stačí zavřít k tomu určeným tlačítkem.

Pokud po připojení takto zašifrovaného flash disku budeme chtít přistupovat k datům, nejprve budeme muset zadat zvolené heslo. To si systém bude pamatovat dokud disk neodpojíme či nerestartujeme počítač.

Současné heslo můžeme kdykoli změnit. Stačí vyvolat na disku kontextové menu a zvolit Změnit heslo nástroje BitLocker.

Pokud již disk šifrovaný mít nechceme, opět na něm stačí vyvolat kontextové menu, zvolit Spravovat nástroj BitLocker. V otevřeném okně přejdeme tabulátorem na šifrovaný disk, za kterým se nachází tlačítko „Přepnout jednotky“. Po jeho stisku se zobrazí možnosti, mezi kterými si procházením tabulátorem vybereme „Vypnout nástroj BitLocker“. Po potvrzení jsme upozorněni, že dešifrování může trvat delší dobu. Stačí proces opět pouze potvrdit. V průběhu dešifrování je tento stav v nástroji u disku uveden. Po dokončení se u něj zobrazí informace, že nástroj není u této jednotky aktivní.

Systémový disk

Proces šifrování systémového disku je sice podobný jako u flash, ale přece jen tu jisté rozdíly jsou. Proto si popíšeme jednotlivé kroky i zde.

Nejprve přejdeme přes Tento počítač na systémový disk a v kontextovém menu zvolíme Zapnout nástroj BitLocker.

Díky přítomnosti TPM čipu nebudeme řešit heslo pro přístup k obsahu disku, proto tu na rozdíl od flash disku tento krok není.

První, co tedy volíme je záloha obnovovacího klíče. Opět máme na výběr z uložení do účtu Microsoft, do souboru a vytištění.

V dalším kroku vybíráme opět mezi šifrováním celého obsahu disku nebo jen části s daty. U systémového disku je určitě lepší vybrat šifrování celého disku.

Další krok nabízí výběr režimu šifrování. Zde bude vhodnější metodou „Nový režim šifrování“. S diskem nijak manipulovat nebudeme, proto ho stojí zašifrovat kvalitnější metodou.

Následující krok již umožní inicializaci šifrování. Vzhledem k tomu, že se jedná o disk systémový, je nejprve nabídnuto provedení kontroly správnosti čtení obnovovacího a šifrovacího klíče. Příslušnou volbu rozhodně doporučuji zaškrtnout.

Po stisku tlačítka Zahájit šifrování se zobrazí okno vyzívající k provedení restartu počítače. Muže provést okamžitě nebo později k tomu určenými tlačítky.

Po restartu se stačí přihlásit k účtu a na systémové liště lze sledovat průběh šifrování na ikoně nástroje BitLocker.

Stejně jako u flash disku, můžeme i u systémového šifrování později kdykoli vypnout stejným postupem. Vzhledem k předpokladu větší kapacity systémového disku proti flash, je nutné počítat s delší dobou šifrování i dešifrování.

Datový disk

Pokud je v zařízení obsažen druhý, datový disk, je vhodné zašifrovat i ten. Proces se i zde od předešlých mírně liší, proto ho zde uvedu také.

Opět přejdeme přes Tento počítač na datový disk a v kontextovém menu zvolíme Zapnout nástroj BitLocker.

Stejně jako u flash disku nejprve vybíráme způsob odemčení. Oproti flash disku zde ovšem máme kromě ochrany heslem či čipovou kartou k dispozici volbu „Automaticky odemykat tuto jednotku v tomto počítači“. Pokud je v zařízení obsažený TPM čip, je to volba nejrozumnější. Stejně jako u systémového disku se o přístup postará TPM čip a od uživatele tak nebude třeba žádné zadávání hesla.

V následujícím kroku opět vybíráme způsob uložení obnovovacího klíče. Pozor, soubor s klíčem nelze v nástroji BitLocker uložit na již šifrovaný disk. Doporučuji mít tedy připraven nějaký dosud nešifrovaný flash disk.

V následujícím kroku volíme, zda má být zašifrována celá jednotka včetně prázdného místa nebo jen část s daty. Pokud je disk běžně používaný, doporučuji provést šifrování celého disku.

V následujícím kroku volíme režim šifrování. I zde je vhodné využít „Nový režim šifrování“. Jde o disk, který je pevnou součástí počítače, proto nenastane situace, že s ním bude pracovat starší verze Windows.

A v posledním kroku opět iniciujeme šifrování tlačítkem „Zahájit šifrování“. U datového disku, kde je předpoklad větší kapacity, musíme počítat s delší dobou, než bude šifrování dokončeno.

Uchování obnovovacích klíčů

Jak je uvedeno v úvodu článku, je nutné se zamyslet nad způsobem uchování obnovovacího klíče. Tištěnou variantu by nebylo vhodné nechat povalovat někde, kde se k ní případný zloděj lehce dostane. Brašna notebooku tak rozhodně není tím správným místem.  Doporučuji využít například důvěryhodné příbuzné, chalupu, zaměstnání – ideálně v zalepené obálce.

Pokud si obnovovací klíče ukládáme na flash disk, platí v podstatě to samé.

Osobně jsem však zvolil třetí cestu a to uchování v aplikaci KeePass. Tu používám jako „trezor“ na přihlašovací údaje do různých služeb. Jednou z jejích možností je však uchovávání i souborů. Při vytváření nového záznamu stačí zvolit kartu Rozšířené a zde tlačítko Připojit. Po jeho stisku se otevře standardní dialog pro otevření souboru, kde stačí najít soubor s klíčem a potvrdit ho. Připojí se k záznamu v šifrované databázi programu KeePass. Pokud jste uživatelem této aplikace, databázi máte uloženou online, nemusíte složitě vymýšlet, jak klíče uchovat.

To, že uchování obnovovacího klíče na disku, který máme zašifrovaný, je nesmysl, je doufám všem jasné. Pokud by se se zařízením cokoli stalo, ke klíči ztrácíme přístup.

Závěr

Myslím, že s potřebou šifrování je to podobné jako se zálohováním. Dokud se člověk nespálí, dopad si často nepřipustí. Přesto věřím, že po přečtení tohoto textu názor změníte i bez nepříjemné zkušenosti. Postup šifrování je relativně jednoduchý a za ten klid to opravdu stojí.



BitLockeršifrováníWindows 10zabezpečení


Michal Jelínek
Jmenuji se Michal Jelínek a pracuji ve Sjednocené organizaci nevidomých a slabozrakých jako lektor elektronických pomůcek pro zrakově postižené. Zároveň připravuji na stejnou dráhu nové lektory, kteří pak školí ve svých organizacích. Neučím s technikou jen dospělé, ale také informatiku...