Šifrování dat

Co to je?

Šifrování znamená kódování dat. Nešifrovaná data jsou přístupná jako prostý text, ale šifrovaná data jsou plná čísel a nečitelných kódů, které není možné přečíst – tedy pouze v případě, že není šifrování nebo heslo prolomeno.

Šifrovat se dá buď celý disk, oddíl na disku nebo jen konkrétní soubor. Šifrování celého disku zašifruje na hardwarové úrovni celý tvůj disk. To znamená, že se k jeho obsahu nikdo bez klíče nedostane, a to i v případě, že ti disk fyzicky někdo sebere. Data se zašifrují ve chvíli, kdy šifrovaný disk vytváříš, a dešifrují se ve chvíli, kdy k nim přistupuješ. Šifrování souborů a oddílů umí zašifrovat konkrétní soubor nebo oddíl, který má v sobě více souborů.

Proč se tím zabývat?

Šifrování je rozhodující zeď mezi tvými soubory a těmi, kdo si je přejí získat. Jejich šifrování tedy zabraňuje, aby je někdo získal dokud neprolomí šifrování nebo hlavní heslo. Při každé razii na anarchisty slýcháme o denících, diářích a počítačích, které byly zabavené a použité k podepření případu. Zabavený počítač a všechny soubory na jeho disku se stávají automaticky důkazy. Deníky a diáře na nich uložené zase podávají docela přesný profil o aktivitách člověka a jeho společenské síti. Tomu je možné zabránit, pokud fízlové zabaví počítač, který je zašifrovaný nebo jeho vlastník zašifroval alespoň důležité soubory – telefonní čísla, klíče k dalším šifrovaným oddílům, osobní poznámky, rozpracované texty… Vyšetřovatelé v takovém případě narazí, protože nejsou schopni se k těmto souborům dostat. Šifrování je důležité, proto šifruj!

Jak na to?

A) Šifrování celého disku

Šifrování celého disku může být provedeno již při instalaci operačního systému (některé linuxové distribuce nabízejí tuto možnost), nebo tak může být učiněno posléze s využitím určitého softwaru. Vyvarujeme se návodu, který by popisoval celé šifrování krok za krokem, k tomu jsou lepší již existující návody, které uvádíme v odkazech.

Navzdory všem výhodám má šifrování celého disku jednu velkou nevýhodu, kterou může počítačový expert zneužít k tomu, aby dostal přístup k datům na tvému disku. Při šifrování celého disku musí být malá část disku ponechána nezašifrována, aby mohla rozšifrovat zbytek. Právě tato část může být zneužita k získání přístupu k tvému disku, a to pomocí tzv. cold-boot útoku. Jedním z možných způsobů, jak se tomuto problému vyhnout, je umístit nezašifrovanou část na flash disk a skrýt jej. V odkazech uvádíme návody, které popisují, jak to provést.

B) Šifrování oddílu

Šifrované oddíly vytvářejí pro vaše složky a soubory malé „pokojíčky“. Celý obsah šifrovaného oddílu nelze přečíst, dokud jej nedešifrujete. Velmi oblíbený program pro vytváření a otevírání šifrovaných oddílu je TrueCrypt, který považujeme za základ této kapitoly. Zašifrováním oddílu vlastně vytvoříš samostatnou část disku, kterou poté můžeš pomocí TrueCryptu načíst a dešifrovat, aby ses dostal k datům, které obsahuje. Fyzicky se samozřejmě tato data nachází na tvém harddisku, nedají se přečíst jako nezašifrovaná data.

Existuje také možnost vytvořit tzv. skrytý oddíl. Při vytváření uvedeš dvě odlišná hesla. Jedno bude pro vnější „fiktivní“ oddíl, druhý bude pro vnitřní skrytý oddíl. Pokud budeš (ne)legálně donucen vydat své heslo k šifrovanému oddílu, můžeš vydat heslo k vnějšímu oddílu a nikdo nebude vědět, že se zde nachází i oddíl vnitřní. Takto můžeš udržet své soubory v tajnosti.

Nejprve se vytváří vnější oddíl. Doporučujeme použít silný šifrovací algoritmus, nejlépe AES-Twofish-Serpent a jako hash algoritmus vybrat Whirlpool. Čím silnější algoritmus, tím je těžší ho prolomit. V dalším kroku budeš vybídnutý k náhodnému kroužení kurzorem myši. Toto kroužení bude náhodně generovat čísla, které poslouží k vytvoření šifry. Čím chaotičtěji budeš kroužit kurzorem, tím obtížnější bude prolomit tvou šifru. V dalším kroku budeš vyzván k nahrání nějakých dat do vnějšího falešného oddílu. Tento krok podporuje iluzi, že se jedná o opravdový oddíl, pakliže jsi donucen vydat své heslo. V dalších krocích se celý proces opakuje, tentokrát však již pro vytvoření opravdového vnitřního oddílu. Heslo k těmto oddílům je nejlepší se naučit nazpaměť.

C) Další tipy k šifrování
  • Vždy používej silné heslo (1234 nebo ASDF to opravdu není). Tvé šifrování je jen tak silné, jak silné je heslo, které jsi k jeho ochraně použil.
  • Dávej si pozor na keyloggery. Používej raději virtuální klávesnici, LiveSystem nebo manažer hesel.
  • Při šifrování používej nejsilnější možný algoritmus. Za nejsilnější je považován AES-Twofish-Serpent.
  • Vytvoř si šifrovaný oddíl na flashce. Tu je snadné ukrýt před zraky fízlů nebo zlodějů, je snadné a méně bolestné ji zničit, kdyby ses dostal do průseru a dá se snadno přenášet, pakliže budeš mít u sebe i portable verzi TrueCryptu. Na počítači tím pádem nemusíš mít nic inkriminujícího, to si budeš nosit na flashce. Ve chvíli, kdy s tím budeš potřebovat nakládat, prostě připojít flashku k počítači a pomocí TrueCryptu ji otevřeš.
  • Používej šifrovaný oddíl společně s LiveSystemem, abys předešel zaznamenávání údajů o uložených datech.
  • Cítíš-li pochybnosti, šifruj. Čím méně toho proti nám budou vyšetřovatelé mít, tím lépe. Přemýšlej nad tím, co chceš, aby bylo použito před soudem… Pokud nechceš, aby se některé data objevily v rukou nepřítele, zašifruj je!
D) Poznámka k nejisté bezpečnosti TrueCryptu:

V květnu 2014 dali od TrueCryptu jeho vývojáři ruce pryč, když vydali neočekávanou zprávu, že jeho používání již není bezpečné a lidé by měli přejít na jiný nástroj, například BitLocker od Microsoftu. To vyvolalo celou řadu domněnek, konspiračních teorií a obav, zda je vůbec TrueCrypt bezpečné používat.

Dnes je všeobecně přijímané, že poslední důvěryhodná verze je 7.1a, která prošla také auditem a kontrolou kódu, který je volně přístupný. Poslední audit z května 2015 došel k závěru, že nenašel žádné důkazy o zadních vrátkách nebo bezpečnostních chybách, které by TrueCrypt dělaly nepoužitelným. To ale neznamená, že je TrueCrypt perfektní. Auditoři našli několik menších závad (popsané na http://blog.cryptographyengineering.com/2015/04/truecrypt-report.html), které bude do budoucna potřeba opravit. Pokud chceš nadále TrueCrypt používat, používej tuto ověřenou verzi 7.1a.

Do budoucna se nepředpokládá, že by vyšla nová verze TrueCryptu, spíše se bude jednat o nástroj založený na stejném kódu, který ponese jiný název. Nyní jsou vyvíjeny tyto náhrady: CipherShed, VeraCrypt, Command line, se kterými nemáme zkušenosti.

ODKAZY: