Partíciók titkosítása Hogyan tegyük mások számára elérhetetlenné értékeinket? Gondolom, egy-két emberben már felmerült ez a kérdés. A megoldást az ingyenes TrueCrypt (http://www.truecrypt.org) nyújtja. Az alig 2.5 MiB méretű program szinte csodákra képes. Telepítés A program telepítése pofon egyszerű. A weboldalról letöltött truecrypt-4.1.zip fájlt csomagoljuk ki egy tetszőleges könyvtárba, majd kattintsunk kettőt a TrueCrypt Setup.exe fájlra. A következő kép fogad minket: 1. ábra: TrueCrypt telepítő Állítsuk be a telepítés helyét, majd kattintsunk az Install gombra. Ekkor elindul a telepítés, ami pár másodpercet vesz igénybe.
2. ábra.: A telepítés befejeződött A megjelenő párbeszéd ablakot OK gombbal zárjuk le, majd kattintsunk az Exit gombra. 3. ábra: Kilépés a telepítőből kétszer. A program indítása Telepítés után az asztalon egy kék színű TrueCrypt ikon fog díszelegni. Erre kattintsunk
4. ábra: A TrueCrypt felülete Amikor titkosított partíciókat akarunk mountolni, mindig futnia kell a TrueCrypt-nek. Az Exit gomb hatására, a program csak az ikonsorra kerül. Innen bármikor elérhetjük. Jobb gombbal kattintva az ikonra, és az Exit menüpontot választva, a programból ki tudunk lépni. Titkosított partíció létrehozása A TrueCrypt-tel titkosítani tudunk egész partíciót, valamint titkosított fájlokat hozhatunk létre, melyeket aztán úgy mountolhatunk, mint új merevlemezt. Én azt szeretem, ha az egész partíció titkosítva van. Ennek a módszernek sajnos van egy hátránya: a teljes partíciót formatálni kell, tehát MINDEN ADAT EL FOG VESZNI! A titkosított partíció létrehozásához kattintsunk a Create Volume gombra.
gombra. 5. ábra: Új titkosított partíció létrehozása Én a Create a standard TrueCrypt volume opciót szoktam választani. Kattintsunk a Next 6. ábra: A titkosítandó fizikai partíció kiválasztása A megjelenő Volume Location ablakban van lehetőségünk kiválasztani, hogy titkosított fájlt, vagy partíciót szeretnénk létrehozni. Mint említettem, én az egész partíciót szeretném titkosítani, ezért a Select Device gombra kattintsunk.
7. ábra: Fizikai partíciók listája Az előugró ablakban az összes partíciót megtaláljuk válasszuk ki, melyiket szeretnénk titkosítani. A teszt kedvéért én az N: betűjelű, 2GB-os partíciómat fogom titkosítani. Ha kiválasztottuk a partíciót kattintsunk az OK gombra. 8. ábra: Kiválasztottuk a partíciót Ezzel kiválasztottuk a titkosítandó partíciót, majd kattintsunk a Next gombra.
9. ábra: Titkosító algoritmus választása A következő ablakban kell kiválasztanunk, hogy a partíciónkon melyik titkosító algoritmust szeretnénk használni. Minél biztonságosabb egy partíció annál lassabb az adatmozgatás. Tehát nekünk kell kiválasztani, a megfelelő sebesség/biztonság arányt. Ehhez segítséget nyújthat a Benchmark gomb. 10. ábra: Algoritmusok összehasonlítása Látható, hogy a Blowfish elég gyors, szinte alig csökken valamit is az átviteli sebesség, viszont az AES-Twofish-Serpent algoritmus - már a nevéből ítélve is - biztonságosabbnak tűnik. Az arany középútnak az AES valamint a Serpent tűnik. Én az AES algoritmust választottam. A teszt ablak a Close gombbal bezárható. Majd válasszuk ki a kívánt titkosító algoritmust, és a hash algoritmust. Én SHA-1 hasht szeretnék használni, így azt választottam.
11. ábra: A titkosított fájl méretének meghatározása A következő ablak akkor praktikus, ha fájlba titkosítunk, mivel abban az esetben itt tudjuk megadni a kívánt fájl méretét. Partíció esetén nem tudunk méretet állítani, automatikusan az egész partíció titkosításra kerül. 12. ábra: A védelem meghatározása Ahhoz, hogy ne tudja bárki mountolni a mi partíciónkat szükséges valamiféle védelem is. A TrueCrypt két megoldást is kínál. Használhatunk jelszavas védelmet, ezt minden mountoláskor meg kell adnunk, így ha távoli eléréssel szeretnénk mountolni, és nem használunk SSL-t akkor elég könnyen el tudják csenni a jelszavunkat. A jelszó legyen nehezen megfejthető. Tartalmazzon kis- és nagybetűket és számokat felváltva, és lehetőleg ne legyen értelmes szó. Elég rossz jelszó a kiscica, de ha kicsit odafigyelünk, és K1Sc1Ca -t írunk, máris megnehezítettük a jelszavunk feltörésére irányuló kísérletet. Természetesen sokkal jobb, ha jelszó generátorral készítünk egy jelszót.
Sajnos a jelszavak könnyen elfelejthetőek lehetnek, ezért valamivel szimpatikusabb és biztonságosabb megoldás a kulcsfájl használata. Ennek a megoldásnak is van hátulütője, csakúgy mint a jelszónak. Igaz a kulcsunkat nem fogjuk elfelejteni, mivel nem is érdemes megtanulni, de könnyedén letörölhetjük a fájlt, illetéktelen kézbe kerülhet, figyelmetlenül bánhatunk vele. NAGYON VIGYÁZZUNK JELSZAVUNKRA, VAGY KULCSFÁJLUNKRA, MERT AZ ÖSSZES ADATUNK AZOKTÓL FOG FÜGGENI! Én kulcsfájlt szeretnék használni, mivel jelszóból már rengeteg van a fejemben, és a gépemet rendszeresen használom VNC-n keresztül. Ehhez pipáljuk be a Use keyfiles opciót, majd kattintsunk a Keyfiles... gombra. 13. ábra: Kulcsfájl kezelő Ha rendelkezünk már TrueCrypt kulccsal, használhatjuk azt. Kattintsunk az Add File... gombra, és válasszuk ki a kívánt kulcsunkat. Amennyiben még nincs TrueCrypt kulcsunk, kattintsunk a jobb alsó sarokban a Generate Random Keyfile... gombra.
14. ábra: Kulcsgenerátor A megjelenő ablak egy táblázathoz hasonlít, melyben az értékek folyamatosan változnak, egér mozgással is tudunk segíteni a készlet változtatásában. Ha úgy gondoljuk, hogy jó lesz ez a készlet, kattintsunk a Generate and Save Keyfile..., ami generál nekünk egy kulcsot a készletből, majd lementi az általunk megadott helyre. Az én kulcsfájlom secret.key névre fog hallgatni. A név természetesen bármi lehet. 15. ábra: A lementett kulcsunkat használjuk A lementett kulcsfájlt most már hozzá tudjuk adni a kulcslistához.. Kattintsunk az Add File... gombra, és válasszuk ki az imént lementett kulcsfájlt. A kulcsunkra nagyon vigyázzunk! Írjuk ki minél hamarabb valamilyen adathordozóra. Lehetőség szerint két példányba, az egyik legyen a mounoláshoz használt, a másik a biztonsági mentés, ha véletlenül elveszne az
adathordozónk. Amennyiben a kulcsunk idegen kezébe kerülne, azonnal meg kell változtatnunk a mountoláshoz szükséges kulcsot. Pont úgy mintha elhagytuk volna az utcán a lakáskulcsunkat, akkor is célszerű a zárakat mihamarabb kicserélni, nehogy a becsületes megtaláló benézzen hozzánk. (A kulcscseréről majd kicsit később.) Ha hozzáadtuk a kulcsunkat a listához, akkor kattintsunk a jobb felső sarokban az OK gombra, majd a Volume Password ablakban a Next gombra. 16. ábra: Formatálás Ezután válasszuk ki, milyen fájlrendszert szeretnénk használni (FAT vagy NTFS), és milyen cluster méretet. Majd formatálnunk kell a partíciót. Ennek hatására a program véletlen adatokkal fogja feltölteni a partíció területét, ezzel téve lehetetlenné az adatok kinyerését a partícióról. Kattintsunk a Format gombra, a művelet megkezdéséhez. 17. ábra: A TrueCrypt is figyelmeztet minket a formatálás előtt Ha mégis van adat ezen a partíción jól nézzük át, mert ezután az adatok SOHA NEM ÁLLÍTHATÓK VISSZA!
18. ábra: A formatálás A formatálás a partíció méretétől függően hosszabb ideig is eltarthat. 19. ábra: Elkészült a partíciónk Amikor végzett a TrueCrypt ezzel az ablakkal jelzi nekünk. 20. ábra: Kiléphetünk, vagy új partíciót készíthetünk
Lehetőségünk van a Volume Created ablakban eldönteni, hogy szeretnénk-e új partíciót létrehozni, akkor kattintsunk a Next gombra, vagy ki szeretnénk lépni a varázslóból, akkor kattintsunk az Exit gombra. Én nem szeretnék több partíciót elkészíteni, ezért kilépek. Nézzük meg inkább, hogyan lehet a titkos partíciónkat használni. Partíciók használata Ahhoz hogy egy titkosított partíciót használni tudjunk mindenképp mountolnunk kell. Ehhez kattintsunk az ikonsoron a TrueCrypt ikonra. Megjelenik a TrueCrypt kezelőfelülete. 21. ábra: Válasszunk betűjelet Válasszuk ki, hogy a titkosított partíciónkat milyen betűjel alá szeretnénk mountolni. Én az E: betűjelet szeretném használni, ezért kijelölöm. Majd válasszunk egy partíciót, vagy fájlt amit mountolni szeretnénk. Nekem ugye egy partícióm van, ezért a jobb alsó sarokban lévő Select Device... gombra kattintok.
22. ábra: Válasszunk partíciót A már ismert partíciós listából válasszuk ki a mountolni kívánt partíciót. Az én titkosított partícióm az N: betűjel alatt található, ezért azt választom ki. 23. ábra: Kiválasztottam a partíciót Megjelent a kiválasztott partíció a Volume részben. Ezután kattintsunk a Mount gombra a bal alsó sarokban.
24. ábra: Használatba vétel Ahhoz hogy fel tudjuk mountolni a partíciónkat meg kell adnunk a hozzá tartozó jelszót, vagy kulcsfájlt, attól függően, mit állítottunk be. Nekem ugye kulcsfájlom van, ezért a jelszó mezőt üresen hagyom. A Use keyfiles... opciót pipáljuk be, és kattintsunk a Keyfiles... gombra. gombra. 25. ábra: Adjuk meg a kulcsunkat A kulcskezelőben adjuk a listához ismét a lementett kulcsunkat, majd kattintsunk az OK 26. ábra: Mountolás Ha kiválasztottuk a kívánt kulcsot, akkor kattintsunk ismét az OK gombra. Ha a partíció jelszóval védett, akkor csak a jelszót adjuk meg és kattintsunk az OK gombra.
27. ábra: Készen áll a partíció Ha minden jól ment, és jól adtuk meg a jelszavunkat, vagy megfelelő kulcsfájlt választottunk, akkor ez a képernyő fogad minket. Látható, hogy az E: meghajtó helyére mountoltuk a titkosított N: partíciónkat. Ezzel készen is vagyunk, használhatjuk a partíciót. A partíció automatikusan leválasztásra kerül, ha kikapcsoljuk a gépet, de lehetőség van manuálisan is leválasztani a Dismount gomb segítségével. Érdekesség A folyamat végén még mindig megmaradt az N: meghajtónk, de ezzel nem tudunk szinte semmit kezdeni, mivel a Windows nem ismeri fel titkosított partícióként. Azt gondolja, hogy az N: nincs formatálva. 28. ábra: A Total Commander szerint nincs is ilyen meghajtónk. Kicsit zavaró lehet, hogy nem tudjuk melyik betűjel épp melyik partíciót takarja. Könnyen adódhat az ötlet, hogy rejtsük el azokat a betűjeleket, amelyek titkosított partícióhoz tartoznak, mivel a titkosított partíció úgyis csak mountolás után érhető el. Vagyis jelen esetben az N: fölösleges.
A probléma megoldását a Windows Számítógép-kezelés nevű eszköze adja. Elérhető a Start -> Beállítások -> Vezérlőpult -> Felügyeleti eszközök -> Számítógép-kezelés menüponttal. 29. ábra: Lemezkezelés A Számítógép-kezelés ablakban bal oldalon válasszuk a Lemezkezelés opciót. Válasszuk ki az N: betűjelű partíciónkat. Majd kattintsunk rá jobb egérgombbal, és válasszuk a Tulajdonságok menüpontot. 30. ábra: Partíció tulajdonságok A felugró ablakban jelöljük ki az N: betűjelet, majd kattintsunk az Eltávolítás gombra. Ennek hatására eltűnik a használhatatlan N: meghajtó a rendszerből. Természetesen TrueCrypt be tudja mountolni ezután is a titkosított partíciónkat. Zárjuk be a Számítógép-kezelés eszközt, és ellenőrizzük, hogy tényleg eltűnt-e az N: meghajtó. Természetesen vissza is rakhatjuk a betűjelet, ehhez a partíciónál a Tulajdonságok ablakban a Hozzáadás gombra kell kattintanunk, és kiválasztani a kívánt betűjelet.
Jelszó vagy kulcsfájl cseréje Jelszavunkat érdemes gyakran változtatni, mivel kitudódhat, esetleg el is veszthetjük. A kulcsfájl cseréje nem olyan gyakori, de ha elhagyjuk, akkor mindenképp érdemes azt is azonnal lecserélni. Nyissuk fel a TrueCrypt ablakát, kattintsunk az óra melletti ikonra, vagy ha nem fut a TrueCrypt, indítsuk el. 31. ábra: A TrueCrypt kezelőfelülete Válasszunk ki egy titkosított partíciót vagy fájlt, aminek szeretnénk a beállításait módosítani. Kattintsunk a Select Device... vagy Select File... gombra. Nekem csak titkosított partícióim vannak, így kiválasztom a 68.4GiB méretű partíciómat. Ahhoz hogy módosítani tudjuk a partíció tulajdonságait, le kell választanunk a kívánt partíciót. Válasszuk ki a meghajtólistából, majd kattintsunk a Dismount gombra. Amennyiben használatban van a partíció, a program megkérdezi, hogy biztosan le akarjuk-e választani a meghajtót. 32. ábra: Leválasztás megerősítése
33. ábra: Válasszunk egy partíciót Ezután kattintsunk a Volume Tools... gombra, amely megjelenít néhány hasznos funkciót. 34. ábra: Volume Tools Itt válasszuk a legelső Change Volume Password... menüpontot.
35. ábra: Jelszó beállítása A felugró ablak két részre van osztva. A felső részben kell megadni a jelenlegi jelszavunkat, vagy kulcsfájlunkat, az alsó részben pedig az új adatokat. Először is állítsuk be a jelenlegi adatokat. Nekem kulcsfájllal, van védve minden egyes partícióm, ezért pipáljuk be a Use keyfiles opciót, majd kattintsunk a Keyfiles... gombra. 36. ábra: Adjuk meg a kulcsunkat Adjuk a listához a meghajtó védelmét szolgáló kulcsfájlunkat. Majd kattintsunk az OK gombra. Ezután az alsó részben adjuk meg a leendő adatokat, én most jelszót szeretnék beállítani a partícióhoz, ezért a jelszó mezőt fogom kitölteni. Feljebb írtam milyen követelményeknek felel meg egy jó jelszó, ezért én is választok egyet.
37. ábra: Jelszó megadása Megadom a jelszavamat, majd meg is erősítem, hogy nehogy elgépeljem. Mivel nem tetszett a z SHA-1 hash algoritmus, azt is meg tudom változtatni itt, mondjuk Whirlpool -ra, úgyhogy kiválasztom a HMAC-Whirlpool -t a listából. Ha mindent beállítottunk kattintsunk az OK gombra. Ha jól csináltuk, akkor megváltoztattuk a beállításokat, melyről értesít minket a program. 38. ábra: Sikeres jelszó vagy kulcsfájl csere