Samozřejmě si raději necháváte data citlivá na soukromí a máte k tomu veškerá práva. Nejlepším způsobem ochrany dat je silné šifrování. V tomto článku vám ukážeme, jak chránit nejen jednotlivé složky a soubory na vašem PC, ale také kompletní (systémové) disky, USB flash disky a vaše data v cloudu.
Když prohledáváte na internetu nástroje, které chrání data před zvědavýma očima, často skončíte s technikami, které vaše data tak či onak skryjí. To sahá od jednoduchých zásahů, jako je (dočasné) odebrání písmene jednotky v modulu Správa disků systému Windows, použití ADS (alternativní datové toky), až po komerční nástroje s pěkným grafickým rozhraním, jako je Secret Disk nebo Wise Folder Hider.
Všechny tyto metody mají společné to, že skutečný obsah dat zůstává nezměněn; pouze přístup je nějak maskovaný. Tento přístup sám o sobě nenabízí dostatečné záruky (viz také rámeček).
Prozatím je nejlepším způsobem, jak zajistit, aby vaše data byla skutečně nepřístupná neoprávněným osobám, spolehlivé šifrování. V tomto článku se proto zaměříme na (bezplatné) nástroje, které používají osvědčené šifrovací algoritmy. Nejprve se podíváme na některá řešení pro šifrování jednotlivých složek a souborů. Poté prozkoumáme, jak šifrovat celé (systémové) oddíly a USB flash disky a nakonec vám také poskytneme nástroj, který vám umožní zabezpečit vaše data u různých poskytovatelů cloudového úložiště.
Zabezpečení pomocí neznáma
Existuje několik nástrojů, které jsou určeny k ochraně vašich údajů před neoprávněnými osobami. Bohužel existuje také spousta aplikací, které nabízejí pouze falešné zabezpečení. To se obvykle týká proprietárních technik, které se snaží nějakým způsobem skrýt vaše data (zabezpečení pomocí neznáma). Pouze jeden příklad: Secret Disk. Tento nástroj ukládá vaše data do virtuální složky, která se v zásadě zobrazí pouze se správným heslem. S bezplatným nástrojem, jako je Process Monitor, rychle zjistíte umístění této skryté složky (C: \ Users \ AppData \ Local \ Administrator. {…}). Poté jej lze otevřít, když k němu přistupujete například pomocí živého média Linux. O této zadní vrátce jsme informovali výrobce tohoto nástroje, ale nedostali jsme žádnou odpověď.
01 AES Krypta
Jedním z lepších nástrojů pro šifrování jednotlivých složek a souborů je bezplatná AES Crypt (k dispozici pro Windows 32 a 64 bit, macOS a Linux). To samozřejmě má hodně společného s použitým šifrovacím algoritmem: 256bitový Advanced Encryption Standard, který byl oficiálně schválen NIST (National Institute of Standards and Technology). Navíc byl zveřejněn zdrojový kód AES Crypt, který umožňuje komukoli zkontrolovat potenciální zadní vrátka.
Po instalaci najdete AES Crypt v místní nabídce Průzkumníka: klikněte pravým tlačítkem na soubor (výběr) a vyberte Šifrování AES. Zadejte dvakrát silné heslo a potvrďte pomocí OK. Nyní bude vytvořena šifrovaná kopie vašich souborů s příponou aes. Pamatujte, že pokud si přejete, musíte původní data stále sami mazat. Dešifrujete data podobným způsobem: klepněte pravým tlačítkem na takový soubor aes, vyberte AES dešifrovat a zadejte příslušné heslo. AES Crypt lze také ovládat z příkazového řádku.
02 Challenger: standardní
Bezplatný nástroj Challenger je o něco složitější, ale také flexibilnější. Program je k dispozici pouze pro Windows; bezplatná verze používá 128bitové šifrování. Během instalace si můžete vybrat mezi skutečnou instalací nebo přenosnou verzí. Ten má tu výhodu, že jej lze ovládat také z USB flash disku.
Při prvním spuštění zadáte jako počáteční heslo výchozí heslo Berlín v. Po potvrzení se zobrazí nové dialogové okno. Stiskněte tlačítko zde Spravujte přístupové fráze, vyberte Kanál A - hlavní fráze a klikněte na Nový, po kterém zadáte silné heslo (2x). Potvrďte pomocí OK a s Zavřít. Nyní se dostanete do hlavního okna, kde kliknete Aktivujte přístupovou frázi klikněte a zadejte heslo, které jste právě zadali.
Nyní můžete zašifrovat požadovaná data přidáním souborů nebo dokonce celé složky k ikoně Drag & Drop v hlavním okně. Poté potvrďte pomocí Šifrovat. Aktuálně viděný kanál (s přístupovou frází) A je aktivní, Challenger k tomu automaticky použije heslo tohoto kanálu. Související soubory dostanou příponu cha a na rozdíl od AES Crypt jsou původní data okamžitě „vymazána“. Chcete-li dešifrovat soubory cha, přetáhněte je do Drag & Drop, klikněte na Dešifrovat a po zobrazení výzvy zadejte heslo.
03 Challenger: kanály
Ve službě Challenger je k dispozici osm kanálů a každý kanál lze považovat za úložiště, které je pokaždé chráněno jiným heslem. Pomocí tlačítka Spravujte přístupové fráze přidružíte heslo k vybranému kanálu. Pokud chcete také použít kanál B, bylo by dobré nahradit výchozí heslo (Berlín) vlastním.
Možná jste si všimli, že kanály A a B jsou kanály „Masterphrase“, zatímco ostatní kanály (C až H) jsou běžné kanály „Passphrase“. To znamená, že každý, kdo zná heslo A a / nebo B, automaticky získá přístup k datům zašifrovaným (heslem) jednoho z ostatních kanálů. Není tomu naopak: například heslo kanálu C lze použít pouze pro tento jeden kanál. To umožňuje scénáře, kdy rodiče nebo zaměstnavatelé znají „hlavní frázi“, ale děti nebo zaměstnanci znají pouze běžnou „přístupovou frázi“.
Je také užitečné vědět: je naprosto možné zašifrovat disk (sletter) pomocí Challengeru najednou. Soubory na této jednotce jsou poté jednotlivě šifrovány.
04 VeraCrypt: svazky
Pokud je vaším záměrem skutečně zašifrovat celý disk (oddíl), měli byste si dávat pozor na nástroj, jako je bezplatný VeraCrypt (k dispozici pro Windows, macOS a Linux). Podíváme se zde na variantu Windows. Veracrypt je neoficiální nástupce zaniklé a stále tak populární TrueCrypt.
Můžete také zašifrovat systémový oddíl pomocí Veracryptu, ale protože pravděpodobně chcete hlavně chránit svůj datový oddíl, omezíme se na to.
Po instalaci spusťte VeraCrypt a stiskněte tlačítko Vytvořte objem. Poté vyberte Šifrujte nesystémový oddíl / jednotku, Lis Další a vybrat Výchozí objem VeraCrypt. Další možností je ještě jedna Skrytý objem VeraCrypt: to je svazek, který se vnořuje zcela do jiného, skrytého svazku. V závislosti na hesle, které zadáte, VeraCrypt připojí vnější, skrytý svazek nebo vnitřní skrytý svazek. Pokud jste někdy nuceni heslo odhalit, samozřejmě odhalíte pouze heslo vnějšího svazku: obsahuje fiktivní data nebo data, která nejsou citlivá na soukromí.
05 VeraCrypt: formátování
Zde se rozhodneme pro standardní svazek. Dalším krokem je logické označení požadovaného svazku, kterým může být také USB flash disk. Po potvrzení vyberte Vytvářejte a formátujte šifrovaný svazek. Mějte však na paměti, že všechny existující soubory budou přepsány náhodně vygenerovanými daty! Pokud je to nutné, musíte jej nejprve zabezpečit na jiném místě a po vytvoření svazku obnovit, aby byla vaše data stále šifrována. Stiskněte znovu Další a nechat na pokoji AES tak jako Šifrovací algoritmus vybrána - je také možná kombinace několika algoritmů. Také Algoritmus hash můžete jej nechat klidně zapnutý SHA-512. Stiskněte znovu Další (2x) a zadejte komplexní heslo (2x). Vybrat Ano pokud chcete na tento svazek umístit soubory větší než 4 GB, aby VeraCrypt mohl poskytnout vlastní souborový systém. V dalším okně několikrát náhodně posuňte ukazatel myši. Volitelně můžete zaškrtnout políčko vedle Rychlý formát po kterém stisknete Formát kliknutí. Pokud jste si jisti, potvrďte pomocí Ano a počkejte na dokončení formátu.
06 VeraCrypt: (dis) odkaz
Potvrďte pomocí OK a s Zavřít, po kterém se vrátíte do hlavního okna VeraCrypt. Ve sloupci Stanice vyberte písmeno jednotky zdarma a klikněte na Vyberte zařízení. Podívejte se na požadovaný svazek - který mezitím již Průzkumník nemá přístup; pokud se pokusíte, alespoň nepřijměte návrh na jeho formátování - a stiskněte tlačítko Pár, poté zadejte heslo a potvrďte pomocí OK. O chvíli později VeraCrypt připojil váš svazek k tomuto písmenu jednotky. Pokud je tento odkaz aktivní, můžete ke svazku přistupovat také pomocí Průzkumníka: všechna data, která zde umístíte, budou automaticky šifrována. Přerušíte spojení s Odpojit, pak budou všechna data na tomto svazku opět okamžitě nepřístupná.
07 VeraCrypt: přenosný
Jak již bylo zmíněno v tipu 05, můžete pomocí VeraCrypt také zašifrovat kompletní USB flash disk. Pokud chcete také přistupovat k této šifrované paměti na jiných počítačích, kde není nainstalován VeraCrypt, postupujte jinak. Poté vyberete v průvodci vytvořením Vytvořte šifrovaný kontejner souborů, po kterém přijdete Umístění svazku zadejte neexistující název souboru na klíčence. Po potvrzení nastavte vhodnou velikost svazku a postupujte podle dalších pokynů průvodce.
Stick by měl také obsahovat některé další soubory. Ujistěte se, že je hlasitost namontována na páce (viz tip 06), otevřete nabídku Nástroje a vybrat Vytvořte disk Traveler. Pomocí tlačítka vyhledejte (kořenovou složku) USB flash disku Listy; volitelně zaškrtněte možnost Spusťte VeraCrypt do v Konfigurace AutoRun - v závislosti na konfiguraci systému Windows v zařízení se VeraCrypt spustí automaticky po připojení zařízení stick. Potvrďte tlačítkem Vytvořit a zavřete okno. Mějte však na paměti, že abyste mohli používat VeraCrypt v přenosném režimu, musíte mít oprávnění správce k zařízení, ke kterému připojíte klíč.
BitLocker
Pokud máte Windows Pro, Enterprise nebo Education, nemusíte k zašifrování (systémového) oddílu nebo USB klíče nutně používat externí nástroj. Standardně můžete použít dodaný nástroj BitLocker. Tuto funkci aktivujete následujícím způsobem. Otevřete Windows Kontrolní panel, přejděte do sekce Systém a zabezpečení, klikněte na BitLocker Drive Encryption a vyberte požadovanou stanici Povolit nástroj BitLocker. Pokud se rozhodnete pro vyměnitelné paměťové médium, jako je USB flash disk, všimnete si, že zde uvedená technologie se nazývá BitLocker To Go (co je ve jménu). Zobrazí se dialogové okno, ve kterém budete postupovat podle dalších pokynů. V zásadě zadáte heslo, které uchováte někde v bezpečí, a určíte, zda zašifrujete celý disk nebo pouze použitý prostor na disku. Nakonec stiskněte tlačítko Začněte šifrováním.
Pokud chcete zašifrovat systémový oddíl, musí váš počítač v zásadě mít modul TPM. Pokud si BitLocker na to stěžuje, můžete to vyřešit také pomocí softwaru. Pokyny k tomu najdete online.
08 USB klíčenka
Zdá se vám metoda VeraCrypt příliš těžkopádná na bezpečné zašifrování vašeho USB flash disku, nebo váš flash disk neposkytuje hardwarové řešení pro šifrování vašich dat (zabezpečené otiskem prstu nebo číselnou klávesnicí, například pomocí Corsair Padlock)? Pak vám také unikne nástroj jako Rohos Mini Drive nebo poněkud starší SecurStick. Na rozdíl od přenosného nástroje VeraCrypt tyto nástroje nevyžadují práva správce.
Rohos Mini Drive vytvoří virtuální oddíl šifrovaný pomocí AES-256, který je po zadání hesla přístupný pomocí vlastního písmene jednotky. Bezplatná verze vás omezuje na oddíl s maximálně 8 GB.
SecurStick funguje úplně odlišně (k dispozici pro 32- a 64bitové systémy Windows, macOS a Linux). Položíte soubor exe na svou hokejku a spustíte jej odtud. Váš prohlížeč nyní automaticky otevře místní stránku //127.0.0.1/login, protože SecurStick se instaluje jako server WebDAV. Jakmile zadáte heslo, na vaší paměti bude vytvořen 256bitový šifrovaný kontejner AES. Po potvrzení k němu máte přístup prostřednictvím svého prohlížeče (přes // localhost / X) nebo prostřednictvím Průzkumníka. Tato velikost kontejneru se automaticky přizpůsobí datům v něm umístěným.
09 Cryptomator: start
Šance jsou samozřejmě v tom, že nejen uložíte všechna svá data místně a že použijete jednu nebo více služeb cloudového úložiště. Někteří poskytovatelé umožňují šifrování těchto dat, ale ve většině případů má poskytovatel (také) v ruce dešifrovací klíč. Pokud vám to nevadí, zvažte bezplatný nástroj, jako je Cryptomator (k dispozici pro Windows, macOS, Linux). Tím je zajištěno, že data ve vaší místní synchronizační složce jsou před odesláním do služby cloudového úložiště zašifrována. Zde se krátce podíváme na variantu Cryptomator pro Windows. Instalace se provádí několika kliknutími myší a při prvním spuštění programu je okno prázdné. Logické, protože nejprve musíte vytvořit „trezor“.
10 Cryptomator: bezpečný
Chcete-li to provést, klikněte na tlačítko plus a vyberte Vytvořit nový trezor. Zobrazí se okno Průzkumníka, ve kterém ukážete na složku. Může to být standardní složka na vašem disku, ale stejně tak (pod) složka v synchronizované složce vaší cloudové úložné služby, jako je Dropbox, OneDrive nebo Google Drive.
Zadejte vhodný název souboru pro váš trezor, klikněte na Uložit, zadejte silné heslo a potvrďte pomocí Vytvořit úložiště. Jakmile zadáte heslo a Odemkněte Sejf trezor je v Průzkumníkovi k dispozici jako virtuální jednotka. Písmeno jednotky je automaticky přiřazeno, pokud nekliknete na tlačítko Více možností sám o sobě poskytuje jiné písmeno.
Tato funkce je k dispozici také přes WebDAV: vyberte trezor, klikněte na šipku vedle Zamknout v bezpečí a vybrat Zkopírujte adresu URL WebDAV. Tuto adresu URL pak můžete vložit do adresního řádku prohlížeče. Ve výchozím nastavení to bude něco jako // localhost: 42427 //, ale stále můžete změnit číslo portu pomocí ikony ozubeného kola v dolní části přehledu úložiště.
Jakmile nastoupíte Zamknout v bezpečí uvidíte pouze data šifrovaná pomocí AES 256-bit. Podobně můžete nyní vytvořit další úložiště, a to i pro další služby cloudového úložiště.
