Bezpieczny pendrive w 5 krokach

PORADY
KNOW HOW
Jak zabezpieczyć swoje dane na podręcznym nośniku
Bezpieczny pendrive
w 5 krokach
Pendrive’y mają niewielkie wymiary i często się gubią. Wówczas trafiają w obce ręce. Przeczytaj, jak
nie dopuścić do tego, by twoje poufne dane poznały niepowołane osoby.
Z
abezpieczanie treści zgromadzonych na kieszonkowych pamięciach USB stało się niemal
koniecznością. Jeśli przechowujesz na
nośnikach osobiste informacje, powinieneś koniecznie zastosować się do
wskazówek zawartych w tym artykule.
Bezpłatny program TrueCrypt [na
DVD] umożliwia bezpieczne magazynowanie danych przy zachowaniu wygodnego dostępu do nich.
TrueCrypta
na pendrivie
1Instalowanie
Program instalacyjny TrueCrypta oferuje dwie opcje – Install i Extract. Za
pomocą pierwszej z nich zainstalujesz
aplikację w komputerze z systemem
Windows. Jednak nic ci to nie da, gdy
wybierzesz się w podróż ze swoim kieszonkowym dyskiem USB i zechcesz
uzyskać dostęp do zapisanych na nim
plików w cudzym komputerze. W tym
110 wrzesień 2010 | www.pcworld.pl
wypadku zaznacz opcję Extract i kliknij przycisk Next. Na ekranie pojawi się
ostrzeżenie, które możesz potwierdzić
przyciskiem Tak.
W następnym oknie dialogowym należy podać folder docelowy. Najlepiej
podać tu od razu żądany dysk zewnętrzny, a więc swój pendrive. Rozpakuj archiwum TrueCrypta do folderu X:\TrueCrypt (X: oznacza literę
pendrive’a – podaj właściwą literę
swojego dysku USB). Gdy instalator
upora się ze wszystkimi czynnościami, będziesz mógł uruchamiać TrueCrypt z pendrive’a w każdym komputerze z systemem Windows.
Dodatkowa wersja w komputerze
stacjonarnym. Korzystając z opcji
Install, powinieneś ponadto zainstalować TrueCrypta w swoim komputerze
domowym. Wspomniany powyżej sposób instalowania z opcją Extract jest
obarczony pewną wadą. Po każdym
przywołaniu go program szyfrujący
musi wczytać swój sterownik, a do tego
są potrzebne uprawnienia administratora. Dlatego w Viście i Windows 7 za
każdym razem pojawia się ostrzeżenie
modułu Kontrola konta użytkownika,
które trzeba potwierdzać przyciskiem
Tak. A gdy zainstalujesz TrueCrypt
w komputerze stacjonarnym, sterownik będzie automatycznie wczytywany
przez Windows, więc na ekranie nie
wyświetlą się monity Kontroli konta
użytkownika. Pamiętaj o zastosowaniu
w komputerze tej samej wersji TrueCrypta, co na pendrivie.
UWAGA!
Dodatek z polskim tłumaczeniem interfejsu
jest niekompletny, dlatego zarówno
w tekście artykułu, jak w wypadku ilustracji
zdecydowaliśmy się skorzystać z angielskojęzycznego oryginału.
JAK ZABEZPIECZYĆ SWOJE DANE NA PODRĘCZNYM NOŚNIKU
KNOW HOW
chcesz go użyć. W oknie Volume Format poruszaj przez kilka sekund losowo myszą w różnych kierunkach, po
czym kliknij przycisk Format. Gdy
na ekranie pojawi się komunikat The
TrueCrypt volume has been successfully created, potwierdź go przyciskiem
OK i zamknij okno kreatora, klikając
przycisk Exit.
Wszystkie opcje w oknach kreatora,
których nie wspomnieliśmy, możesz
pozostawić bez zmian. Sposób stosowania plików klucza bez ograniczeń,
o których mowa powyżej, opisujemy
w punkcie 5.
TrueCrypta można stosować jako aplikację przenośną. Zaznacz w tym celu opcję Extract
w trakcie instalowania.
woluminu
na pendrivie
2Zakładanie
Teraz TrueCrypt jest już zainstalowany na kieszonkowym dysku USB.
Przejdź na pendrive i uruchom
z niego plik TrueCrypt Format.exe.
Przechodź między poszczególnymi
oknami kreatora przyciskiem Next >,
zaznaczając następujące opcje: Create an encrypted file container, Standard TrueCrypt volume, Select File
(podaj nazwę pliku), AES.
W oknie Volume Location należy kliknąć przycisk Select File, przejść do katalogu głównego na pendrivie i wpisać
dowolną nazwę (np. Data). W tym pliku,
tzw. woluminie, będą później gromadzone twoje zaszyfrowane dane. Nazwa tego pliku i jego rozszerzenie nie
odgrywają dla TrueCrypta żadnej roli.
Plik może nawet nie mieć rozszerzenia
– jak w powyższym przykładzie.
W oknie Volume Size należy obrać
stosowny rozmiar woluminu w megabajtach lub gigabajtach. Nie może
on przekraczać maksymalnej pojemności pendrive’a. Jeśli da się przewidzieć, że ilość szyfrowanych zasobów
nawet na dłuższą metę nie przekroczy
np. 200 MB, 500 MB czy 1 GB, wpisz
odpowiedni rozmiar. Pozostały, niezaszyfrowany obszar pendrive’a możesz
nadal wykorzystywać w konwencjonalny sposób.
Na koniec musisz określić, w jaki
sposób chcesz uzyskiwać dostęp do
swoich zabezpieczonych danych
– za pomocą hasła, za pomocą pliku
klucza lub za pomocą obu tych metod. Stosując plik klucza, będziesz
mógł otwierać zaszyfrowany wolumin tylko w komputerach, w których jest zapisany ten plik – czyli
np. tylko w komputerze służbowym
lub domowym.
Jeśli chcesz korzystać bez ograniczeń
z zaszyfrowanych zasobów, wybierz
najprostszy wariant – wpisz hasło
w pole Password, potwierdź je w polu
Confirm i przejdź przyciskiem Next
do kolejnego okna. W wypadku za
krótkiego hasła program wyświetli
ostrzeżenie, pytając, czy na pewno
poufnych
danych w woluminie
3Zapisywanie
Aby umożliwić korzystanie z zaszyfrowanego woluminu, trzeba go każdorazowo podpinać w systemie jako
wirtualny dysk. Podłączanie woluminu następuje automatycznie – tylko
za pierwszym razem musisz zrobić
to ręcznie. Przywołaj w tym celu program TrueCrypt.exe na pendrivie. Następnie zaznacz dowolną literę dysku
na liście w górnej części okna. Kliknij
przycisk Select File i wskaż plik utworzony w punkcie 2 (w naszym przykładzie plik o nazwie Data). Potwierdź
przyciskiem Mount. Zależnie od wybranej przez ciebie metody dostępu
Informacje dodatkowe
Dlaczego akurat TrueCrypt? TrueCrypt jest obecnie najlepszym bezpłatnym oprogramowaniem, za
pomocą którego można chronić zawartość kieszonkowych dysków USB, a także lokalnych twardych
dysków przed nieautoryzowanym dostępem. Zapisuje dane w pliku zbiorczym zwanym woluminem
lub kontenerem, szyfrując je najnowocześniejszymi metodami. Porównywalna niegdyś aplikacja
CrossCrypt (scherer.cc/crypt) straciła w ostatnich latach na popularności i jej twórcy dali za wygraną. Wprawdzie szyfrowane hasłem archiwa programu kompresującego 7-Zip (www.7-zip.org) także
zapewniają wysoki poziom bezpieczeństwa, jednak są znacznie mniej poręczne niż woluminy TrueCrypta.
Jedyną wygodną alternatywą dysponuje tylko niewielka grupa osób. Mowa o użytkownikach edycji
Ultimate i Enterprise Windows 7. W tych wersjach systemu można tworzyć pliki wirtualnych dysków
VHD za pomocą konsoli zarządzania dyskami (przywołuje się ją, naciskając klawisze [Windows R]
i wpisując polecenie diskmgmt.msc). Taki plik VHD można potem podłączyć do systemu jako nową
partycję i zabezpieczyć ją windowsowym programem szyfrującym BitLocker.
Warianty instalacyjne TrueCrypta. W trakcie instalowania TrueCrypt oferuje dwa warianty – stacjonarny Install i przenośny Extract. Chcąc uruchamiać program szyfrujący z pendrive’a i chronić zgromadzone na nim pliki, należy wybrać opcję Extract. Wówczas TrueCrypt zostanie rozpakowany do
podanego folderu, jednak nie będzie scalony z systemem operacyjnym, więc można go stosować
w każdym komputerze, do którego podłączysz swój pendrive.
Opisana w materiale opcja dodatkowego zainstalowania na twardym dysku pozwala tylko uzyskać
większą wygodę, jeśli często korzystasz ze swojego pendrive’a. Zapobiega pojawiania się monitów
Kontroli konta użytkownika, które trzeba potwierdzać za każdym razem, gdy spróbujesz się odwołać do zaszyfrowanych zasobów. Jeśli jednak korzystasz z pendrive’a tylko raz lub dwa razy dziennie,
dodatkowe instalowanie TrueCrypta na twardym dysku nie jest konieczne.
wrzesień 2010 | www.pcworld.pl
111
PORADY
KNOW HOW
Crypt i kliknij przycisk Dismount,
aby odłączyć wolumin i usunąć wirtualny dysk.
4
Automatyczne podłączanie
i odłączanie woluminu
Zamiast żądać wpisania hasła TrueCrypt może wczytać plik klucza. Zasadniczo jest to
bezpieczniejsza metoda, lecz ma też swoje wady.
zostaniesz poproszony o wpisanie
hasła lub podanie ścieżki dostępu do
pliku klucza (jeśli zastosowałeś plik
tego rodzaju, kliknij przycisk Keyfiles
w oknie monitującym o hasło).
Teraz w oknie Eksploratora pojawi się
nowy, pusty dysk. W ramach czynności
przygotowawczych do następnego etapu załóż w głównym katalogu tego dysku plik tekstowy o nazwie Loaded.txt.
Kliknij w tym celu prawym przyciskiem
myszy w oknie pustego dysku. W menu
podręcznym wskaż polecenie Nowy |
Dokument tekstowy, po czym wpisz nazwę Loaded.
Skopiuj żądane pliki i foldery (a więc
te, które mają zostać zaszyfrowane)
na utworzony w ten sposób dysk. Po
zakończeniu tych czynności powróć
do głównego okna programu True-
Jeśli wykonałeś wszystkie czynności
opisane w punktach 1–3, na twoim pendrivie znajduje się folder TrueCrypt
i plik woluminu Data (zakładając, że
właśnie taką nazwę nadałeś mu na
etapie 2). Zasadniczo wystarcza to, aby
uzyskać wszędzie dostęp do zasobów
zabezpieczonych w woluminie na kieszonkowym dysku USB.
Można jednak ułatwić sobie dostęp
do zaszyfrowanych danych, wykorzystując możliwości wersji TrueCrypta
działającej w konsoli tekstowej. Za ich
pomocą można zainicjować automatyczne podłączanie i odłączanie dysku
wirtualnego z zaszyfrowanym woluminem. Wówczas program szyfrujący
przeniesie się dyskretnie na dalszy
plan i tylko w razie potrzeby będzie pytał o hasło.
Na etapie 3 utworzyłeś plik tekstowy
Loaded.txt w głównym katalogu zaszyfrowanego dysku. Teraz wystarczy
niewielki plik zawierający odpowiednie polecenia, tzw. wsadowy. Stosowny plik o nazwie Load+Unload.cmd
zamieściliśmy na płycie DVD dołączonej do numeru. Skopiuj go do głównego katalogu pendrive’a. Wówczas na
kieszonkowym dysku USB będą się
Informacje dodatkowe
Zalety i wady plików klucza. Stosowanie plików klucza zapewnia większe
bezpieczeństwo, bo klucz jest przeważnie dłuższy od typowych haseł definiowanych przez użytkowników. Na dodatek metoda ta jest wyjątkowo
wygodna, bo umożliwia dostęp do zaszyfrowanych zasobów bez wpisywania hasła. Ma jednak spore wady. Będąc w podróży, nie dostaniesz się do
zabezpieczonych zasobów, bo nie będziesz miał dostępu do pliku klucza.
Jeśli z twojego komputera korzysta kilka osób dysponujących prawami
administratora, każda z nich może dobrać się do twojego zaszyfrowanego
woluminu i odczytać zgromadzone w nim poufne informacje, a nawet pozmieniać je lub usunąć. A gdy plik klucza ulegnie uszkodzeniu (np. w wyniku awarii dysku), stracisz całkowicie dostęp do zabezpieczonych zasobów.
Stosowanie pliku klucza. Jeśli mimo to zamierzasz stosować plik klucza,
nie ustawiaj hasła w polach Password i Confirm, lecz zaznacz pole wyboru
Use keyfiles i kliknij przycisk Keyfiles po prawej stronie. Następnie kliknij
przycisk Add Files i wskaż plik na twardym dysku. Plik ten należy skopiować
do wszystkich komputerów, w których chcesz korzystać z zaszyfrowanego
woluminu na pendrivie.
Wyjmowanie pendrive’a. Nie powinieneś tak po prostu wyciągać z gniazda USB swojego kieszonkowego dysku USB z wczytanym woluminem
112 wrzesień 2010 | www.pcworld.pl
TrueCrypta. Należy wcześniej odłączyć wolumin przyciskiem Dismount
w głównym oknie programu i wyrejestrować pendrive. Najlepiej zrobić to
za pomocą ikony Bezpieczne usuwanie sprzętu w obszarze powiadomień
(na pasku zadań obok zegara). Gdyby wolumin nie został wcześniej odłączony, zobaczyłbyś stosowny komunikat.
Używanie TrueCrypta z konsoli tekstowej. Wszystkie najważniejsze funkcje programu dostępne w graficznym interfejsie użytkownika można także przywoływać specjalnymi poleceniami z poziomu okna Uruchamianie
(menu Start | Uruchom), skryptów, plików wsadowych czy chociażby zwykłego skrótu. Oto przykład:
truecrypt.exe /volume x:\data
Tym poleceniem otworzysz podany wolumin Data. Przełącznikiem /dismount odłączysz wszystkie woluminy lub tylko określony. Konkretny przykład zastosowań znajdziesz w pliku Load+Unload.cmd. Angielskojęzyczną
dokumentację wszystkich poleceń TrueCrypta znajdziesz w pliku TrueCrypt
User Guide.pdf (w katalogu, w którym zainstalowałeś aplikację). Przywołasz ją także, klikając menu Help | User’s Guide w głównym oknie aplikacji.
JAK ZABEZPIECZYĆ SWOJE DANE NA PODRĘCZNYM NOŚNIKU
znajdować folder TrueCrypt oraz pliki Data i Load+Unload.cmd.
Przed pierwszym przywołaniem tego
pliku sprawdź treść poszczególnych
poleceń. Kliknij go w tym celu prawym
przyciskiem myszy i wskaż polecenie
Edytuj. Jeśli nadałeś swojemu woluminowi inną nazwę niż Data, zmień ją
w wierszu 14. A jeśli twój plik tekstowy
w głównym katalogu pendrive’a nie
nosi nazwy Loaded.txt, skoryguj odpowiednio wiersz 15.
Jeżeli wszystkie nazwy zgadzają się ze
stanem faktycznym, przywoływanie
zaszyfrowanego dysku działa łatwo
i bardzo sprawnie. Wsuń pendrive do
gniazda USB w komputerze, poczekaj
jak zazwyczaj, aż zostanie wykryty
przez system. Teraz podłącz zaszyfrowany wolumin, klikając dwukrotnie
powyższy plik wsadowy. Program
TrueCrypt pozostanie niewidoczny,
wyświetlając tylko prośbę o wpisanie
hasła. Aby odłączyć zaszyfrowany wolumin, wystarczy ponowne dwukrotne
kliknięcie pliku wsadowego. Nie powinieneś o tym zapomnieć przed wyciągnięciem pendrive’a z gniazda USB.
W przeciwnym razie grozi ci utrata
danych!
wygoda przy
użyciu pliku klucza
5Większa
Jak wspomnieliśmy w punkcie 2, stosowanie pliku klucza jest wygodniejsze
od wstukiwania hasła. Plik tego rodzaju ma jednak wadę: dostaniesz się do
zawartości zaszyfrowanego archiwum
tylko w komputerach, w których został
zapisany. Jest jednak sposób na usunięcie tej niedogodności.
Zaawansowana porada dla doświadczonych użytkowników. Stosując poniższą sztuczkę, zmusisz TrueCrypta,
aby domyślnie otwierał zaszyfrowany
wolumin za pomocą pliku klucza, lecz
w razie braku tegoż pliku pytał użytkownika o hasło. Program udostępnia
nie tylko interfejs graficzny. Można
nim sterować także z poziomu konsoli
tekstowej. Dopuszcza przywołanie woluminu z podanym plikiem klucza. Oto
przykład:
truecrypt /volume x:\data /keyfile
c:\tools\key.txt
KNOW HOW
Aby ręcznie otworzyć wolumin TrueCrypta, zaznacz wolną literę dysku i wskaż
zaszyfrowany plik. Gdy klikniesz przycisk Mount, pojawi się okno z prośbą o wpisanie
hasła.
Powyższe polecenie otwiera wolumin
Data na dysku X: za pomocą pliku klucza Key.txt (na dysku C:).
Wystarczy kilka poleceń, aby zrealizować obie wspomniane opcje. Jeśli
jest dostępny plik klucza, TrueCrypt
otwiera nim zaszyfrowany wolumin,
nie angażując użytkownika, natomiast
w razie braku tego pliku prosi o podanie hasła. Plik wsadowy zapisuje wpisane hasło tymczasowo w pliku keyfile,
po czym przekazuje go TrueCryptowi.
Jako wzorzec takiego pliku wsadowego
możesz zastosować Load+Unload_[K].
cmd, zamieszczony na płycie DVD, którą dołączamy do numeru. Plik ten skopiuj do głównego katalogu na swoim
pendrivie.
Gdy przywołasz go dwukrotnym kliknięciem myszy, podłączenie zaszyfrowanego woluminu, rzecz jasna, nie powiedzie się. Zgodnie ze wskazówkami
w punktach 1–4 nie przypisaliśmy mu
bowiem pliku klucza. Mimo to uruchom plik wsadowy, aby wpisać długie, trudne do złamania i odgadnięcia
hasło. Wówczas na pulpicie Windows
pojawi się nowy plik Key.txt zawierający to hasło. Przenieś go do dowolnego
folderu.
Teraz możesz przestawić zaszyfrowany wolumin na pendrivie na korzystanie z tego pliku klucza. Przywołaj
w tym celu program TrueCrypt.exe
z pendrive’a. Kliknij przycisk Select
File i wybierz plik z zaszyfrowanym
woluminem (w naszym przykładzie jest
to plik Data). Następnie kliknij przycisk Volume Tools i wskaż polecenie
Change Volume Password. Znajdziesz
się w oknie Change Password or Keyfiles. Wpisz dotychczasowe hasło w pole Password sekcji Current. Natomiast
w sekcji New kliknij przycisk Keyfiles.
W kolejnym oknie kliknij przycisk Add
Files, przejdź do katalogu z plikiem klucza Key.txt, zaznacz ten plik i potwierdź,
klikając oba przyciski OK. Przestawienie woluminu z hasła na plik klucza
może potrwać dłuższą chwilę.
W dalszej kolejności sprawdź plik wsadowy, klikając go prawym przyciskiem
myszy i wskazując polecenie Edytuj.
Skoryguj wiersze 15–17 tak, aby ich
treść zgadzała się ze stosowanymi przez
ciebie nazwami plików. Wprowadzanie
innych zmian nie jest konieczne.
Hermann Apfelböck,
tłum. i oprac. Krzysztof Daszkiewicz
Þ INFO: go.pcworld.pl/e63dd
wrzesień 2010 | www.pcworld.pl
113