Bezpieczne przenoszenie danych

Sposobów za zabezpieczenie danych na nośnikach USB jest kilka. Oczywiste wyjście to zdać się w tej kwestii na producentów nośników. Wielu z nich, np. Kingston czy Corsair, ma w swojej ofercie pendrive’y, które fabrycznie są wyposażone w odpowiedni firmware zabezpieczający informacje szyfrowaniem i koniecznością wpisania hasła lub wstukania kodu na zintegrowanej klawiaturze numerycznej. Urządzenia te jednak mają wspólną wadę: są koszmarnie drogie w stosunku do ich pojemności. Ceny najtańszych nośników 16 GB zaczynają się od ok. 100 zł. Za dobrej klasy szyfrowany pendrive 64 GB trzeba zapłacić nawet ponad 1000 zł. Tych kosztów można uniknąć w bardzo prosty sposób: posługując się darmowym oprogramowaniem szyfrującym.

Jednym z najpopularniejszych i budzących największe zaufanie programów tego typu jest VeraCrypt. To oprogramowanie, które powstało jako pochodna popularnego niegdyś TrueCrypta i umożliwia skuteczne zaszyfrowanie nośników zarówno stacjonarnych, w tym również systemowych, jak i mobilnych. Tutaj zajmiemy się drugim przypadkiem i pokażemy dwa sposoby, za pomocą których można zabezpieczyć nośniki USB i przenosić dane bez obaw o ich przypadkowe udostępnienie postronnym.

Program VeraCrypt można zainstalować przy użyciu instalatora, który znajduje się na naszej płycie. Software ten działa podobnie jak menedżer wirtualnych dysków DVD. Po zainstalowaniu i uruchomieniu VeraCrypt umożliwi dodawanie nowych nośników, które pojawią się w oknie Mój komputer jako gotowe do wykorzystania napędy – to tak naprawdę dyski wirtualne. Program wykorzystuje wcześniej przygotowane zaszyfrowane archiwa, umożliwiając w ten sposób dostęp do bezpiecznego miejsca na pliki.

Przed przystąpieniem do przygotowania nośnika możemy zmienić język interfejsu programu. By to zrobić, uruchamiamy program VeraCrypt, klikamy Settings, a następnie wybieramy Language.... W oknie, które się pojawi, wskazujemy Polski, potwierdzając wybór przyciskiem OK. Język powinien zmienić się na rodzimy, a my możemy zabrać się do pracy.

By zaszyfrować pendrive’a, w głównym oknie programu klikamy przycisk Utwórz wolumen. W kolejnym oknie wybieramy Zaszyfruj bezsystemową partycję lub dysk i po potwierdzeniu wyboru przyciskiem Dalej wskazujemy Standardowy wolumen VeraCrypt. Następny krok to wybór urządzenia. Klikamy więc Wybierz urządzenie. Okno, które się pojawi, będzie zawierało listę wszystkich napędów w systemie. Pendrive na ogół będzie widoczny gdzieś na jej końcu – najprostszym sposobem identyfikacji jest pojemność urządzenia.

Kolejny krok to wybór trybu tworzenia wolumenu – pierwsza opcja, czyli Stwórz zaszyfrowany wolumen i sformatuj go, jest w porządku, ale jeśli ktoś już ma dane na nośniku, powinien w tym miejscu wybrać Zaszyfruj partycję w miejscu – wówczas dane nie zostaną utracone. Następnie należy zdecydować się na sposób szyfrowania. Standardowo zaznaczone AES i SHA-512 są prawidłowe, klikamy więc Dalej. W kolejnym oknie weryfikujemy wielkość wolumenu i ponownie przechodzimy do następnego kroku. Jedno z ostatnich okien kreatora to podanie i potwierdzenie hasła. Program udziela w tym miejscu dobrych wskazówek dotyczących bezpieczeństwa – warto się do nich dostosować i ustawić odpowiednio mocne hasło.

Jednym z ostatnich kroków jest wybór systemu plików. Kreator zapyta nas, czy chcemy przechowywać duże pliki. Jeśli tak, to w oknie Formatowanie wolumenu zobaczymy wybrany system plików exFAT, jeśli nie – FAT. Wybór ten można skorygować, decydując się np. na alternatywny NTFS. Okno to jest istotne również z innego powodu: program odczytuje tutaj ruchy myszy, tworząc na ich podstawie odpowiednio mocny klucz kryptograficzny. Wskaźnik u dołu okna informuje nas, jak długo jeszcze trzeba pomachać wskaźnikiem, by czuć się bezpiecznie. Po zakończeniu procedury klikamy Sformatuj. Gotowe!

Alternatywą dla szyfrowania całego nośnika jest utworzenie kontenera. To rodzaj archiwum, wewnątrz którego przechowywane są dane. Zaletą takiego kontenera jest to, że nie jest on powiązany na stałe z żadnym nośnikiem. Można go oczywiście przechowywać na pendrivie, ale równie dobrze możemy takie archiwum wysłać mailem, załadować do chmury lub po prostu zachować na dysku.

Proces przygotowania kontenera jest podobny do szyfrowania nośnika. Tak samo jak poprzednio klikamy przycisk Utwórz wolumen w głównym oknie VeraCrypt. Następnie wybieramy Stwórz zaszyfrowany plik (magazyn) i w kolejnym kroku Standardowy wolumen VeraCrypt. Potem musimy wskazać lokalizację kontenera – klikamy Wybierz plik. Pojawi się okno systemowe, w którym wybieramy miejsce na dysku. W tym samym oknie, w linijce Nazwa pliku, wpisujemy nazwę kontenera wraz z odpowiednim rozszerzeniem.

Co prawda VeraCrypt standardowo oznacza kontenery rozszerzeniem .HC, nic jednak nie stoi na przeszkodzie, by dla niepoznaki wybrać coś zupełnie innego. Na potrzeby powstania artykułu stworzono przykładowy plik-kontener fotka.jpg, wpisując taką nazwę we wspomnianym wcześniej polu Nazwa pliku i wybierając Wszystkie pliki w polu Zapisz jako typ. Oczywiście takiego archiwum nie będzie można otworzyć w programie graficznym. Chodzi tu bardziej o to, by osoba nieuprawniona na pierwszy rzut oka nie zorientowała się, że ma do czynienia z archiwum, w którym są ukryte inne dane.

Po utworzeniu pliku kontenera pojawi się znane już okno z wyborem algorytmów szyfrujących i mieszających. Ponownie AES oraz SHA-512 będą dobrym wyjściem. Klikamy Dalej. Kolejny punkt to wielkość wolumenu. Wpisujemy tutaj pożądaną pojemność. Warto pamiętać, że jeśli chcemy np. wysłać mailem archiwum, nie może ono być zbyt duże – w tym miejscu można ustawić odpowiednią wartość, która potem nie sprawi problemów. Po wpisaniu rozmiaru zatwierdzamy go, klikając ponownie Dalej i wpisujemy odpowiednie hasło do kontenera. W oknie formatowania wolumenu tak samo jak poprzednio wybieramy system plików i po odpowiednio długim zbieraniu ruchów myszki formatujemy kontener. Koniec!

Za siłę szyfrowania odpowiadają użyte algorytmy. W poradniku sugerujemy zastosowanie AES-a oraz SHA-512. Ten pierwszy to algorytm szyfrujący, a konkretniej – szyfr blokowy, który w 2001 roku przyjął amerykański Narodowy Instytut Standaryzacji i Technologii jako standard. Od tamtego czasu wersja 256-bitowa jest uznawana za zabezpieczenie nie do złamania przy użyciu mocy obliczeniowej współczesnych komputerów. SHA-512 to z kolei funkcja haszująca, która, mówiąc w uproszczeniu, odpowiada za tworzenie ustandaryzowanych i unikatowych skrótów – odpowiedników większych porcji informacji.

Korzystanie z zaszyfrowanego wcześniej pendrive’a lub kontenera wygląda w zasadzie tak samo. W obydwu przypadkach w pierwszej kolejności należy wczytać nośnik. Zrobimy to, klikając w głównym oknie VeraCrypt Wybierz plik…, kiedy chcemy załadować kontener lub Wybierz urządzenie…, kiedy robimy użytek z zaszyfrowanej pamięci USB. W zależności od wyboru w następnym kroku trzeba wskazać lokalizację pliku lub pendrive’a, a potem w głównym oknie programu wybrać wolną literę dysku i kliknąć Podłącz w lewym dolnym rogu. Pojawi się okno, w którym musimy wpisać wcześniej podane hasło i je potwierdzić, klikając OK.

Załadowany za pośrednictwem programu VeraCrypt pendrive lub wolumen pojawi się w oknie Mój komputer pod wskazaną wcześniej literą. Będzie działał tak, jak każdy inny dysk twardy widoczny w tym samym miejscu. Uwaga! W przypadku użycia pendrive’a będzie on widoczny podwójnie, np. jako dyski E: i G: n. Pierwszy z nich to fizyczny nośnik, widoczny tak jak każdy inny po wpięciu go do portu USB. Jako że przestrzeń na dane jest zaszyfrowana, system będzie identyfikował go jako nośnik niesformatowany. Korzystamy oczywiście z drugiego napędu, który został załadowany do systemu za pośrednictwem VeraCrypta.

Właściciele profesjonalnej wersji systemu Windows 10 mogą skorzystać z programu BitLocker. Podobnie jak VeraCrypt pozwala on bezpiecznie przenosić dane po uprzednim zaszyfrowaniu nośnika. To dobre zastosowanie, gdy chcemy przenosić duże pliki i mamy odpowiednią wersję systemu operacyjnego – BitLockera niestety nie można doinstalować osobno do wersji Windows 10 Home.

Włóż pendrive do gniazda USB. Upewnij się, że nie ma na nim istotnych danych, gdyż podczas szyfrowania wszystkie zostaną utracone. Następnie w oknie Mój komputer kliknij ikonę nośnika prawym przyciskiem myszy i z menu wybierz opcję Włącz funkcję BitLocker.

W oknie, które pojawi się po przygotowaniu nośnika do zaszyfrowania, należy wpisać i powtórzyć hasło. Można też zdecydować się na użycie karty inteligentnej (czyli w praktyce podpisu elektronicznego) – ale przeciętnemu użytkownikowi polecamy skorzystać ze zwyczajnego hasła. Po potwierdzeniu go w kolejnym oknie kreator szyfrowania wymusza na użytkowniku stworzenie kopii zapasowej klucza odzyskiwania. Pozwoli on w razie potrzeby odszyfrować dane.

Kodując dysk lub pendrive, możemy zaszyfrować nie tylko istniejące pliki, lecz także całą przestrzeń. Można zdecydować się na ten pierwszy sposób. Jest on szybszy, a nowe pliki, które będą później dodawane na zaszyfrowany już nośnik, zostaną tak czy inaczej solidnie zabezpieczone.

Po kliknięciu przycisku Rozpocznij szyfrowanie nośnik zostanie zabezpieczony. Może to potrwać nawet kilkadziesiąt minut lub dłużej – w zależności od pojemności urządzenia oraz stopnia jego zapełnienia.

Po podłączeniu zaszyfrowanego nośnika do peceta pojawi się okno, w którym użytkownik będzie musiał wpisać hasło. Dopiero wówczas dostęp do danych będzie możliwy. Zaszyfrowany BitLockerem pendrive lub dysk będzie współpracować również z domowymi edycjami systemu Windows. Wersja Pro jest jedynie potrzebna, by stworzyć zaszyfrowany nośnik.

Doraźnym i bardzo szybkim sposobem zabezpieczenia danych na zewnętrznej pamięci może być użycie programu do pakowania plików, jak np. WinRAR lub 7-Zip. Podczas tworzenia archiwum w oknie opcji możemy wprowadzić hasło, wybrać jeden ze sposobów szyfrowania, jak również zabezpieczyć nazwy plików w archiwum przed odczytaniem. Takie zastosowanie archiwizera ma swoje zalety i wady. Tą pierwszą jest niewątpliwie uniwersalność i szybkość, z jaką można zabezpieczyć dane. Minusami są z kolei niewygodny dostęp do plików, które po podaniu hasła do archiwum trzeba wypakowywać, jak i mniejszy poziom bezpieczeństwa, jeśli nie zdecydujemy się zaszyfrować nazw i rozszerzeń plików.