Pliki pod kluczem

Na dyskach komputerów i nośnikach zewnętrznych oraz w pamięci urządzeń przenośnych, np. smartfonów, przechowujemy coraz więcej danych. Są to zarówno informacje błahe i pozornie nieistotne, jak i bardzo cenne, które nie powinny znaleźć się w cudzych rękach. Wśród nich mogą być np. prywatne zdjęcia, dane osobowe, numery kont bankowych, dokumentacja medyczna, informacje dostępowe do różnych serwisów, faktury czy wyniki naszej ciężkiej pracy. Niezabezpieczone dane to prosta droga do kradzieży naszej tożsamości. Oprócz tego do naszego komputera czy nośników mogą mieć też bezpośredni, fizyczny dostęp inni domownicy, znajomi czy współpracownicy.

Zanim jednak zaczniemy chronić ważne dla nas zbiory – np. poprzez szyfrowanie – należy też zadbać o skuteczną ochronę antywirusową i regularne skanowanie komputera, silną zaporę (firewall) oraz o archiwizację najcenniejszych plików. Te przechowywane w postaci backupu też trzeba zabezpieczyć przed niepowołanym dostępem, jeśli narzędzie, za pomocą którego wykonujemy kopie bezpieczeństwa, nie ma takiej możliwości.

Szyfrowanie plików i folderów, ale także transmisji danych przez internet ma na celu zachowanie poufności danych. W zależności od zastosowanej metody (algorytmu) może ono być mniej lub bardziej skuteczne. Jak to działa? Najprościej mówiąc: oryginalne dane są odpowiednio modyfikowane w taki sposób, aby stały się nieczytelne. Oczywiście jest to proces odwracalny. Aby przywrócić ich poprzedni stan, konieczne jest użycie klucza deszyfrującego, który znany jest jedynie osobie uprawnionej. Najczęściej takim kluczem jest hasło. Im bardziej skomplikowane (powinno być długie i zawierać cyfry i znaki specjalne), tym trudniej je złamać. Szyfrowanie odbywa się z wykorzystaniem specjalnych, skomplikowanych algorytmów matematycznych. Zaszyfrowany plik staje się ciągiem z pozoru przypadkowych zer i jedynek. Dopiero znając metodę szyfrowania i odpowiedni klucz, jesteśmy w stanie odczytać zawarte w pliku informacje. Niewiele osób zdaje sobie sprawę, jak często każdego dnia ma do czynienia z szyfrowaniem. Używanie sieci Wi-Fi, korzystanie z bankowości internetowej czy zwykła rozmowa przez telefon komórkowy to czynności, które wymagają szyfrowania. Ma ono tę zaletę, że nasze dane są bezpieczne także w przypadku fizycznej utraty telefonu, laptopa czy pendrive’a w wyniku kradzieży lub zgubienia. Co ciekawe, do zabezpieczania danych wcale nie musimy korzystać z płatnych czy zaawansowanych narzędzi. Często wystarczy oprogramowanie wbudowane w system operacyjny.

Niektóry czytelnicy z pewnością słyszeli o szyfrze Cezara, zwanym też cyklicznym. Jest to metoda wynaleziona ponad 2000 lat temu, a zasada jej działania polega na szyfrowaniu i deszyfrowaniu z wykorzystaniem 26 liter alfabetu. Aby zakodować wiadomość, wybraną literę zamieniamy na inną, która jest od niej o „x” pozycji dalej w alfabecie, np. o 3. Jeśli literą do zaszyfrowania jest, dajmy na to, ostania z alfabetu, czyli Z, i brakuje nam kolejnych, wracamy na początek, czyli – pierwsza A, druga B i trzecia C. „X” to w tym przypadku klucz szyfrujący, dzięki któremu odczytamy zakodowane informacje. Przykładem takiego szyfru jest ROT13 używany kiedyś np. w programie pocztowym Outlook Express, a dziś sporadycznie stosowany w Usenecie do zakodowywania wiadomości użytkowników. To już jednak historia, ale też przykład świetnie ilustrujący omawiany mechanizm.

Przejdźmy zatem do sposobów, których możemy używać na co dzień. Jeśli pod ręką nie mamy aplikacji szyfrujących, a chcemy zabezpieczyć plik lub folder, możemy skorzystać z wbudowanego w Windows kompresora ZIP. Niestety, wraz z nadejściem siódmej wersji Okien z kompresora zniknęła możliwość zabezpieczania archiwów hasłem. Nic jednak straconego, ponieważ sama kompresja danych powoduje zmianę organizacji poszczególnych bajtów w niezrozumiały ciąg znaków.

Niektórzy brak hasła próbują zastąpić zmianą rozszerzenia pliku z *.ZIP na inny np. *.DLL i taki zbiór umieszczają w katalogu systemowym. Tę metodę zdecydowanie odradzamy i na nic zda się dwukrotna kompresja, która niby ma utrudnić odczytanie zawartych w nim informacji. Jeśli jednak bardzo zależy nam zabezpieczeniu hasłem, do dyspozycji mamy bezpłatne narzędzie – 7-ZIP.

Aby jak najlepiej zabezpieczyć wszystkie dane (także pliki systemu operacyjnego) na dysku twardym komputera przed niepowołanym dostępem osób trzecich, najlepiej skorzystać z szyfrowania całego napędu. Polega to na zabezpieczeniu dostępu do komputera z wykorzystaniem klucza występującego pod różnymi postaciami. Może to być zwykłe hasło, które trzeba zapamiętać, moduł TPM [patrz ramka: Moduł TPM (Trusted Platform Module) 2 76] czy spreparowany pendrive lub czytnik biometryczny wbudowany w niektóre laptopy. Można również skorzystać z zewnętrznego czytnika ze złączem USB. Co ważne, klucz szyfrujący musi zostać podany jeszcze przed wczytaniem systemu operacyjnego, ponieważ jego pliki także zostały zakodowane i są nieczytelne dla programu rozruchowego (ang. bootloader). Bez znajomości hasła lub klucza w innej postaci nie uzyskamy dostępu do komputera. Przełożenie dysku do innej maszyny również nic nie da, bo cały dysk jest zaszyfrowany – z wyjątkiem miniśrodowiska odpowiedzialnego za przyjęcie klucza i deszyfrację. Chronione tą metodą są nie tylko dane użytkowników, ale również plik wymiany oraz zbiory tymczasowe, z których możliwe byłoby wydobycie wrażliwych informacji. Dodatkowo ukrywana jest struktura katalogów, nazwy plików, ich rozmiary i tym podobne metadane. Dzięki metodzie szyfrowania dysków zabezpieczamy wszystkie dane, a nie tylko wybrane pliki. Taki sposób ma jednak wady. Do pełnego zaszyfrowania dysku możemy użyć bezpłatnego narzędzia o nazwie VeraCrypt opracowanego na bazie nierozwijanego już programu TrueCrypt (patrz ramka: VeraCrypt – szyfrowanie na najwyższym poziomie). Niestety, w niektórych sytuacjach stosowanie jedynie pełnego szyfrowania może stwarzać niebezpieczeństwo, np. gdy ktoś uzyska dostęp do włączonego komputera z uruchomionym systemem. Dlatego warto najcenniejsze dane dodatkowo zabezpieczyć szyfrowaniem na poziomie plików.

W internecie znajdziemy wiele bezpłatnych aplikacji pozwalających na szyfrowanie plików i folderów z wykorzystaniem różnych metod i algorytmów. Jeśli jednak chcielibyśmy korzystać z nich także w pracy, warto sprawdzić w licencji tego oprogramowania, czy dopuszcza ono użycie danego narzędzia w celach komercyjnych.

Pierwszym przykładem takiej aplikacji jest Cryptomator. Jest on bezpłatny (otwarty kod źródłowy) i ma swoje wersje dla różnych OS-ów, również tych mobilnych. Narzędzie to szyfruje dane, które przesyłamy do usług chmurowych, takich jak Dropbox czy Dysk Google. Za jego pomocą możemy też zabezpieczać pliki i foldery także lokalnie, na dysku naszego komputera. Cryptomator szyfruje dane silnym algorytmem AES z 256-bitowym kluczem, zanim jeszcze pliki zostaną przesłane na dysk internetowy. Działanie programu polega na tworzeniu tzw. krypt, czyli zakodowanych plików (kontenerów), w których przechowywane są nasze zbiory. Ich liczba jest nieograniczona. Co ważne dane w „kryptach” mają ukrytą strukturę katalogów oraz nazwy plików i folderów a nawet ich rozmiary. Dostęp do każdego kontenera chroniony jest hasłem, po podaniu którego otwarta zostaje wybrana „krypta”. Jest ona widoczna w systemie jako dysk sieciowy. Obsługa programu jest wyjątkowo prosta, a żeby stworzyć nowy kontener na dane, wystarczy kliknąć przycisk „+” i utworzyć plik-skrytkę, określając jego lokalizację, i ustanowić hasło.

Drugą godną uwagi aplikacją do zabezpieczania plików i folderów jest Encrypto. Zasada jej działania jest zupełnie inna i polega na przeciąganiu zbiorów nad specjalne okno albo wyborze opcji „Dodaj plik” (Add file…) lub „Dodaj katalog” (Add folder…). Następnie zawarte w nich dane są automatycznie szyfrowane, a użytkownik może je zapisać w dowolnie wybranej lokalizacji. Wcześniej jednak należy ustawić hasło oraz ewentualną podpowiedź. Aby odszyfrować tak zabezpieczony plik lub folder, należy kliknąć na nim dwa razy myszką i wprowadzić hasło. Dzięki temu każdy zbiór może być zabezpieczony zupełnie innym ciągiem znaków, co zwiększa bezpieczeństwo.

Czasem potrzebujemy szybko zabezpieczyć pojedyncze pliki, np. dokumenty. Nie musimy w tym celu instalować zaawansowanego oprogramowania szyfrującego, a jedynie wybrać jedną z bezpłatnych aplikacji tego typu, pozwalających wykonać taką operację z poziomu menu kontekstowego systemu. Wystarczy na dany zbiór kliknąć prawym klawiszem myszki i wybrać odpowiednią opcję. Proces przebiegnie automatycznie. Świetnym przykładem takiego narzędzia jest AxCrypt. Przed rozpoczęciem korzystania z tej aplikacji należy założyć konto, podając adres e-mail, na który otrzymamy kod weryfikacyjny niezbędny do ustanowienia hasła zabezpieczającego. Ponieważ hasło jest wspólne dla wszystkich plików, AxCrypt dba o to, aby było odpowiednio silne, i nie pozwoli ustawić prostego do złamania ciągu znaków. Dużą zaletą programu jest też możliwość bezpiecznego usuwania zbiorów z dysku poprzez nadpisywanie ich zawartości losowymi danymi. Dzięki temu nikt nie odzyska pliku w wersji niezaszyfrowanej.

Co więcej, używając AxCrypta, cały czas mamy dostęp do zawartości zaszyfrowanego pliku, nie musimy więc za każdym razem go deszyfrować. Możemy normalnie go używać, np. edytować dokument w Wordzie, a sam plik cały czas pozostanie zaszyfrowany. Przykładem aplikacji do szybkiego szyfrowania plików jest też niewymagający instalacji EasyCrypt, który możemy przenosić na nośniku USB (w tym miejscu warto przestrzec użytkowników przed programami pochodzącymi od mało znanych firm). Po uruchomieniu aplikacji wystarczy wybrać plik, określić zadanie (szyfrowanie lub deszyfrowanie), wskazać miejsce docelowe oraz ustanowić hasło. Na zakończenie klikamy przycisk „Decrypt” (Szyfruj) lub „Encrypt” (Odszyfruj). Dodatkową opcją jest możliwość wyświetlania hasła w postaci jawnej (zamiast kropek). EasyCrypt korzysta między innymi z silnego, 256-bitowego algorytmu szyfrowania AES.

Jeśli potrzebujemy przesłać niejawną wiadomość lub załącznik z wykorzystaniem poczty elektronicznej, możemy po prostu użyć archiwizera z funkcją szyfrowania i udostępnić hasło odbiorcy np. SMS-em lub skorzystać z otwartoźródłowego pakietu Gpg4win, który pozwala zabezpieczyć zarówno pliki na dysku lokalnym, jak i pocztę elektroniczną. Jego działanie opiera się na dwóch kluczach: prywatnym oraz publicznym. Ten pierwszy służy nam do szyfrowania i podpisywania wiadomości (musimy szczególnie dbać o jego poufność), natomiast klucz publiczny udostępniamy tym odbiorcom, do których będziemy kierowali korespondencję. Dzięki kluczowi uzyskają oni dostęp do plików i wiadomości, mając pewność, że ta pochodzi właśnie od nas, czyli z zaufanego źródła – pod warunkiem, że nikt nie pozna naszego klucza prywatnego. Mogą oni również z wykorzystaniem klucza publicznego zaszyfrować własną wiadomość i bezpiecznie wysłać ją do nas. Dodatkowo pakiet zawiera wtyczki umożliwiające współpracę z Microsoft Outlookiem, a do zarządzania certyfikatami i kluczami służy dołączony program Kleopatra.

Ciekawą metodą zabezpieczania danych jest możliwość ukrywania ich obecności na dyskach. Nic nie stoi na przeszkodzie, aby w ten sposób zamaskować istnienie także zaszyfrowanych plików, co dodatkowo zwiększy ich bezpieczeństwo. W tym celu możemy posłużyć się np. narzędziem WinMend Folder Hidden. Uwaga! Aplikacja ze względu na niestandardowe operacje wykonywane w systemie plików może aktywować fałszywe alarmy w przypadku niektórych programów antywirusowych lub zabezpieczeń przeglądarek podczas próby pobrania instalatora. Uruchamiając program po raz pierwszy, należy ustawić hasło służące do odblokowywania ukrytych zbiorów. Nie możemy go zapomnieć, bo nie odzyskamy danych. W oknie programu mamy dostęp do listy ukrytych elementów. Obsługa programu jest bardzo prosta. Wystarczy jedynie dodać wybrane pliki lub foldery do listy i kliknąć przycisk Set to hide. Wskazane elementy szybko znikną z dysku i nie będzie można ich zobaczyć w Eksploratorze plików systemu Windows ani w innym menedżerze plików. Nie odnajdziemy ich też za pomocą wyszukiwarek. Tylko WinMend Folder Hidden jest w stanie przywrócić dostęp do danych – oczywiście po podaniu prawidłowego hasła i kliknięciu przycisku Unhide. Nic również nie stoi na przeszkodzie, aby ukrywać dane na nośnikach ze złączem USB. Nie będą one widoczne także po podłączeniu ich do innego komputera.

Inną aplikacją tego typu jest SecretFolder. Podobnie jak u poprzednika na początku ustalamy hasło oraz podajemy adres e-mail, który tym razem pozwoli przywrócić zapomniany ciąg znaków. W WinMend Folder Hidden nie ma takiej możliwości. Następnie dodajemy foldery do listy albo za pomocą przycisku „Add…”, albo przeciągając wybrany katalog do okna programu. Obsługiwane są jedynie foldery bez możliwości dodawania pojedynczych plików. Teraz wystarczy kliknąć przycisk Lock i elementy z listy nie będą już widoczne w systemie plików. Przywrócimy je za pomocą opcji „Unlock”. Warto również wspomnieć, że osoba nieznająca hasła nie może odinstalować aplikacji SecretFolder.

W systemach Windows 7 i nowszych, przeznaczonych do zastosowań profesjonalnych (wersje Pro, Ultimate, Enterprise), wbudowana jest funkcja szyfrowania partycji (również systemowej). W tym drugim przypadku jest to niestety operacja bardziej skomplikowana i wymaga kilku dodatkowych zabiegów, szczególnie jeśli nie mamy w komputerze zainstalowanego układu elektronicznego TPM (Trusted Platform Module) służącego do uwierzytelniana sprzętowego.

Pierwsze, co musimy sprawdzić, to czy nasz komputer ma zainstalowany moduł TPM. Jest on najczęściej spotykany w laptopach klasy biznesowej i gamingowej. W tym celu uruchamiamy odpowiednie narzędzie poprzez opcję „Uruchom” (Start+R), gdzie wpisujemy „tpm.msc”, i zatwierdzamy klawiszem „Enter”. W przypadku jego braku zostanie wyświetlony odpowiedni komunikat. Następnie w systemowej wyszukiwarce wpisujemy frazę BitLocker, co spowoduje uruchomienie panelu zarządzania tą funkcją. Jeśli chcemy zaszyfrować inną partycję niż systemowa, wystarczy ustanowić hasło dostępowe i gotowe. Inaczej (jeśli nie mamy układu TPM) konieczne jest uruchomienie narzędzia „Edytuj lokalne zasady grupy”, gdzie należy aktywować opcję „Zezwalaj na używanie funkcji BitLocker bez zgodnego modułu TPM” (ścieżka: Konfiguracja komputeragSzablony administracyjnegSkładniki systemu WindowsgSzyfrowanie dysków funkcją BitLockergDyski z systemem operacyjnymgWymagaj dodatkowego uwierzytelniania przy uruchamianiu, i zmiana opcji na Włączone). Następnie trzeba wrócić do panelu zarządzania BitLocker i aktywować szyfrowanie na partycji systemowej, a narzędzie poprosi nas o podanie hasła lub włożenie nośnika USB, który będzie służył do autoryzacji i pozwoli załadować system operacyjny. Następnie należy wykonać kopię zapasową klucza, np. w postaci pliku w wybranej lokalizacji, i na zakończenie wybrać metodę kompresji – „Tylko zajęte miejsce” lub „Cały dysk” (drugi sposób jest bezpieczniejszy).

Od teraz przy każdym uruchomieniu komputera (przed załadowaniem systemu) będziemy musieli podać hasło lub umieścić nośnik w porcie USB. Warto również dodać, że funkcja BitLocker umożliwia szyfrowanie pamięci przenośnych (opcja BitLocker To Go). Zaletą posiadania układu TPM jest brak konieczności logowania się za pomocą hasła podawanego przed uruchomieniem systemu operacyjnego. Wprowadzamy je dopiero w oknie logowania Windows, chyba że korzystamy z innej metody uwierzytelnia, jak np. PIN, odcisk palca czy funkcja rozpoznawania twarzy.