Pewnie wielu z Was przenosi na swoich PenDrive’ach coraz więcej danych, często są to dane prywatne, osobiste – które lepiej by nie wpadły w ręce osób trzecich…
Najlepiej jak by na PenDrive’a założyć hasło, najlepiej jak taka aplikacja działała by na różnych systemach (windows, linux) i nie wymagała uprawnień administratora do działania (szkoła, praca)
Często producenci przenośnych pamięci flash dodają do swoich urządzeń takie aplikacje, ale niestety najczęściej szyfrują one tylko pojedyncze pliki, a i ich obsługa nie jest wygodna…
Pewien wyjątek stanowią tu m.in. urządzenia z technologią U3 (np. SanDisk)
Gdy uaktywnimy hasło, to po włożeniu PenDrive’a do portu USB w komputerze, pojawia nam się nowy napęd (CD) – i startuje zawarta na nim aplikacja – gdy podamy hasło, pojawia nam się kolejny napęd (flash) z danymi (widziany w explorerze jako zwykły dysk flash).
Oraz PenDrive’y firmy Kingston, np. z serii DataTraveler Locker (DTL) w których po włożeniu pamięci do portu USB w systemie pokaże się partycja nieszyfrowana, z aplikacją po uruchomieniu której i podaniu hasła zostanie wyświetlona zawartość partycji szyfrowanej.
Sami decydujemy o podziale miejsca między partycją szyfrowaną a nieszyfrowaną. Dodatkowo dane zabezpieczone są poprzez sprzętowe szyfrowanie AES 256.
.
Co ważne, oba rozwiązania nie wymagają to uprawnień administratora, są wygodne, szybkie i bezpieczne…
.
Innym rozwiązaniem, bardziej uniwersalnym jeśli chodzi o obsługiwane systemy operacyjne może być skorzystanie z aplikacji TrueCrypt, która oprócz szyfrowania danych, dysków twardych w naszym komputerze, może pomóc zabezpieczyć nam nasze dane na PenDrive’ie
(Wadą tego rozwiązania jest konieczność posiadania uprawnień administratora (TrueCrypt ładuje swój własny sterownik) co może być przeszkodą w korzystaniu z tego rozwiązania w szkole czy pracy (jeśli nie posiadamy stosownych uprawnień, a zazwyczaj tak jest w tych wypadkach)
W tym przypadku jako najlepsze rozwiązanie, zwłaszcza jeśli będziemy z naszej pamięci flash korzystać głownie pod Windowsem, polecam zapoznać się z jakimś PenDrive’m z technologią U3)
Potrzebny nam będzie program TrueCrypt, do ściągnięcia ze producenta (program jest bezpłatny, posiada polską wersje językową - plik z polskim językiem po prostu kopiujemy do naszego katalogu TrueCrypt)
Można program zainstalować w systemie, ale ważne by skopiować na nasz napęd, np. do katalogu TrueCrypt
W ramach porządku, na naszym dysku możemy utworzyć dodatkowo katalog TC, w nim będziemy trzymać nasz zaszyfrowany dysk.
Następnie tworzymy „kontener TrueCrypt”
- to będzie w dalszym etapie nasz zaszyfrowany dysk:
- Uruchamiamy TrueCrypt (np. z naszego PenDrive’a)
- Klikamy „Utwórz wolumin”
- 2 pierwsze kroki możemy zostawić tak jak jest
- W kroku 3. „Lokalizacja Woluminu” podajmy katalog TC na naszej pamięci flash, nadając mu nazwę np. „dysk_tc”
- W 4. kroku „Opcje szyfrowania” możemy też zostawić domyślne parametry
- 5. krok, to ustawienie wielkości naszego szyfrowanego dysku.
Tu możemy zrobić to na 2 sposoby:
1. Dać wielkość ok 20-100MB mniejszą (tyle by starczyło na program TrueCrypt, i ew jakieś dane które chcemy mieć dostępne zawsze jako niezaszyfrowane) od pojemności naszego PenDrive’a, zwłaszcza jeśli zdecydujemy się (o tym za chwilę, niżej) na wolumin dynamiczny.
2. Ustawić wielkość jaką uważamy za stosowne, tzn. jeśli orientujemy się mniej więcej jak dużo danych będziemy tam trzymać plus jakiś zapas (TrueCrypt chyba nie umożliwia zmiany wielkości woluminu którego rozmiar zadeklarujemy jako stały, i gdy później zacznie nam brakować miejsca, należy utworzyć nowy, większy wolumin, i po skopiowaniu danych – podmienić) zwłaszcza jeśli (o tym za chwilę, niżej) nie zdecydujemy się na wolumin dynamiczny.- W następnym kroku ustawiamy hasło
- Kolejny krok to „Formatowanie woluminu„, polecam ustawić NTFS jako system plików (ew. FAT jeśli będziemy korzystać z niego na starszych wersjach Linux’a)
Możemy też zaznaczyć dynamiczny – szyfrowany dysk, nie będzie od razu zabierał tyle miejsca ile podaliśmy jako jego (maksymalny w tym wypadku) rozmiar, tylko dynamicznie – zależnie od ilości danych jakie będziemy w nim trzymać, TrueCrypt będzie regulował jego wielkość. Należy jednak pamiętać, że przy woluminie dynamicznym pewnym niebezpieczeństwem jest to, że jeśli będziemy chcieli do nieszyfrowanej przestrzeni (poza woluminem TrueCrypt) naszego PenDrive’a wgrać za dużo danych, to możemy nadpisać nasz szyfrowany wolumin, i tym samym możemy nieodwracalnie stracić wszystkie dane. Dlatego jeśli uznamy, że nie ma takiej potrzeby by stosować wolumin dynamiczny, chyba bezpieczniej zostać przy woluminie zwykłym. Chyba, że nie planujemy na obszarze nieszyfrowanym (poza woluminem TrueCrypt) przenosić większych (więcej niż zostawiona wolna przestrzeń na PenDrive, w naszym wypadku wspomniane wyżej 20-100MB) ilości danych.
Gdy mamy już masz szyfrowany wolumin, konfigurujemy naszego PenDrive’a, by wygodniej nam się korzystało z naszego dysku.
Tworzymy na PenDriv’ie plik autorun.inf, a w nim:
[AUTORUN]
icon=ikona.ico * jeśli chcemy mieć własną ikonę *
UseAutoplay=0 * można dać 1, autostart *
label=PenDrive *etykieta *action=Otwórz * Domyślna akcja *
open=explore * Domyślna akcja: przeglądaj zawartość ** jeśli chcemy używać autostartu (tu start TC, ale można dać polecenie montowania) *
action=Uruchom TrueCrypt * możemy nazwać polecenie inaczej *
open=TrueCrypt\TrueCrypt.exe *jeśli mamy program w katalogu TrueCrypt ** Najważniejsze 2 polecenia: *
shell\TC_ON=Podłącz dysk TC * możemy nazwać polecenie inaczej *
shell\TC_ON\command=TrueCrypt\TrueCrypt.exe /v TC\dysk_tc /lq /m rm /q
* gdzie TC\dysk_tc to ścieżka do naszego pliku/dysku który wcześniej stworzyliśmy *
* gdzie /lq tutaj „q” oznacza literę dysku pod jaką będzie widoczny nasz zaszyfrowany dysk *
* możemy też dodać przełącznik /e jeśli chcemy,
by nam się automatycznie otwierał explorer z szyfrowanym dyskiem *shell\TC_OFF=Odłącz PRC 7GB TC * możemy nazwać polecenie inaczej *
shell\TC_OFF\command=TrueCrypt\TrueCrypt.exe /q /d Q
* odłączenie naszego zaszyfrowanego dysku, tu o literze Q *
UWAGA: * oznaczono komentarze, ich nie kopiujemy do pliku autorun.inf
I to właściwie wszystko, ew dla dodatkowej kontroli nad naszym szyfrowanym dyskiem (według mnie dużo praktyczniej niż przez plik autorun.inf) , możemy stworzyć 2 pliki BAT (i umieścić je np. w katalogu TC), w których powtórzymy polecenia montujące i demontujące nasz wirtualny napęd, i które to pliki wystarczy uruchomić (np. skrót na pulpicie) by wykonać odpowiednie działanie:
1. start_q.bat
cd.. * wyjście z katalogu TC na główną ścieżkę napędu *
TrueCrypt\TrueCrypt.exe /v TC\dysk_tc /lq /m rm /q
* gdzie: TC\dysk_tc to ścieżka do naszego pliku-dysku który stworzyliśmy *
* gdzie: /lq tutaj „q” oznacza literę dysku pod jaką będzie widoczny nasz zaszyfrowany dysk *
* możemy też dodać przełącznik /e jeśli chcemy, by nam się automatycznie otwierał explorer z szyfrowanym dyskiem *
UWAGA: * oznaczono komentarze, ich nie kopiujemy do pliku start_q.bat
2. stop_q.bat
cd.. * wyjście z katalogu TC na główną ścieżkę napędu *
TrueCrypt\TrueCrypt.exe /q /d Q
* odłączenie naszego zaszyfrowanego dysku, tu o literze Q *
UWAGA: * oznaczono komentarze, ich nie kopiujemy do pliku stop_q.bat
Ewentualnie wszystko w jednym pliku .bat:
@echo off
Echo.
echo 1 Zamontuj dysk TC_Q
echo.
echo 2 Odmontuj dysk TC_Q
echo.
echo 3 Wyjdz
echo.
echo Wybierz:choice /c 123
if errorlevel 3 goto END
if errorlevel 2 goto TCOFF
if errorlevel 1 goto TCONgoto end
:TCON
echo TC ON, prosze czekac…
cd..
TrueCrypt\TrueCrypt.exe /v TC\dysk_tc /lq /m rm /q
goto :END:TCOFF
echo TC OFF, prosze czekac…
cd..
TrueCrypt\TrueCrypt.exe /q /d Q
goto :END:END
echo END
exit
Po uruchomieniu wyświetla się proste menu z wyborem:
1 Zamontuj dysk TC_Q
2 Odmontuj dysk TC_Q
3 Wyjdz
I zależnie od tego co chcemy zrobić, wybieramy odpowiednią akcję (klawisz 1, 2 lub 3).
Wybór każdej opcji powoduje przejście do odpowiedniej sekcji skryptu, i wykonanie tam zdefiniowanego polecenia.
Parametry (ścieżki do plików, litera dysku, plik TC) jakie podawałem w tym skrypcie, są takie same jak w przykładach wyżej.
.
http://rembiejewski.pl/blog/pendrive-ochrona-danych/
.
Znane mi problemy przy używaniu TrueCrypt:
1) Wspomniana już konieczność posiadania uprawnień administratora na komputerze.
2) Gdy na komputerze, na którym chcemy użyć naszego „TrueCrypt portable” jest zainstalowany TrueCrypt w innej (starszej) wersji, niż ten który mamy na PenDrive i uruchamiamy (bat, autorun) dostaniemy komunikat o konieczności zaktualizowania TrueCrypt na komputerze.
Rozwiązanie: Albo aktualizacja TrueCrypt na komputerze, lub ręczne pod montowanie naszego woluminu TrueCrypt za pomocą wersji zainstalowanej na komputerze.
3) Jak każdy plik/dysk – tak i wolumin TrueCrypt może ulec uszkodzeniu (niepoprawne domontowanie woluminu, niepoprawne (bez bezpiecznego usuwania sprzętu) odłączenie naszej pamięci) może spowodować, ze wolumin stanie się nieczytelny.
Rozwiązanie: Warto robić kopie zapasowe zawartości, jak i nagłówka woluminu (uruchamiamy TrueCrypt, wybieramy nasz wolumin następnie narzędzie >> utwórz kopię zapasową nagłówka woluminu)
Sam TrueCrypt pomaga nam w pewien sposób, bo klikając w jego oknie głównym na woluminie mamy do dyspozycji sprawdź i napraw system plików.
Dodatkowo, bardzo duża część narzędzi dyskowych – do naprawiania, odzyskiwania danych – bezproblemowo współpracuje z woluminem TrueCrypt jak z każdym innym dyskiem (choć tu ważne, by uszkodzenie woluminu nie było na tyle poważne, by TrueCrypt przyjął hasło (i tu przydaje się kopia nagłówka), i był w stanie zamontować wolumin jako dysk, nawet z uszkodzonym/nieczytelnym systemem plików)
UWAGA: Przed wykonaniem operacji odzyskiwania danych, ratowania naszego woluminu/dysku TrueCrypt wykonaj koniecznie kopie zapasową pliku który jest naszym woluminem/dyskiem. Dodatkowo, zwłaszcza przy większych woluminach wszelkie operacje (skanowanie, odzyskiwanie itp.) lepiej wykonywać na woluminie skopiowanym na dysk twardy – przyspieszy to wszelkie operacje wykonywane na nim.
Na stronie Viruslist.pl przy okazji artykułu dotyczącego szyfrowania i algorytmów można znaleźć prezentacje/filmik pokazujący w prosty sposób jak przygotować zaszyfrowany wolumin za pomocą aplikacji TrueCrypt – być może komuś przyda się taka dodatkowa pomoc…
Podobne możliwości (portable mode dla PenDrive) posiada inna bezpłatna aplikacja – FreeOTFE
Obsługa w wersji portable też może się sprowadzać do ręcznego montowania naszego woluminu, lub do ustawienia odpowiedniego polecenia do pliku autorun.inf i/lub użycia skryptów (np. .bat)
Składnia dość podobna, z racji tego, że sam nie używałem (tyle tylko by sprawdzić czy występują tak jak w przypadku TrueCrypt’a pewne problemy) więc odsyłam na stronę domową aplikacji www.freeotfe.org
Tak na szybko (listing z manuala):
Montowanie woluminu
FreeOTFE.exe /mount /drive Q: /volume „nasz_dysk.vol” / portable 1 /freeotfe
i odmontowanie
FreeOTFE.exe /dismount Q:
Jak widać, składnia dość podobna, opisana dobrze w dokumentacji.
Nie będę bardziej zagłębiał się w składnie jak i konfiguracje programu FreeOTFE, gdyż jest to bardzo dobrze opisane na stronie programu, oraz bardzo podobne w obsłudze i konfiguracji do opisanej wyżej aplikacji TrueCrypt.
A z racji tego, że tak jak i TrueCrypt, tak i FreeOTFE wymaga do poprawnego działania (nawet w trybie portable) uprawnień administratora (przynajmniej do zainstalowania sterowników „dyskowych” – później może już działać bez tych uprawnień) pozostaje przy TrueCrypt (może to kwestia przyzwyczajenia)
A, że dobrze mieć wybór – polecam zapoznać się zarówno z TrueCrypt jak i FreeOTFE
Bardzo dobry, rzeczowy opis.
dziękuję