přejít na obsah přejít na navigaci

Linux E X P R E S, Zašifrujte si diskový oddíl

Zašifrujte si diskový oddíl

Každý z nás na svém PC někdy zpracovával data, která by chtěl z nejrůznějších důvodů skrýt před zraky cizích osob nebo nezvaných slídilů. Možností, jak tato data chránit, je několik, jednou z nich je vytvoření šifrovaného adresáře nebo diskového oddílu pomocí programu Truecrypt. Aleš Kropáč.


V tomto článku se zaměříme na vytvoření oddílu šifrovaného kryptografickým algoritmem AES, do kterého budeme ukládat citlivá data. Program Truecrypt umožňuje vytvářet a spravovat na pevném disku virtuální šifrované adresáře nebo oddíly, které se v operačním systému chovají jako standardní bloková zařízení.

Kryptografie, šifrování – nauka o metodách utajování smyslu zpráv do podoby, která je čitelná pouze se speciální znalostí.

Přístup k datům je chráněn heslem. Kvalitu hesla si volí uživatel sám. Obecně se doporučuje heslo délky 12 až 15 znaků, které je kombinací malých a velkých písmen a číslic. Další možností přístupu k datům je přes speciální klíč, a nebo přes kombinaci hesla a klíče. Speciální klíč je generován přímo programem Truecrypt, jeho velikost je 320 bajtů a ukládá se do uživatelem zvoleného souboru.

AES – Advanced Encryption Standard. Symetrická bloková šifra s délkou klíče 128, 192 nebo 256 bitů. V USA se používá jako standard pro šifrování citlivých, ale neutajovaných informací ve státní správě.

truecrypt –keyfile-create key.txt

Vytvoření šifrovaného oddílu

Šifrovaný adresář nebo oddíl můžeme vytvořit dvěma způsoby. Nejjednodušší cestou je příkaz v konzoli:

truecrypt -c

Tento příkaz interaktivně umožní uživateli nakonfigurovat požadované vlastnosti šifrovaného adresáře – typ oddílu a filesystému, hašovací a šifrovací algoritmus, velikost oddílu a nakonec přístupové heslo. V závěru konfigurace se používá zařízení /dev/input/mice pro sběr náhodných dat. Pokud tedy vytváříme šifrovaný oddíl v uživatelském režimu, je vhodné nastavit přístupová práva k zařízení /dev/input/mice do read módu pro ostatní uživatele příkazem:

chmod o+r /dev/input/mice

Hašovací funkce – Patří mezi základní pilíře moderní kryptografie. Jedná se o jednosměrné funkce, pro které je jednoduché spočítat obraz libovolného vzoru, avšak zpětný výpočet hodnoty vzoru ze znalosti hodnoty obrazu je výpočetně nemožné.

Výstup programu je následující:

[user@localhost ~]# truecrypt -c cryptovolume.tc
Volume type:
 1) Normal
 2) Hidden
Select [1]: 1 

Filesystem:
 1) FAT
 2) None
 Select [1]: 2

Enter volume size (bytes - size/sizeK/sizeM/sizeG): 100M

Hash algorithm:
 1) RIPEMD-160
 2) SHA-1
 3) Whirlpool
 Select [1]: 1

Encryption algorithm:
 1 ) AES
 2 ) Blowfish
 3 ) CAST5
 4 ) Serpent
 5 ) Triple DES
 6 ) Twofish
 7 ) AES-Twofish
 8 ) AES-Twofish-Serpent
 9 ) Serpent-AES
10 ) Serpent-Twofish-AES
11 ) Twofish-Serpent Select [1]:  1

Enter password for new volume ‘cryptovolume.tc’:
Re-enter password: 

Enter keyfile path [none]: 
Enter keyfile path [finish]:

TrueCrypt will now collect random data. 

Is your mouse connected directly to the computer where TrueCrypt is running? y
Please type at least 320 randomly chosen characters and then press Enter:  

Druhou možností je zapsat všechny důležité vlastnosti nově vytvářeného šifrovaného oddílu přímo do příkazové řádky. Např. vytvoříme oddíl o velikosti 500 MB, který budeme šifrovat kryptografickým algoritmem AES s hašovací funkcí SHA-1, přičemž tento oddíl bude typu normal:

truecrypt –type normal –size 500M –encryption AES –hash SHA-1 -c cryptovolume.tc

Uživatel je pak vyzván k zadání přístupového hesla k nově vytvořenému oddílu, nebo k zadání cesty k souboru, který obsahuje námi vygenerovaný speciální klíč.

Tímto jsme vytvořili soubor v aktuálním adresáři se jménem cryptovolume.tc, který je vyplněn náhodnými daty.

Připojení a odpojení virtuálního oddílu

Máme opět dvě možnosti připojení virtuálního oddílu. Nejjednodušším způsobem je spuštění interaktivního příkazu

truecrypt -i

Nebo specifikujeme oddíl a místo připojení přímo v příkazové řádce:

truecrypt cryptovolume.tc /mnt/data

Po zadání hesla můžeme s adresářem /mnt/data pracovat jako s ostatními adresáři v systému, tj. kopírovat, upravovat a mazat soubory. Po ukončení práce s citlivými daty nesmíme zapomenout virtuální oddíl odpojit.

truecrypt -d cryptovolume.tc

Přístupové heslo k oddílu změníme pomocí příkazu:

truecrypt -C cryptovolume.tc

Informace o připojených oddílech a jejich vlastnostech zjistíme příkazem:

truecrypt -vl

rěváZ

Program Truecrypt je velmi užitečným nástrojem pro vytváření bezpečného uložiště dat na pevném disku. Jeho konfigurační i operační schopnosti mohou jít mnohem více do hloubky, než jak bylo uvedeno v tomto článku, avšak detailnější poznání, např. vytváření skrytých oddílů zapouzdřených v šifrovaných oddílech normálního typu, přenechávám na čtenáři samotném či jiných odbornících. Je škoda, že programu v linuxové verzi stále chybí GUI.

Nahoru

Odkazy

Přidat téma diskuse

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích a pravidlech najdete v nápovědě.
Diskuzi můžete sledovat pomocí RSS kanálu rss



 
 

Top články z OpenOffice.cz