Hirdetés

Behatolás kizárva, bezárva! – Rendszermeghajtók titkosítása TrueCrypttel



|

Előző cikkünkből kiderült, hogyan rejthetjük el titkosított virtuális meghajtókon fontos fájljainkat a kíváncsi szemek elől. A TrueCrypt képes a teljes rendszermeghajtót is kódolni, de ez már nem olyan egyszerű! Ezért most végigmegyünk a szükséges feladatokon és fogalmakon.

Hirdetés

A következő lépések előtt mindenképpen javasoljuk az előző TrueCrypt cikkünkben leírtak kipróbálását, ugyanis azok a kérdések itt is felmerülnek majd. Viszont most pár olyan új ablak is felbukkan, amelyeknél valóban el kell gondolkodnunk, ne csak csuklóból nyomjuk a Tovább gombot. Főleg ezekre helyezzük a hangsúlyt, valamint arra, hogyan lehet biztonságosan kódolni egy teljes partíciót vagy merevlemezt.

 

Elöljáróban mindenképpen szükségünk lesz egy üres optikai lemezre és egy CD-író programra. Mentsük el és helyezzük biztonságos helyre a szükséges adatokat, nehogy a folyamat közben valami probléma adódjon. Ha ezzel megvolnánk, akkor indítsuk el a TrueCryptet és kövessük az alábbi lépéseket!

 

Mindenkinek melegen ajánljuk, hogy a most következőket először egy virtuális gépen (VMware, VirtualBox vagy Virtual PC) próbálja ki, fizikai masinán csak akkor kezdjen hozzá, ha már mindennel tisztában van!

 

 

truecript2_1.png

1. A program indítása után válasszuk a System menüből az Encrypt System Partition/Drive menüpontot. Az első ablakban máris komoly választás elé kerülünk, ugyanis el kell döntenünk, hogy Normal vagy Hidden, azaz rejtett legyen-e az operációs rendszer. Ez utóbbiról szükséges ejtenünk néhány szót. A rejtett meghajtóknál láthattuk, hogy van egy külső kódolt meghajtó, és azon belül egy még jobban elrejtett belső – a megadott jelszótól függően hol ebbe, hol abba léphetünk bele. A rejtett operációs rendszernél is hasonlóan működik a dolog: a valós rendszer a legbelsőbb rétegbe kerül, a körülötte lévő rész lesz a csali. Mindezt pedig átfogja majd a TrueCrypt. Éppen ezért ezt az opciót csak azoknak ajánljuk, akik már alaposan kiismerték a programot és kipróbálták minden funkcióját. Ráadásul ez esetben feltétel, hogy egy kicsivel nagyobb pluszpartícióra is szükségünk van a jelenlegi mellett, hiszen a csali rendszernek is kell a hely. A duplázás miatt javasolt a partíciók megfelelő méretezése és elosztása, hiszen a két másolatra azért lesz szükség, hogy az egyiken a kíváncsi szemek dolgozzanak, a másikon pedig mi. Az újraparticionáláshoz mindenképpen olyan programot használjunk, amelyik támogatja a dinamikus átméretezést. Ha nem lennének meg a megfelelő körülmények, erről figyelmeztetést kapunk és nem enged tovább a varázsló. Éppen ezek miatt elsőként célszerű a Normal kódolási módot választani, és ha az sikerül, akkor nekilátni a rejtett operációs rendszer elkészítésének!

 

 

2. A következő lépésben el kell döntenünk, hogy csak a rendszerpartíciót vagy az egész meghajtót kódoljuk-e le. Szintén álljunk meg egy szóra ennél a lehetőségnél, ugyanis ha csak egy partíciót kódolunk le, annak olyan következményei is lehetnek, hogy egy külső gépbe áthelyezve a merevlemezt, olvasható lesz az adatpartíció, felfedve evvel titkainkat. Ha viszont a teljes meghajtó kódolásra kerül, kintről nem láthatók majd az adatok. Ezért a TrueCrypt mindenképp ez utóbbit javasolja. A partíció választásakor kérdést is kapunk, hogy biztosak vagyunk-e a választásunkban. Tehát jelöljük meg az Encrypt the whole drive opciót.

 

 

truecript2_2.png

Továbblépve ismét egy érdekes kérdéssel szembesülünk: titkosítani szeretnénk-e a merevlemez speciális védett területét (Host Protection Area)? Nem véletlenül hagyja ránk ezt a kérdést a program, ugyanis ez a terület – ha létezik – létfontosságú célokat szolgálhat a meghajtón. Ilyen például a laptopoknál a recovery terület, vagy régebbi esetekben a merevlemezre kipakolt BIOS „ROM”, amelyet kódolva már nem indíthatunk el. Ezt ugyan kívülről is meg lehet piszkálni, de nem célszerű lekódolni. Ezek mérete legtöbbször nem változik, tehát a particionálással sem biztos, hogy le tudjuk törölni (nem is célszerű hozzányúlni!). Tehát itt válasszuk a No lehetőséget, majd lépjünk tovább.

 

 

truecript2_3.png

3. A következő ablakban egyszerű kérdést kapunk: hány operációs rendszert használunk jelenleg? Egyet vagy többet? Ez azért lényeges kérdés, hiszen a TrueCrypt betöltője ezek elé fog kerülni. Ha többel rendelkezünk, akkor ez alapján módosítja a betöltő szektort. Tehát válasszunk, hogy hány rendszert kezelünk, majd lépjünk tovább. Ha a többrendszeres megoldást választjuk, akkor meg kell adnunk, hogy a jelenlegi rendszer a betöltő meghajtón van-e vagy sem, valamint hány rendszermeghajtónk van. Ha egy meghajtón több rendszer van, arra is rákérdez a program, valamint arra is, hogy használunk-e külön betöltő segédprogramot. Mindezekre azért fontos kitérni, mert nem minden esetben támogatja a TrueCrypt a betöltő szektor felülírását, ezekről értesít is minket. Mindig olvassuk el az itteni javaslatokat, hiszen nem minden válasz esetében használhatjuk a kódolást!

 

Amennyiben csak egy operációs rendszerrel rendelkezünk, akkor a mappák titkosításánál már megismert kérdéssel találkozunk: milyen kódolási és ellenőrzési algoritmust válasszunk, valamint mi legyen a jelszó. Jelszó megadásakor nem tudunk kulcsfájlt készíteni, jelenleg ezt még nem támogatja a TrueCrypt, de egy későbbi verzióban még felbukkanhat.

 

 

truecript2_4.png

4. A következő ablakban egy érdekes dolgot kér tőlünk a program: egerünket minél hosszabban és nagyobb távolságban mozgassuk a mozgó értékek felett. Eközben generálja véletlenszerűen a titkosító kulcsot, amit a következő lépésre lépve tekinthetünk meg.

 

Habár ezt papírra valószínűleg nem írjuk fel, de CD-re igen, úgyhogy eljött az üres lemez ideje! A program be is kéri az útvonalat, hogy hová mentse a lemezképfájlt. Ha elkészültünk a mentéssel, indítsuk el a CD-író programunkat, mert addig nem léphetünk tovább, amíg fel nem írtuk a biztonsági lemezt. Természetesen a TrueCryptet véletlenül se zárjuk be ez idő alatt! Az írás végén hagyjuk benne a CD-t a meghajtóban, mert a program ellenőrzi a felírt végeredményt. Látszólag a lemez teljesen üresnek tűnik, de nem az, mert elfelejtett kód esetén csak ezzel a rendszertöltő (boot) lemezzel tudjuk visszahozni az adatainkat. Ha ez a lemez megsemmisülne és a jelszót sem tudjuk, a merevlemez tartalmához nem férhetünk többet hozzá!

 

Az ellenőrzés után már csak egy lépés van hátra a tesztig: a törlési algoritmus megadása. Ha valamit eltávolítunk a merevlemezről, akkor az biztonságosan történjen-e vagy a hagyományos módon (visszahozható legyen). Többmenetes törlést, akár 35 lépésben történő felülírást is választhatunk. Ez persze lassabb művelettel jár, de teljesen visszafejthetetlen.

 

 

truecript2_5.png

5. Következik a teszt! Ilyenkor még nem történik meg a meghajtó kódolása, csupán a betöltő szektor cseréjét végzi el a program, hogy el tudjuk-e majd indítani a rendszert vagy sem. Ehhez rövid, kinyomtatható utasítást is ad a program, majd ennek elolvasása után újraindítást kér. Ha a belépési kód helyett [Esc] billentyűt nyomunk, akkor a rendszer betöltődik ugyan, de egy ablakot kapunk belépés után, hogy próbáljuk ki még egyszer, de most a jelszóval, különben addig nem történik meg a kódolás. Ha az előző lépésben megírt CD-t a meghajtóban hagytuk, akkor megjelenik az [F8] billentyűre elindítható helyreállítási lehetőség is. Most tehát adjuk meg a belépéshez szükséges jelszót, hogy sikeresen lefusson a teszt.

 

 

truecript2_6.png

6. A rendszer betöltése után mindössze egy gombnyomásra vagyunk a teljes kódolástól. Az Encrypt gomb megnyomásakor szintén felugrik egy ablak a kinyomtatható jó tanácsokkal, hogy mit tegyünk abban az esetben, ha nem indulna a rendszerünk. Fontos, hogy ezután kéznél legyen a helyreállító lemez, amellyel hozzáférhetünk a titkosított adatainkhoz.

 

A teljes kódolás a merevlemez nagyságától függően hosszú ideig is eltarthat. Emiatt lényeges, hogy notebookon hálózati csatlakozás és feltöltött akkumulátor mellett, asztali gépen lehetőleg szünetmentes tápot használva induljunk neki a folyamatnak. Eközben dolgozzunk máshol, más program ne fusson a gépen!

 

A művelet legvégén indítsuk újra a gépet, és ha szeretnénk, kipróbálhatjuk az indító CD-t, hogy képes-e a helyreállításra. Amennyiben mindent rendben találtunk, a lemezt tegyük el jó helyre és ezután már csak az férhet a meghajtóhoz, aki tudja a belépési jelszót.

Hirdetés

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://www.pcwplus.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.