A Windows Vista megjelenésével került előtérbe az általános meghajtótitkosítás, ugyanis a BitLocker-technológia segítségével komplett meghajtókat tehettünk hardveresen elérhetetlenné az illetéktelenek számára. Az ellopott merevlemezt vagy számítógépet hiába próbálja bárki is elindítani, ha nincs meg a hozzá tartozó feloldó kulcs. A kinyitást ez esetben egy TPM-lapka vagy egy pendrive-on lévő állomány segítségével kezdeményezhetjük. A BitLocker sajnos nem minden Windowson érhető el, így nem árt, ha tudjuk, hogy van „univerzális”, ingyenes alternatívája, a TrueCrypt rendszer (www.truecrypt.org).
A TrueCrypt egyik érdekessége, hogy nemcsak meghajtókat tud titkosítani, hanem virtuális lemezek létrehozására is képes, amelyek konténerként működnek: amit beléjük teszünk, az lesz titkosítva. A TrueCrypt háromféle módszert kínál: az imént említett virtuális meghajtó létrehozása, egy teljes partíció levédése, vagy maga az operációs rendszer biztosítása. Amennyiben még nem ismerjük a programot, vagy csak egyes állományainkat szeretnénk biztonságban tudni, akkor célszerű az első lehetőséggel kísérletezni. Mostani mesterfogásunkban is erre térünk ki, valamint kiderül, miként működnek a rejtett kötetek. (Cikkünk következő részében bemutatjuk a teljes rendszermeghajtók titkosításának módját is.)
Első lépések
A programot nem kötelező telepíteni, ekkor választhatjuk a kicsomagolós változatot, amely főleg akkor hasznos, ha egy pendrive-on tároljuk a titkos információkat, és ugyanitt használjuk a hozzávaló programot is. Ha viszont a saját gépünkön kell titkosítani valamit, célszerű a hagyományos módon feltenni a programot. A TrueCrypt verzióváltása miatt sajnos a korábbi magyarítás nem használható teljesen értékűen. Az esetleges zavaró nyelvi kavarodás miatt most inkább angolul mutatjuk be a rendszer használatát.
Többféle titkosítási kódolásból választhatunk
A telepítés után egy puritánnak tűnő ablakot kapunk, de ez senkit ne tévesszen meg: itt majd a meghajtóazonosítókra állíthatjuk be a titkosított állományainkat. Elsőként kattintsunk a Create Volume gombra, hogy új titkos meghajtót hozzunk létre. A felbukkanó varázslóban a korábban már említett három lehetőségből választhatunk, de példánknál maradva az első lehetőséget javasoljuk, a Create an encrypted file containert. A Volume Type ablaknál kicsit időzzünk el, hiszen itt egy olyan választás elé állunk, amelyet jobb előre eldönteni, mint utólag. A Standard TrueCrypt volume esetében egy hagyományos befoglaló állományt kapunk, tehát amit oda beteszünk, az kódolva lesz és később ezt a csomagot meghajtóként fogjuk látni. Ha nincs sok titkolnivalónk, ezt válasszuk. A Hidden TrueCrypt volume működését úgy képzeljük el, mint a matrjoska babát: a külső, kódolt meghajtóban egy másik, rejtett belső tároló is található, amelyhez egyedi jelszót és kulcsállományt adhatunk meg. A meghajtó belső tartalmához majd az alapján férhetünk hozzá, hogy melyik jelszót adjuk meg (a konténerét vagy a rejtettét). Ennek a módszernek az az előnye, hogy ha bizonyos állományokat nagyon el akarunk dugni, és valaki mégis hozzáférne a csomaghoz, akkor az illetéktelen behatoló valószínűleg a külső jelszót fejti meg (ugyanis a rejtett részre nem utal semmi), így a titkos információ továbbra is biztonságban marad. Tehát ha kettős védelemre vágyunk, a második opciót válasszuk, de ha megelégszünk az egyszeres rétegű titkosítással, hagyjuk a Standardon. A továbbiakban külön tárgyaljuk a két műveletsort.
Hagyományos meghajtó készítése
A Select File gombbal elsőként adjunk meg egy helyet a konténernek, amelyet később titkosítunk. Ügyeljünk arra, hogy kiterjesztést nem ad hozzá a program, tehát ha jól el szeretnénk rejteni, akár még JPG kiterjesztéssel is álcázhatjuk a csomagot. Alapértelmezés szerint a .tc utótag támogatott, ezért érdemes ezt használni, ha közvetlenül a fájlra kattintva szeretnénk a programban dolgozni. A következő lépésben egy-egy algoritmust kell kiválasztanunk: az első a titkosítási, a második az egyedi azonosításra való módszer. Az első esetben a Benchmark segítségével tesztelhetjük le a gyorsaságot, ugyanis nem mindegy, hogy milyen sebességgel férünk majd az adatainkhoz.
Egy teszt segítségével kideríthetjük, hogy melyik titkosító algoritmus sebessége elviselhető még számunkra
Ha túl erős titkosító algoritmust állítunk be, akkor a műveleti sebesség lelassulhat. Szerencsére a mai gyors gépeknél már a legerősebb fokozat sem okoz túlzott lassulást, de a teszt elég jól megmutatja a különbségeket. Amint eldöntöttük a titkosítást, a következő oldalon adjuk meg, mekkora legyen a csomag mérete, ami egyben a virtuális meghajtónk kapacitása is lesz. Célszerű kezdetben megabájtos méretekben választani, hogy később egyszerűen pendrive-ra másolhassuk személyes dolgainkat. Gigabájtos méretek esetén az előbb beállított titkosítási algoritmust érdemes a gyorsabb típusokra állítani, hiszen minél nagyobb az adatmennyiség, annál nehezebb lesz a háttérben kódolni.
Egy csomaghoz több kulcsfájlt is megadhatunk a nagyobb biztonság érdekében
A méret megadása után jön a leglényegesebb dolog – a biztonság. Kettős védelmet rendelhetünk egy csomaghoz: jelszót és/vagy kulcsfájlt. Az egyszerűbb jelszó megadásánál figyelmeztet a program, hogy könnyen visszafejthető, adjunk meg egy nehezebbet. Egy vagy több egyedi kulccsal párosítva viszont teljes a védelem. Utóbbi esetben a jelszó megadása után jelöljük be a Use keyfiles pontot és kattintsunk a Keyfiles gombra. A felbukkanó ablak jobb alsó sarkában készíthetünk új kulcsot a Generate Random Keyfile gombbal. Nem kell megijedni, a kulcsok szinte másodpercenként változnak, amíg el nem mentjük az éppen aktuálisat. Itt sem kínál fel a program kiterjesztést, tehát okosan válasszunk nevet! Mentés után visszatérünk az előző ablakba, ahol az Add files gombra kattintva rendelhetjük meghajtónkhoz az előbb létrehozott kulcsot vagy kulcsokat. Megelégedhetünk egy állománnyal is, de ha abszolút biztonságra vágyunk, többet is hozzárendelhetünk. Ha van Smart Card rendszerünk vagy más azonosító eszközünk, azt az Add Token Files segítségével rendelhetjük hozzá. Az elkészült kulcsokra nagyon vigyázzunk, mert ha elveszítjük, a kódolt meghajtónk végleg elérhetetlen marad!
Miután elkészültünk a jelszóval és a kulcsok hozzáadásával, már csak a csomagunk fájlrendszerét kell kiválasztanunk, és azt a Format gombbal (virtuálisan) leformáznunk. A művelet végén az Exit gombbal léphetünk ki.
Ha több csomagunk van, mindegyikhez külön meghajtójelet rendelhetünk
Amikor visszatértünk a főablakhoz, nincs más teendőnk, mint kiválasztani egy szimpatikus meghajtó betűjelet, majd nyomjuk meg a Select File gombot. A csomag tallózása után máris megadhatjuk a jelszót és a szükséges kulcsokat, és a program azonnal felcsatolja ezeket a kiválasztott helyre. Ezután a Windows Intézőben megjelenik az új meghajtó, amibe beletehetjük féltett kincseinket. Amint végeztünk a pakolással, a TrueCrypt ablakában válasszuk a Dismount gombot a lecsatoláshoz. Az elkészített csomagot ezután bárhová elvihetjük, és máshol megnyithatjuk, természetesen a TrueCrypt és a hozzá tartozó kulcsok segítségével.
Rejtett csomag készítése
A rejtett csomag hasonlóan készül, mint az előbb bemutatott Standard, azzal a különbséggel, hogy először a befoglaló csomagot készítjük el, majd a rejtettet. Miután a varázslóban kiválasztottuk a Hidden TrueCrypt volume lehetőséget, a program felkínálja, hogy egy már meglévő virtuális meghajtóba szeretnénk készíteni egy rejtettet, vagy újat állítunk elő. Ha még most készítjük az első csomagunkat, célszerű a Normal mode lehetőséget választani. Ezután jön a korábban már tárgyalt fájlmegadás, ahol a befoglaló csomag helyét és nevét adjuk meg. Egy figyelmeztető ablak következik, hogy pontosan tudjuk: most a külső „burok” adatai kerülnek megadásra. A kódolási és ellenőrzési algoritmusok beállítása után írjuk be a csomag méretét, majd adjuk meg a szükséges jelszót és kulcsállományokat. A fájlrendszer kiválasztásánál figyelmeztetést kapunk, hogy használjuk a FAT-ot, mert ez jobban kezelhető a rejtett tartalom befoglalására, mint az NTFS. Miután formáztuk a csomagot, egy újabb figyelmeztető ablakot kapunk, miszerint a létrehozott konténer jelenleg Z: meghajtóként elérhető, tehát most tehetünk bele fájlokat. Mivel ezt utólag bármikor elvégezhetjük, lépjünk most tovább.
Rejtett csomagokat is létrehozhatunk egy titkosított konténerben
A következő lépésekben a rejtett csomag paraméterei következnek. Szintén meg kell adnunk a titkosítási és ellenőrzési beállításokat, majd a rejtett tartalom méretét. Itt már láthatjuk, hogy maximálisan csak a külső meghajtó méretéig nyújtózkodhatunk. Célszerű egy kisebb értéket megadni, hogy ezen kívül elférjen még valami a külső „burokba”. A rejtett csomaghoz külön jelszót és kulcsokat adjunk meg, de ne ugyanazt, amit a befoglaló állományhoz választottunk! A formázáshoz már bármilyen lehetőséget bejelölhetünk, és ezután el is készítettük a kétrétegű konténerünket.
Ezután, ha fel akarjuk csatolni az állományt, akkor a megadott jelszó-kulcs párok alapján a TrueCrypt vagy a külső, vagy a belső rejtett tároló jeleníti meg a meghajtó tartalmaként.
Cikkünk következő részében bemutatjuk a teljes rendszermeghajtók titkosításának módját is.