Pewnie wielu z Was przenosi na swoich pamięciach typu Pendrive coraz więcej danych, często są to dane prywatne, osobiste – które lepiej by nie wpadły w ręce osób trzecich. Najlepiej jakby na taką pamięć założyć hasło, najlepiej jakby taka aplikacja działała na różnych systemach (Windows, Linux) i nie wymagała uprawnień administratora do działania (szkoła, praca).
Często producenci przenośnych pamięci flash dodają do swoich urządzeń takie aplikacje, ale niestety najczęściej szyfrują one tylko pojedyncze pliki, a i ich obsługa nie jest wygodna…
Spis treści w artykule
Szyfrowanie danych na pamięci przenośnej
Zdarzają się jednak producenci, którzy swoje pamięci pozwalają szyfrować w sposób relatywnie wygodny, i zarazem zgodny z naszymi założeniami. Dlatego od nich zacznę:
Szyfrowanie w urządzeniach z technologią U3 (np. SanDisk) działa, że gdy uaktywnimy hasło, to po włożeniu pamięci do portu USB w komputerze, pojawia nam się nowy napęd (CD), z którego uruchamia się aplikacja zarządzająca szyfrowaniem. Gdy podamy hasło, pojawia nam się kolejny napęd (flash) z danymi – widziany w explorerze jako zwykły dysk flash.
Kolejnym przykładem są pamięci firmy Kingston, np. z serii DataTraveler Locker (DTL), w których po włożeniu pamięci do portu USB w systemie pokaże się partycja nieszyfrowana, z aplikacją po uruchomieniu której wystarczy podać hasło, by uzyskać dostęp do plików.
Sami decydujemy o podziale miejsca między partycją szyfrowaną a nieszyfrowaną. Dodatkowo dane zabezpieczone są poprzez sprzętowe szyfrowanie EAS 256. Oba rozwiązania nie wymagają to uprawnień administratora, są wygodne, szybkie i bezpieczne…
Szyfrowanie za pomocą programu TrueCrypt
Innym rozwiązaniem – bardziej uniwersalnym jeśli chodzi o obsługiwane systemy operacyjne – może być skorzystanie z aplikacji TrueCrypt, która oprócz szyfrowania danych, dysków twardych w naszym komputerze, może pomóc zabezpieczyć nam nasze dane na pamięciach przenośnych (np. Pendrive).
Potrzebny nam będzie program TrueCrypt, do ściągnięcia ze producenta (program jest bezpłatny, posiada polską wersje językową – plik z polskim językiem po prostu kopiujemy do naszego katalogu TrueCrypt). Można program zainstalować w systemie, ale ważne by skopiować na nasz napęd, np. do katalogu TrueCrypt.
Na naszym dysku możemy utworzyć dodatkowo katalog, np. „TC”, w którym będziemy trzymać nasz zaszyfrowany dysk.
Następnie tworzymy „kontener TrueCrypt” – to będzie w dalszym etapie nasz zaszyfrowany dysk:
- Uruchamiamy TrueCrypt
- Klikamy „utwórz wolumin”
- 2 pierwsze kroki możemy zostawić tak jak jest
- W kroku 3. „Lokalizacja Woluminu” podajmy katalog TC na naszej pamięci flash, nadając mu nazwę np. „dysk_tc”
- W 4. kroku „opcje szyfrowania” możemy też zostawić domyślne parametry
- 5. krok, to ustawienie wielkości naszego szyfrowanego dysku. Tu możemy zrobić to na 2 sposoby:
- Dać wielkość ok 20-100MB mniejszą (tyle by starczyło na program TrueCrypt, i ew jakieś dane które chcemy mieć dostępne zawsze jako niezaszyfrowane) od pojemności naszej pamięcią, zwłaszcza jeśli zdecydujemy się (o tym za chwilę, niżej) na wolumin dynamiczny
- Ustawić wielkość jaką uważamy za stosowne, tzn. jeśli orientujemy się mniej więcej jak dużo danych będziemy tam trzymać plus jakiś zapas (TrueCrypt chyba nie umożliwia zmiany wielkości woluminu którego rozmiar zadeklarujemy jako stały, i gdy później zacznie nam brakować miejsca, należy utworzyć nowy, większy wolumin, i po skopiowaniu danych – podmienić) zwłaszcza jeśli (o tym za chwilę, niżej) nie zdecydujemy się na wolumin dynamiczny
- W następnym kroku ustawiamy hasło
- Kolejny krok to „formatowanie woluminu”, polecam ustawić NTFS jako system plików (ew. FAT jeśli będziemy korzystać z niego na starszych wersjach Linuxa)
Gdy mamy już masz szyfrowany wolumin, konfigurujemy naszą pamięć tak, by wygodniej nam się korzystało z naszego dysku. W tym celu tworzymy w głównym „katalogu” pamięci plik autorun.inf, a w nim:
[AUTORUN]
icon=ikona.ico * jeśli chcemy mieć własną ikonę *
UseAutoplay=0 * można dać 1, autostart *
label=PenDrive *etykieta *
action=Otwórz * Domyślna akcja *
open=explore * Domyślna akcja: przeglądaj zawartość *
* jeśli chcemy używać autostartu (tu start TC, ale można dać polecenie montowania) *
action=Uruchom TrueCrypt * możemy nazwać polecenie inaczej *
open=TrueCrypt\TrueCrypt.exe *jeśli mamy program w katalogu TrueCrypt *
* Najważniejsze 2 polecenia: *
shell\TC_ON=Podłącz dysk TC * możemy nazwać polecenie inaczej *
shell\TC_ON\command=TrueCrypt\TrueCrypt.exe /v TC\dysk_tc /lq /m rm /q
* gdzie TC\dysk_tc to ścieżka do naszego pliku/dysku który wcześniej stworzyliśmy *
* gdzie /lq tutaj "q" oznacza literę dysku pod jaką będzie widoczny nasz zaszyfrowany dysk *
* możemy też dodać przełącznik /e jeśli chcemy,
by nam się automatycznie otwierał explorer z szyfrowanym dyskiem *
shell\TC_OFF=Odłącz PRC 7GB TC * możemy nazwać polecenie inaczej *
shell\TC_OFF\command=TrueCrypt\TrueCrypt.exe /q /d Q
* odłączenie naszego zaszyfrowanego dysku, tu o literze Q *I to właściwie wszystko, ew dla dodatkowej kontroli nad naszym szyfrowanym dyskiem (według mnie dużo praktyczniej niż przez plik autorun.inf) , możemy stworzyć 2 pliki BAT (i umieścić je np. w katalogu TC), w których powtórzymy polecenia montujące i demontujące nasz wirtualny napęd, i które to pliki wystarczy uruchomić (np. skrót na pulpicie) by wykonać odpowiednie działanie.
Start_q.bat:
cd.. * wyjście z katalogu TC na główną ścieżkę napędu *
TrueCrypt\TrueCrypt.exe /v TC\dysk_tc /lq /m rm /q
* gdzie: TC\dysk_tc to ścieżka do naszego pliku-dysku który stworzyliśmy *
* gdzie: /lq tutaj "q" oznacza literę dysku pod jaką będzie widoczny nasz zaszyfrowany dysk *
* możemy też dodać przełącznik /e jeśli chcemy, by nam się automatycznie otwierał explorer z szyfrowanym dyskiem *Stop_q.bat:
cd.. * wyjście z katalogu TC na główną ścieżkę napędu *
TrueCrypt\TrueCrypt.exe /q /d Q
* odłączenie naszego zaszyfrowanego dysku, tu o literze Q *Ewentualnie wszystko w jednym pliku .bat:
@echo off
Echo.
echo 1 Zamontuj dysk TC_Q
echo.
echo 2 Odmontuj dysk TC_Q
echo.
echo 3 Wyjdz
echo.
echo Wybierz:
choice /c 123
if errorlevel 3 goto END
if errorlevel 2 goto TCOFF
if errorlevel 1 goto TCON
goto end
:TCON
echo TC ON, prosze czekac...
cd..
TrueCrypt\TrueCrypt.exe /v TC\dysk_tc /lq /m rm /q
goto :END
:TCOFF
echo TC OFF, prosze czekac...
cd..
TrueCrypt\TrueCrypt.exe /q /d Q
goto :END
:END
echo END
exitPo uruchomieniu wyświetla się proste menu z wyborem:
- Zamontuj dysk TC_Q
- Odmontuj dysk TC_Q
- Wyjdź
I zależnie od tego co chcemy zrobić, wybieramy odpowiednią akcję (klawisz 1, 2 lub 3). Wybór każdej opcji powoduje przejście do odpowiedniej sekcji skryptu, i wykonanie tam zdefiniowanego polecenia. Parametry (ścieżki do plików, litera dysku, plik TC) jakie podawałem w tym skrypcie, są takie same jak w przykładach wyżej.
Znane mi problemy przy używaniu TrueCrypt
Wspomniana już konieczność posiadania uprawnień administratora na komputerze to nie jedyne problemy (niedogodności), jakie mogą wystąpić w przypadku korzystaniu z TrueCrypta.
Gdy na komputerze, na którym chcemy użyć naszego „TrueCrypt portable” jest zainstalowany TrueCrypt w innej (starszej) wersji, niż ten który mamy na Pendrive i uruchamiamy (bat, autorun) dostaniemy komunikat o konieczności zaktualizowania TrueCrypt na komputerze.
Rozwiązanie: Albo aktualizacja TrueCrypt na komputerze, lub ręczne pod montowanie naszego woluminu TrueCrypt za pomocą wersji zainstalowanej na komputerze.
Jak każdy plik/dysk – tak i wolumin TrueCrypt może ulec uszkodzeniu (niepoprawne domontowanie woluminu, niepoprawne (bez bezpiecznego usuwania sprzętu) odłączenie naszej pamięci) może spowodować, ze wolumin stanie się nieczytelny.
Rozwiązanie: Warto robić kopie zapasowe zawartości, jak i nagłówka woluminu (uruchamiamy TrueCrypt, wybieramy nasz wolumin następnie narzędzie >> utwórz kopię zapasową nagłówka woluminu). Sam TrueCrypt pomaga nam w pewien sposób, bo klikając w jego oknie głównym na woluminie mamy do dyspozycji sprawdź i napraw system plików. Dodatkowo, bardzo duża część narzędzi dyskowych – do naprawiania, odzyskiwania danych – bezproblemowo współpracuje z woluminem TrueCrypt, tak jak z każdym innym dyskiem (choć tu zalecam ostrożność).
FreeOFTE
Podobne możliwości (portable mode dla PenDrive) posiada inna bezpłatna aplikacja – FreeOTFE. Obsługa w wersji portable też może się sprowadzać do ręcznego montowania naszego woluminu, lub do ustawienia odpowiedniego polecenia do pliku autorun.inf i/lub użycia skryptów (np. .bat).
Składnia dość podobna, z racji tego, że sam nie używałem (tyle tylko by sprawdzić czy występują tak jak w przypadku TrueCrypta pewne problemy) więc odsyłam na stronę domową aplikacji.
Montowanie woluminu:
FreeOTFE.exe /mount /drive Q: /volume "nasz_dysk.vol" / portable 1 /freeotfeOdmontowanie:
FreeOTFE.exe /dismount Q:Więcej informacji znajdziecie w dokumentacji.
Nie będę bardziej zagłębiał się w składnie jak i konfiguracje programu FreeOTFE, gdyż jest to bardzo dobrze opisane na stronie programu, oraz bardzo podobne w obsłudze i konfiguracji do opisanej wyżej aplikacji TrueCrypt.
A z racji tego, że tak jak i TrueCrypt, tak i FreeOTFE wymaga do poprawnego działania (nawet w trybie portable) uprawnień administratora (przynajmniej do zainstalowania sterowników „dyskowych” – później może już działać bez tych uprawnień) pozostaje przy TrueCrypt (może to kwestia przyzwyczajenia)
A, że dobrze mieć wybór – polecam zapoznać się zarówno z TrueCrypt jak i FreeOTFE.
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.
Dumny przyjaciel swoich psów :-)
- Wakacje składkowe ZUS a zawieszenie działalności gospodarczej, czyli uważaj, bo być może nie będziesz mógł skorzystać (w 2024) - 1970-01-01
- Przykładowy kalkulator wyceny usługi druku 3D, czyli nie tylko materiał się liczy - 1970-01-01
- Home Assistant 2024.10, czyli nowa karta „nagłówek” i niedziałający TTS w ramach usługi Google Cloud - 1970-01-01
Bardzo dobry, rzeczowy opis.
dziękuję