Pewnie wielu z Was przenosi na swoich pamięciach typu Pendrive coraz więcej danych, często są to dane prywatne, osobiste – które lepiej by nie wpadły w ręce osób trzecich. Najlepiej jakby na taką pamięć założyć hasło, najlepiej jakby taka aplikacja działała na różnych systemach (Windows, Linux) i nie wymagała uprawnień administratora do działania (szkoła, praca).

Często producenci przenośnych pamięci flash dodają do swoich urządzeń takie aplikacje, ale niestety najczęściej szyfrują one tylko pojedyncze pliki, a i ich obsługa nie jest wygodna…

Szyfrowanie danych na pamięci przenośnej

Zdarzają się jednak producenci, którzy swoje pamięci pozwalają szyfrować w sposób relatywnie wygodny, i zarazem zgodny z naszymi założeniami. Dlatego od nich zacznę:

Szyfrowanie w urządzeniach z technologią U3 (np. SanDisk) działa, że gdy uaktywnimy hasło, to po włożeniu pamięci do portu USB w komputerze, pojawia nam się nowy napęd (CD), z którego uruchamia się aplikacja zarządzająca szyfrowaniem. Gdy podamy hasło, pojawia nam się kolejny napęd (flash) z danymi – widziany w explorerze jako zwykły dysk flash.

Kolejnym przykładem są pamięci firmy Kingston, np. z serii DataTraveler Locker (DTL), w których po włożeniu pamięci do portu USB w systemie pokaże się partycja nieszyfrowana, z aplikacją po uruchomieniu której wystarczy podać hasło, by uzyskać dostęp do plików.

Sami decydujemy o podziale miejsca między partycją szyfrowaną a nieszyfrowaną. Dodatkowo dane zabezpieczone są poprzez sprzętowe szyfrowanie EAS 256. Oba rozwiązania nie wymagają to uprawnień administratora, są wygodne, szybkie i bezpieczne…

Szyfrowanie za pomocą programu TrueCrypt

Innym rozwiązaniem – bardziej uniwersalnym jeśli chodzi o obsługiwane systemy operacyjne – może być skorzystanie z aplikacji TrueCrypt, która oprócz szyfrowania danych, dysków twardych w naszym komputerze, może pomóc zabezpieczyć nam nasze dane na pamięciach przenośnych (np. Pendrive).

Niestety, wadą tego rozwiązania jest konieczność posiadania uprawnień administratora (TrueCrypt ładuje swój własny sterownik) co może być przeszkodą w korzystaniu z tego rozwiązania w szkole czy pracy, jeśli nie posiadamy stosownych uprawnień, a zazwyczaj tak jest w tych wypadkach. W takim przypadku jako najlepsze rozwiązanie, zwłaszcza jeśli będziemy z naszej pamięci flash korzystać głownie pod Windowsem, polecam zapoznać jednak zapoznać się z technologią U3.

Potrzebny nam będzie program TrueCrypt, do ściągnięcia ze producenta (program jest bezpłatny, posiada polską wersje językową – plik z polskim językiem po prostu kopiujemy do naszego katalogu TrueCrypt). Można program zainstalować w systemie, ale ważne by skopiować na nasz napęd, np. do katalogu TrueCrypt.

Na naszym dysku możemy utworzyć dodatkowo katalog, np. „TC”, w którym będziemy trzymać nasz zaszyfrowany dysk.

Następnie tworzymy „kontener TrueCrypt” – to będzie w dalszym etapie nasz zaszyfrowany dysk:

  • Uruchamiamy TrueCrypt
  • Klikamy „utwórz wolumin”
  • 2 pierwsze kroki możemy zostawić tak jak jest
  • W kroku 3. „Lokalizacja Woluminu” podajmy katalog TC na naszej pamięci flash, nadając mu nazwę np. „dysk_tc”
  • W 4. kroku „opcje szyfrowania” możemy też zostawić domyślne parametry
  • 5. krok, to ustawienie wielkości naszego szyfrowanego dysku. Tu możemy zrobić to na 2 sposoby:
  1. Dać wielkość ok 20-100MB mniejszą (tyle by starczyło na program TrueCrypt, i ew jakieś dane które chcemy mieć dostępne zawsze jako niezaszyfrowane) od pojemności naszej pamięcią, zwłaszcza jeśli zdecydujemy się (o tym za chwilę, niżej) na wolumin dynamiczny
  2. Ustawić wielkość jaką uważamy za stosowne, tzn. jeśli orientujemy się mniej więcej jak dużo danych będziemy tam trzymać plus jakiś zapas (TrueCrypt chyba nie umożliwia zmiany wielkości woluminu którego rozmiar zadeklarujemy jako stały, i gdy później zacznie nam brakować miejsca, należy utworzyć nowy, większy wolumin, i po skopiowaniu danych – podmienić) zwłaszcza jeśli (o tym za chwilę, niżej) nie zdecydujemy się na wolumin dynamiczny
  • W następnym kroku ustawiamy hasło
  • Kolejny krok to „formatowanie woluminu”, polecam ustawić NTFS jako system plików (ew. FAT jeśli będziemy korzystać z niego na starszych wersjach Linuxa)
Rozmiar dynamiczny: Szyfrowany dysk, nie będzie od razu zabierał tyle miejsca ile podaliśmy jako jego (maksymalny w tym wypadku) rozmiar, tylko dynamicznie – zależnie od ilości danych jakie będziemy w nim trzymać, TrueCrypt będzie regulował jego wielkość. Należy jednak pamiętać, że przy woluminie dynamicznym pewnym niebezpieczeństwem jest to, że jeśli będziemy chcieli do nieszyfrowanej przestrzeni (poza woluminem TrueCrypt)wgrać za dużo danych, to możemy nadpisać nasz szyfrowany wolumin, i tym samym możemy nieodwracalnie stracić wszystkie dane. Dlatego jeśli uznamy, że nie ma takiej potrzeby by stosować wolumin dynamiczny, chyba bezpieczniej zostać przy woluminie zwykłym. Chyba, że nie planujemy na obszarze nieszyfrowanym (poza woluminem TrueCrypt) przenosić większych (więcej niż zostawiona wolna przestrzeń, w naszym wypadku wspomniane wyżej 20-100MB) ilości danych.

Gdy mamy już masz szyfrowany wolumin, konfigurujemy naszą pamięć tak, by wygodniej nam się korzystało z naszego dysku. W tym celu tworzymy w głównym „katalogu” pamięci plik autorun.inf, a w nim:

[AUTORUN]
 icon=ikona.ico     * jeśli chcemy mieć własną ikonę *
 UseAutoplay=0     * można dać 1, autostart *
 label=PenDrive     *etykieta *

action=Otwórz     * Domyślna akcja *
 open=explore     * Domyślna akcja: przeglądaj zawartość *

* jeśli chcemy używać autostartu (tu start TC, ale można dać polecenie montowania) *
 action=Uruchom TrueCrypt     * możemy nazwać polecenie inaczej *
 open=TrueCrypt\TrueCrypt.exe     *jeśli mamy program w katalogu TrueCrypt *

* Najważniejsze 2 polecenia: *

shell\TC_ON=Podłącz dysk TC     * możemy nazwać polecenie inaczej *
 shell\TC_ON\command=TrueCrypt\TrueCrypt.exe /v TC\dysk_tc /lq /m rm /q
* gdzie TC\dysk_tc to ścieżka do naszego pliku/dysku który wcześniej stworzyliśmy *
 * gdzie /lq tutaj "q" oznacza literę dysku pod jaką będzie widoczny nasz zaszyfrowany dysk *
 * możemy też dodać przełącznik /e jeśli chcemy,
 by nam się automatycznie otwierał explorer z szyfrowanym dyskiem *

shell\TC_OFF=Odłącz PRC 7GB TC     * możemy nazwać polecenie inaczej *
  shell\TC_OFF\command=TrueCrypt\TrueCrypt.exe /q /d Q
 * odłączenie naszego zaszyfrowanego dysku, tu o literze Q *
Między znakami * znajdują się komentarze, których nie wpisujemy do pliku autorun.inf

I to właściwie wszystko, ew dla dodatkowej kontroli nad naszym szyfrowanym dyskiem (według mnie dużo praktyczniej niż przez plik autorun.inf) , możemy stworzyć 2 pliki BAT (i umieścić je np. w katalogu TC), w których powtórzymy polecenia montujące i demontujące nasz wirtualny napęd, i które to pliki wystarczy uruchomić (np. skrót na pulpicie) by wykonać odpowiednie działanie.

Start_q.bat:

cd..    * wyjście z katalogu TC na główną ścieżkę napędu *
 TrueCrypt\TrueCrypt.exe /v TC\dysk_tc /lq /m rm /q
 * gdzie: TC\dysk_tc to ścieżka do naszego pliku-dysku który stworzyliśmy *
 * gdzie: /lq tutaj "q" oznacza literę dysku pod jaką będzie widoczny nasz zaszyfrowany dysk *
 * możemy też dodać przełącznik /e jeśli chcemy, by nam się automatycznie otwierał explorer z szyfrowanym dyskiem *
Między znakami * znajdują się komentarze, których nie wpisujemy do pliku autorun.inf

Stop_q.bat:

cd..     * wyjście z katalogu TC na główną ścieżkę napędu *
 TrueCrypt\TrueCrypt.exe /q /d Q
 * odłączenie naszego zaszyfrowanego dysku, tu o literze Q *
Między znakami * znajdują się komentarze, których nie wpisujemy do pliku autorun.inf

Ewentualnie wszystko w jednym pliku .bat:

@echo off

Echo.
 echo 1 Zamontuj dysk TC_Q
 echo.
 echo 2 Odmontuj dysk TC_Q
 echo.
 echo 3 Wyjdz
 echo.
 echo Wybierz:

choice /c 123

if errorlevel 3 goto END
if errorlevel 2 goto TCOFF
if errorlevel 1 goto TCON

goto end

:TCON
 echo TC ON, prosze czekac...
 cd..
 TrueCrypt\TrueCrypt.exe /v TC\dysk_tc /lq /m rm /q
 goto :END

:TCOFF
 echo TC OFF, prosze czekac...
 cd..
 TrueCrypt\TrueCrypt.exe /q /d Q
 goto :END

:END
 echo END
 exit

Po uruchomieniu wyświetla się proste menu z wyborem:

  1. Zamontuj dysk TC_Q
  2. Odmontuj dysk TC_Q
  3. Wyjdź

I zależnie od tego co chcemy zrobić, wybieramy odpowiednią akcję (klawisz 1, 2 lub 3). Wybór każdej opcji powoduje przejście do odpowiedniej sekcji skryptu, i wykonanie tam zdefiniowanego polecenia. Parametry (ścieżki do plików, litera dysku, plik TC) jakie podawałem w tym skrypcie, są takie same jak w przykładach wyżej.

Znane mi problemy przy używaniu TrueCrypt

Wspomniana już konieczność posiadania uprawnień administratora na komputerze to nie jedyne problemy (niedogodności), jakie mogą wystąpić w przypadku korzystaniu z TrueCrypta.

Gdy na komputerze, na którym chcemy użyć naszego „TrueCrypt portable” jest zainstalowany TrueCrypt w innej (starszej) wersji, niż ten który mamy na Pendrive i uruchamiamy (bat, autorun) dostaniemy komunikat o konieczności zaktualizowania TrueCrypt na komputerze.

Rozwiązanie: Albo aktualizacja TrueCrypt na komputerze, lub ręczne pod montowanie naszego woluminu TrueCrypt za pomocą wersji zainstalowanej na komputerze.

Jak każdy plik/dysk – tak i wolumin TrueCrypt może ulec uszkodzeniu (niepoprawne domontowanie woluminu, niepoprawne (bez bezpiecznego usuwania sprzętu) odłączenie naszej pamięci) może spowodować, ze wolumin stanie się nieczytelny.

Rozwiązanie: Warto robić kopie zapasowe zawartości, jak i nagłówka woluminu (uruchamiamy TrueCrypt, wybieramy nasz wolumin następnie narzędzie >> utwórz kopię zapasową nagłówka woluminu). Sam TrueCrypt pomaga nam w pewien sposób, bo klikając w jego oknie głównym na woluminie mamy do dyspozycji sprawdź i napraw system plików. Dodatkowo, bardzo duża część narzędzi dyskowych – do naprawiania, odzyskiwania danych – bezproblemowo współpracuje z woluminem TrueCrypt, tak jak z każdym innym dyskiem (choć tu zalecam ostrożność).

Przed wykonaniem operacji odzyskiwania danych, ratowania naszego woluminu/dysku TrueCrypt wykonaj koniecznie kopie zapasową pliku który jest naszym woluminem/dyskiem. Dodatkowo, zwłaszcza przy większych woluminach wszelkie operacje (skanowanie, odzyskiwanie itp.) lepiej wykonywać na woluminie skopiowanym na dysk twardy – przyspieszy to wszelkie operacje wykonywane na nim.

FreeOFTE

Podobne możliwości (portable mode dla PenDrive) posiada inna bezpłatna aplikacja – FreeOTFE. Obsługa w wersji portable też może się sprowadzać do ręcznego montowania naszego woluminu, lub do ustawienia odpowiedniego polecenia do pliku autorun.inf i/lub użycia skryptów (np. .bat).

Składnia dość podobna, z racji tego, że sam nie używałem (tyle tylko by sprawdzić czy występują tak jak w przypadku  TrueCrypta pewne problemy) więc odsyłam na stronę domową aplikacji.

Montowanie woluminu:

FreeOTFE.exe /mount /drive Q: /volume "nasz_dysk.vol" / portable 1 /freeotfe

Odmontowanie:

FreeOTFE.exe /dismount Q:

Więcej informacji znajdziecie w dokumentacji.

Nie będę bardziej zagłębiał się w składnie jak i konfiguracje programu FreeOTFE, gdyż jest to bardzo dobrze opisane na stronie programu, oraz bardzo podobne w obsłudze i konfiguracji do opisanej wyżej aplikacji TrueCrypt.

A z racji tego, że tak jak i TrueCrypt, tak i FreeOTFE wymaga do poprawnego działania (nawet w trybie portable) uprawnień administratora (przynajmniej do zainstalowania sterowników „dyskowych” – później może już działać bez tych uprawnień) pozostaje przy TrueCrypt (może to kwestia przyzwyczajenia)

A, że dobrze mieć wybór – polecam zapoznać się zarówno z TrueCrypt jak i FreeOTFE.

(!) Zgłoś błąd na stronie

Spodobał Ci się artykuł? Zapisz się do naszego Newslettera - ZERO SPAMu, same konkrety, oraz dostęp do dodatkowych materiałów przeznaczonych dla subskrybentów!

Na podany adres e-mail otrzymasz od nas wiadomość e-mail, w której znajdziesz link do potwierdzenia subskrypcji naszego Newslettera. Dzięki temu mamy pewność, że nikt nie dodał Twojego adresu przez przypadek. Jeśli wiadomość nie przyjdzie w ciągu najbliższej godziny (zazwyczaj jest to maksymalnie kilka minut) sprawdź folder SPAM.

Patryk

CEO Webinsider.pl, a do tego CTO, CIO, CFO, CMO, CSO, COO i CRO ;-)
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.

Dumny przyjaciel swoich psów :-)