Potpuna enkripcija diska je izvanredna zaštita u slučaju krađe uređaja. Razmotrimo Windows-ov ugrađeni BitLocker i njegove alternative.
Da li ste svesni koliko je alarmantna situacija kada je ukraden laptop kompanije Coplin Health Systems u Zapadnoj Virdžiniji sa podacima o 43.000 pacijenata?
Ili koliko je ozbiljno kada je izvođač radova u Japanu izgubio USB sa ličnim informacijama 460.000 građana?
Problem je bio što podaci nisu bili zaštićeni enkripcijom.
Kao rezultat toga, zlonamerni pojedinci su imali lak pristup i mogućnost prodaje ličnih podataka na dark web-u.
Naučili su lekciju na teži način. Međutim, to ne bi trebalo da bude slučaj kada je enkripcija podataka tako jednostavna.
U nastavku ćemo govoriti o enkripciji diska, kako je izvršiti pomoću BitLocker-a i koje su alternative dostupne.
Potpuna enkripcija diska
Potpuna enkripcija diska (Full Disk Encryption – FDE) podrazumeva zaključavanje celokupnog diska vašeg sistema. Sprečava neovlašćeni pristup podacima na kompromitovanim uređajima i, ukoliko se primeni na sistemske diskove, može omogućiti proveru prilikom pokretanja radi dodatne sigurnosti.
BitLocker
Windows Professional, Business i Education verzije dolaze sa preinstaliranom BitLocker enkripcijom uređaja.
Korišćenjem BitLocker-a, možete zaštititi diskove lozinkom, pri čemu oni normalno funkcionišu kada ste prijavljeni. Postoji i ključ za oporavak za resetovanje lozinke, bez kojeg sadržaj diska postaje nečitljiv.
Osim toga, ova funkcionalnost je kompatibilna sa više platformi. Na primer, disk šifrovan na Windows-u će ostati zaštićen i na Linux-u.
Važno je napomenuti da vas ovo neće zaštititi nakon što se sistem otključa. Ovi mehanizmi enkripcije postaju beskorisni u slučaju, recimo, špijunskog softvera koji krade vaše lične podatke, a koji ste možda nesvesno instalirali. Stoga, oni ne mogu zameniti antivirusne ili anti-špijunske alate.
Da biste započeli, ukucajte BitLocker u pretragu na traci zadataka i otvorite „Upravljaj BitLocker-om“.
Sada odaberite željeni disk i kliknite na „Uključi BitLocker“.
Sledeći koraci se razlikuju za disk operativnog sistema i za nesistemske particije, uključujući prenosive diskove.
BitLocker na sistemskim diskovima
Podrazumevano se koristi TPM (Trusted Platform Module) sigurnosni čip (verzija 1.2 ili novija) za autentifikaciju. Računar se pokreće kada TPM vrati ključ.
TPM je čip koji se isporučuje sa modernim računarima i obezbeđuje celokupni integritet uređaja. Možda ćete morati da ga aktivirate ako vaš sistem ne prepozna TPM čip, čak i ako ga poseduje.
U tim slučajevima, nema autentifikacije pre pokretanja sistema i bilo ko ko ima vaš računar može ga uključiti koristeći lozinku za prijavu na Windows.
Međutim, možete uključiti PIN pre pokretanja iz editora lokalnih grupnih politika da biste postigli maksimalnu sigurnost. Nakon toga, TPM čip će tražiti ključ za oporavak i PIN pre nego što dozvoli pokretanje računara.
Prednost je što ovi čipovi dolaze sa zaštitom od grubih napada. Tako će napadač imati samo nekoliko pokušaja pre nego što odustane.
Važno je da ovo konfigurišete pre nego što započnete enkripciju.
Proces je prilično jednostavan. Prvo, otvorite Windows Run pritiskom na ⊞+R, ukucajte gpedit.msc i pritisnite enter.
Zatim idite na „Konfiguracija računara“ > „Administrativni predlošci“ > „Windows komponente“ > „Šifriranje BitLocker uređaja“ > „Diskovi operativnog sistema“:
Sada će BitLocker enkripcija zahtevati PIN ili unapred podešen USB disk kao fizičku autentifikaciju pre pokretanja.
Zatim prelazite na izbor između šifrovanja celog diska ili samo korišćenog prostora.
Šifrovanje celog diska je generalno bolja opcija za starije računare jer možda imate podatke koji se mogu povratiti iz praznih sektora pomoću Windows alata za oporavak podataka.
Nakon toga, birate između novog ili kompatibilnog režima šifrovanja. Za disk operativnog sistema, bolje je izabrati novi režim šifrovanja. Kompatibilni režim je pogodniji za prenosive diskove.
Na kraju, preporučuje se pokretanje BitLocker sistemske provere u sledećem prozoru da biste se uverili da sve funkcioniše savršeno.
BitLocker na fiksnim diskovima za podatke
Enkripcija ovih particija i diskova je jednostavnija. Od vas će se tražiti da unapred postavite lozinku.
Kada ovo rešite, proces je sličan enkripciji diska operativnog sistema, osim što nema provere BitLocker sistema.
Iako je BitLocker koristan, nije dostupan korisnicima Windows Home verzija. Druga najbolja besplatna opcija je Windows enkripcija uređaja, ako je vaš uređaj podržava.
Ova opcija se razlikuje od BitLocker-a po tome što ne zahteva TPM. Takođe, ne postoji način autentifikacije pre pokretanja.
Možete proveriti dostupnost pomoću informacija o sistemu. Otvorite Windows Run, ukucajte msinfo32 i pritisnite enter. Spustite se na dno i pogledajte da li se pominju preduslovi za „Podrška za šifriranje uređaja“.
Ako ne, najverovatnije vaš uređaj ne podržava enkripciju uređaja. Međutim, možete kontaktirati podršku proizvođača da biste istražili potencijalna rešenja.
Alternativno, postoji nekoliko besplatnih i plaćenih alata za potpunu enkripciju diska koje možete koristiti.
VeraCrypt
VeraCrypt je besplatan softver otvorenog koda za enkripciju koji je dostupan za Windows, Mac i Linux. Slično BitLocker-u, možete da šifrujete sistemske diskove, fiksne diskove sa podacima i prenosive diskove.
Ovaj softver je fleksibilniji i nudi mnogo opcija za algoritme šifrovanja. Takođe, može da šifruje i u hodu. Na primer, možete kreirati šifrovani kontejner i preneti svoje datoteke da biste ih šifrovali.
Pored toga, VeraCrypt može da kreira skrivene šifrovane volumene i podržava autentifikaciju pre pokretanja kao što je slučaj kod BitLocker-a.
Međutim, korisnički interfejs može delovati komplikovano, ali to se može rešiti uz pomoć YouTube tutorijala.
BestCrypt
BestCrypt se može smatrati prilagođenom i plaćenom verzijom VeraCrypt-a.
Omogućava pristup različitim algoritmima i brojnim opcijama za postizanje potpune enkripcije diska. Podržava kreiranje šifrovanih kontejnera i enkripciju sistemskih diskova.
Takođe, možete primeniti pokretanje uz odobrenje lozinkom.
BestCrypt je alat za enkripciju koji je dostupan za više platformi i dolazi sa 21-dnevnom besplatnom probnom verzijom.
Komercijalne BitLocker alternative
Ove alternative uključuju rešenja namenjena preduzećima, zasnovana na količinskom licenciranju.
ESET
ESET potpuna enkripcija diska je odlična za daljinsko upravljanje. Pruža vam fleksibilnost sa lokalnim rešenjima i rešenjima za enkripciju u oblaku.
Ovo rešenje nudi zaštitu čvrstih diskova, prenosivih diskova, e-pošte, itd., uz korišćenje industrijski standardne 256-bitne AES enkripcije.
Pored toga, omogućava šifrovanje pojedinačnih datoteka korišćenjem enkripcije na nivou datoteke (File-Level Encryption – FLE).
Možete testirati ESET rešenje pomoću interaktivne demonstracije ili 30-dnevnog besplatnog probnog perioda.
Symantec
Symantec, kompanija Broadcom, je još jedan od vodećih igrača u oblasti enkripcije za preduzeća. Njihova potpuna enkripcija diska podržava TPM, čime se obezbeđuje sigurnost institucionalnih uređaja od neovlašćenog otvaranja.
Pored toga, dobijate zaštitu prilikom pokretanja sistema, enkripciju e-pošte i zaštitu prenosivih diskova.
Symantec vam pomaže da podesite jedinstvenu prijavu i može da zaštiti aplikacije zasnovane na oblaku. Podržava pametne kartice i ima različite metode oporavka ako korisnik zaboravi lozinku.
Pored toga, Symantec nudi enkripciju na nivou datoteke, monitor osetljivih datoteka i razne druge funkcije, što ga čini sveobuhvatnim rešenjem za enkripciju.
ZENworks
ZENworks, kompanije Microfocus, predstavlja jednostavan način implementacije AES-256 enkripcije u bilo kojoj organizaciji.
Podržava opcionu autentifikaciju pre pokretanja pomoću korisničkog imena i lozinke ili pametne kartice sa PIN-om. ZENworks ima centralizovano upravljanje ključevima kako bi pomogao korisnicima koji imaju probleme sa prijavom za pokretanje sistema.
Možete kreirati smernice za enkripciju za uređaje i primeniti ih putem standardne HTTP web veze.
Takođe, možete iskoristiti besplatnu probnu verziju, bez potrebe za kreditnom karticom, da biste je isprobali.
FDE protiv FLE
Ponekad nema potrebe šifrovati ceo disk. U takvim slučajevima, mudro je zaštititi određene datoteke korišćenjem enkripcije na nivou datoteke (FLE) ili enkripcije zasnovane na fajlovima (FBE).
FLE je češći i često ga koristimo a da nismo svesni njegovog prisustva.
Na primer, WhatsApp razgovori su šifrovani od kraja do kraja. Slično tome, e-poruke poslate putem ProtonMail-a su takođe automatski šifrovane i samo primalac može pristupiti sadržaju.
Na sličan način, možete zaštititi datoteku pomoću FLE alata kao što su AxCrypt ili FolderLock.
Ključna prednost FBE u odnosu na FDE je što sve datoteke mogu imati različite ključeve za šifrovanje. Dakle, ako jedan bude kompromitovan, ostali će ostati sigurni.
Međutim, ovo donosi dodatne izazove u vezi sa upravljanjem tim ključevima.
Zaključak
Potpuna enkripcija diska je od suštinske važnosti kada izgubite uređaj koji sadrži osetljive informacije.
Iako svaki korisnik ima važne podatke, kompanije imaju veću potrebu za enkripcijom diska.
BitLocker je odličan alat za enkripciju za korisnike Windows operativnog sistema. VeraCrypt je još jedna opcija za one kojima ne smeta zastareli interfejs.
Organizacije ne bi trebalo da se oslanjaju na tuđe preporuke, već da testiraju različita rešenja da bi izabrale najbolje za svoje potrebe. Jedina stvar koju vlasnik preduzeća treba da izbegava su ograničenja koja nameće jedan dobavljač.
PS: Pogledajte naš članak o poređenju softvera za enkripciju i autentifikaciju da biste se upoznali sa osnovama.