reklama

Roční zkušenosti s šifrováním disku pomocí TrueCrypt

TryeCrypt můžete úspěšně používat pro šifrování vybraných souborů třeba ve virtuálním disku. Co když ale budete chtít zabezpečit celý pevný disk? Roční zkušenosti.
Kapitoly článku

Před více než rokem začal Jiří Zima, autor blogu NotebookBlog.cz, šifrovat svůj pevný disk pomocí programu TrueCrypt. Dnes se pochlubí se zkušenostmi, které získal při testování šifrování s různými procesory a úložišti.

Před časem jsem začal používat šifrování celého pevného disku pomocí nástroje TrueCrypt. Teď už by to mělo být více než rok. Na Internetu není moc českých článků o zkušenostech s šifrováním oddílů se systémem na obyčejných noteboocích a dotazy k tématu, které mi lidé kladou, se často opakují, takže jsem se dokopal a aspoň základní zkušenosti sepsal. Určitě to není na škodu, protože zejména v souvislosti s notebooky je bezpečnost dat velmi diskutované téma.

Klepněte pro větší obrázek

Proč šifrovat?

Hlavním důvodem šifrování je samozřejmě ochrana soukromí. Je jedno, zda na svém notebooku používate heslo v operačním systému, heslo disku (ATA Password), nebo máte zaheslovaný BIOS(User/Supervisor Password). Pokud nemáte data šifrovaná, útočník se k nim snadno dostane. Pevný disk stačí vyjmout a připojit ho k jinému počítači. Zaheslování elektroniky běžného disku je jen iluze bezpečnosti, neboť přes různé ATA terminály můžete heslo snadno vyčíst a zrušit. Nastavená práva čtení/zápisu v OS jsou po připojení do jiného počítače také jen otázkou několika kliknutí (případně chmod/chown).

Druhým motivačním faktorem byla zvědavost. Šifrování celého disku jsem na notebooku nikdy neměl a zajímalo mě, jaká omezení něco takového přináší. Zmiňovaly se v podstatě dvě – nižší rychlost a možné problémy s obnovením, pokud se disk poškodí. Chtěl jsem si vyzkoušet, zda jsou tato omezení opravdu tak vážná, anebo dnes nestojí za řeč.

Vlastní motivace

K šifrování jsem se rozhodl těsně před odjezdem do Belgie. Nevěděl jsem, co čekat od neznámého prostředí, letištních kontrol a ponechávání notebooků na pokoji (samozřejmě teď už vím, že tam průměrný učitel IT neumí ani připojit projektor, ale to je jiný příběh). Mít disk zašifrovaný je prostě jistota, že získání dat je pro běžného poučeného uživatele nereálné a pro profíka nesrovnatelně složitější.

Testované stroje

Prvním pokusným králíkem byl Lenovo ThinkPad X200(Core 2 Duo P8600 2,53GHz, 3GB RAM, 64GB SSD)a v těsném závěsu došlo k šifrování ještě notebooků Lenovo ThinkPad R61(Core 2 Duo T8100, 2,1GHz, 3GB RAM, 64GB SSD)a Acer Aspire 5943G(Core i7 720QM 1,6GHz, 8GB RAM, 640GB HDD). ThinkPad X200 jsem o Vánocích vracel a tak nebyl čas k zevrubnějšímu zkoumání, ale zkušenosti se shodují s ThinkPadem R61, takže to není tak velká škoda. Druhý a třetí notebook se používají s šifrovanými disky dodnes.

Jak zašifrovat?

 Zašifrovat disk dnes zvládne asi úplně každý. Není nutné provádět nějaké složité zásahy do počítače a není nutné přeinstalovat operační systém. Stačí nainstalovat aktuální verzi TrueCryptu (dostupná pro všechny běžně používané platformy). Když jej následně spustíte a vyberete v menu volbu zašifrování systémového oddílu, vyskočí na vás průvodce, ve kterém je všechno přehledně vysvětleno.

Klepněte pro větší obrázek

 

Na jednom z počítačů jsem zašifroval celý disk (beztak na něm byl jen jediný oddíl), ale u druhého jsem zvolil jen hlavní oddíl, aby z praktických důvodů zůstal oddíl s obnovou systému do továrního stavu nedotčený.

Typ šifrování jsem na všech počítačích zvolil AES (tedy výchozí). Pokud chcete notebook opravdu používat, nemějte tu velké oči. Pokud zvolíte příliš silnou šifru, dočkáte se především výrazného zpomalení počítače. Přímo ve výběru si můžete udělat test rychlosti, abyste viděli, jak rychle procesor šifru dokáže zpracovat (pozor, výsledné hodnoty však odpovídají situaci, kdy procesor nedělá nic jiného).

Máte-li procesor s akcelerací AES-NI, bude výkonová ztráta proti přímému čtení minimální. S výjimkou lepších business notebooků však procesor s akcelerací šifrování běžně nenajdete. Sám mám doma dvě Core i7 (720QM a 2630QM), ale bohužel jde o jediné dvě Core i7, které AES-NI nemají – Intel je schválně do nejlevnějších čtyřjádrových modelů nedal a to jsou ty modely, které pak najdete v běžných (multimediálních) noteboocích.

Aktualizováno: Intel nedávno upravil specifikaci a všechna Sandy-Bridge Core i7 mají podporu AES-NI, ale aby fungovala, musí vydat výrobce notebooku nový BIOS, takže u multimediálních notebooků si nedělejte naděje.

Rychlost šifrování s různými procesory

Pojďme se podívat na rychlost šifrování se soudobým čtyřjádrem Core i7-2630QM (výchozí frekvence 2,0 GHz, TurboBoost až 2,9 GHz):

Klepněte pro větší obrázek

Výsledek okolo 400 MB/s by neměl ani v nejmenším omezovat při rychlosti dnešních disků. Musíte ovšem počítat s tím, že procesor může být vytížený jinými úlohami, nebo vedou jiné důvody (později vysvětlím) proč se nepoužijí všechna jádra.

Při omezení na jedno logické jádro se rychlosti značně sníží:

Klepněte pro větší obrázek

Zde už jsme tak s rychlostí na hraně, aby ještě zpomalení u běžného plotnového disku nebylo znatelné. Starší procesor Core i7 720QM je přibližně o 10% na jádro pomalejší, což není o tolik horší. Nepočítám však s tím, že by všichni měli nejnovější notebooky s čtyřjádrovými procesory.

Podívejme se na rychlost dvoujádrového Core2 Duo T8100 běžícího na 2,1 GHz:

Klepněte pro větší obrázek

A teď ještě výkon s jedním jádrem:

Klepněte pro větší obrázek

Máte-li v plánu využívat počítač k náročným úlohám a víte, že disk i procesor budou často vytěžovány, doporučuju při koupi nového notebooku investovat do konfigurace s procesorem, který AES akceleruje.

Zde můžete vidět rozdíl výkonu (při použití dvoujádrového Core i7 2620M):

Klepněte pro větší obrázek

... a pro jedno jádro:

Klepněte pro větší obrázek

 

Článek pokračuje v další kapitole.

Témata článku: Software, Bezpečnost, Šifrování, Lenovo Thinkpad, 64Gb, HP Pavilion

43 komentářů

Nejnovější komentáře

  • pete00 21. 10. 2011 19:59:24
    Dobry den, chtel bych se zeptat, jak se sifrovani celeho disku pomoci TC...
  • Hunter1010 18. 10. 2011 21:46:11
    chtěl bych se zeptat koholiv fundovaného: semtam se mi pokazí disk v tom...
  • Poltergeist 18. 10. 2011 21:42:48
    a co ve srovnání s Bitlockerem, jak na tom je ? halvně co když mám takový...
reklama
Určitě si přečtěte

UPC překopli páteřní kabel. V Brně i druhý den nejede internet ani kabelovka

UPC překopli páteřní kabel. V Brně i druhý den nejede internet ani kabelovka

** V Brně byl velký výpadek služeb UPC ** Důvodem je překopnutý páteřní kabel ** V některých lokalitách služby stále nefungují

5.  12.  2016 | Jakub Čížek | 101

17 expertek Microsoftu předpovědělo rok 2027. Splní se alespoň něco?

17 expertek Microsoftu předpovědělo rok 2027. Splní se alespoň něco?

** Zmizí klasické vyhledávače ** Budeme programovat buňky ** Kvantové počítače překonají šifry

6.  12.  2016 | Jakub Čížek | 36

11 tipů na dobrý stolní počítač: od základu po herní mašiny

11 tipů na dobrý stolní počítač: od základu po herní mašiny

** Postavte si stolní počítač! Máme pro vás 11 vzorových sestav s rozpisem komponent ** Většina tipů cílí na hráče, věnujeme se ale i základnímu PC a počítačům na střih videa ** Nadělte si nový počítač třeba pod stromeček

5.  12.  2016 | Adam Kahánek | 73


reklama