TryeCrypt můžete úspěšně používat pro šifrování vybraných souborů třeba ve virtuálním disku. Co když ale budete chtít zabezpečit celý pevný disk? Roční zkušenosti.
Před více než rokem začal Jiří Zima, autor blogu NotebookBlog.cz, šifrovat svůj pevný disk pomocí programu TrueCrypt. Dnes se pochlubí se zkušenostmi, které získal při testování šifrování s různými procesory a úložišti.
Před časem jsem začal používat šifrování celého pevného disku pomocí nástroje TrueCrypt. Teď už by to mělo být více než rok. Na Internetu není moc českých článků o zkušenostech s šifrováním oddílů se systémem na obyčejných noteboocích a dotazy k tématu, které mi lidé kladou, se často opakují, takže jsem se dokopal a aspoň základní zkušenosti sepsal. Určitě to není na škodu, protože zejména v souvislosti s notebooky je bezpečnost dat velmi diskutované téma.
Proč šifrovat?
Hlavním důvodem šifrování je samozřejmě ochrana soukromí. Je jedno, zda na svém notebooku používate heslo v operačním systému, heslo disku (ATA Password), nebo máte zaheslovaný BIOS(User/Supervisor Password). Pokud nemáte data šifrovaná, útočník se k nim snadno dostane. Pevný disk stačí vyjmout a připojit ho k jinému počítači. Zaheslování elektroniky běžného disku je jen iluze bezpečnosti, neboť přes různé ATA terminály můžete heslo snadno vyčíst a zrušit. Nastavená práva čtení/zápisu v OS jsou po připojení do jiného počítače také jen otázkou několika kliknutí (případně chmod/chown).
Druhým motivačním faktorem byla zvědavost. Šifrování celého disku jsem na notebooku nikdy neměl a zajímalo mě, jaká omezení něco takového přináší. Zmiňovaly se v podstatě dvě – nižší rychlost a možné problémy s obnovením, pokud se disk poškodí. Chtěl jsem si vyzkoušet, zda jsou tato omezení opravdu tak vážná, anebo dnes nestojí za řeč.
Vlastní motivace
K šifrování jsem se rozhodl těsně před odjezdem do Belgie. Nevěděl jsem, co čekat od neznámého prostředí, letištních kontrol a ponechávání notebooků na pokoji (samozřejmě teď už vím, že tam průměrný učitel IT neumí ani připojit projektor, ale to je jiný příběh). Mít disk zašifrovaný je prostě jistota, že získání dat je pro běžného poučeného uživatele nereálné a pro profíka nesrovnatelně složitější.
Testované stroje
Prvním pokusným králíkem byl Lenovo ThinkPad X200(Core 2 Duo P8600 2,53GHz, 3GB RAM, 64GB SSD)a v těsném závěsu došlo k šifrování ještě notebooků Lenovo ThinkPad R61(Core 2 Duo T8100, 2,1GHz, 3GB RAM, 64GB SSD)a Acer Aspire 5943G(Core i7 720QM 1,6GHz, 8GB RAM, 640GB HDD). ThinkPad X200 jsem o Vánocích vracel a tak nebyl čas k zevrubnějšímu zkoumání, ale zkušenosti se shodují s ThinkPadem R61, takže to není tak velká škoda. Druhý a třetí notebook se používají s šifrovanými disky dodnes.
Jak zašifrovat?
Zašifrovat disk dnes zvládne asi úplně každý. Není nutné provádět nějaké složité zásahy do počítače a není nutné přeinstalovat operační systém. Stačí nainstalovat aktuální verzi TrueCryptu (dostupná pro všechny běžně používané platformy). Když jej následně spustíte a vyberete v menu volbu zašifrování systémového oddílu, vyskočí na vás průvodce, ve kterém je všechno přehledně vysvětleno.
Na jednom z počítačů jsem zašifroval celý disk (beztak na něm byl jen jediný oddíl), ale u druhého jsem zvolil jen hlavní oddíl, aby z praktických důvodů zůstal oddíl s obnovou systému do továrního stavu nedotčený.
Typ šifrování jsem na všech počítačích zvolil AES (tedy výchozí). Pokud chcete notebook opravdu používat, nemějte tu velké oči. Pokud zvolíte příliš silnou šifru, dočkáte se především výrazného zpomalení počítače. Přímo ve výběru si můžete udělat test rychlosti, abyste viděli, jak rychle procesor šifru dokáže zpracovat (pozor, výsledné hodnoty však odpovídají situaci, kdy procesor nedělá nic jiného).
Máte-li procesor s akcelerací AES-NI, bude výkonová ztráta proti přímému čtení minimální. S výjimkou lepších business notebooků však procesor s akcelerací šifrování běžně nenajdete. Sám mám doma dvě Core i7 (720QM a 2630QM), ale bohužel jde o jediné dvě Core i7, které AES-NI nemají – Intel je schválně do nejlevnějších čtyřjádrových modelů nedal a to jsou ty modely, které pak najdete v běžných (multimediálních) noteboocích.
Aktualizováno: Intel nedávno upravil specifikaci a všechna Sandy-Bridge Core i7 mají podporu AES-NI, ale aby fungovala, musí vydat výrobce notebooku nový BIOS, takže u multimediálních notebooků si nedělejte naděje.
Rychlost šifrování s různými procesory
Pojďme se podívat na rychlost šifrování se soudobým čtyřjádrem Core i7-2630QM (výchozí frekvence 2,0 GHz, TurboBoost až 2,9 GHz):
Výsledek okolo 400 MB/s by neměl ani v nejmenším omezovat při rychlosti dnešních disků. Musíte ovšem počítat s tím, že procesor může být vytížený jinými úlohami, nebo vedou jiné důvody (později vysvětlím) proč se nepoužijí všechna jádra.
Při omezení na jedno logické jádro se rychlosti značně sníží:
Zde už jsme tak s rychlostí na hraně, aby ještě zpomalení u běžného plotnového disku nebylo znatelné. Starší procesor Core i7 720QM je přibližně o 10% na jádro pomalejší, což není o tolik horší. Nepočítám však s tím, že by všichni měli nejnovější notebooky s čtyřjádrovými procesory.
Podívejme se na rychlost dvoujádrového Core2 Duo T8100 běžícího na 2,1 GHz:
A teď ještě výkon s jedním jádrem:
Máte-li v plánu využívat počítač k náročným úlohám a víte, že disk i procesor budou často vytěžovány, doporučuju při koupi nového notebooku investovat do konfigurace s procesorem, který AES akceleruje.
Zde můžete vidět rozdíl výkonu (při použití dvoujádrového Core i7 2620M):
... a pro jedno jádro:
Článek pokračuje v další kapitole.
