Roční zkušenosti s šifrováním disku pomocí TrueCrypt

TryeCrypt můžete úspěšně používat pro šifrování vybraných souborů třeba ve virtuálním disku. Co když ale budete chtít zabezpečit celý pevný disk? Roční zkušenosti.
Kapitoly článku

Před více než rokem začal Jiří Zima, autor blogu NotebookBlog.cz, šifrovat svůj pevný disk pomocí programu TrueCrypt. Dnes se pochlubí se zkušenostmi, které získal při testování šifrování s různými procesory a úložišti.

Před časem jsem začal používat šifrování celého pevného disku pomocí nástroje TrueCrypt. Teď už by to mělo být více než rok. Na Internetu není moc českých článků o zkušenostech s šifrováním oddílů se systémem na obyčejných noteboocích a dotazy k tématu, které mi lidé kladou, se často opakují, takže jsem se dokopal a aspoň základní zkušenosti sepsal. Určitě to není na škodu, protože zejména v souvislosti s notebooky je bezpečnost dat velmi diskutované téma.

Klepněte pro větší obrázek

Proč šifrovat?

Hlavním důvodem šifrování je samozřejmě ochrana soukromí. Je jedno, zda na svém notebooku používate heslo v operačním systému, heslo disku (ATA Password), nebo máte zaheslovaný BIOS(User/Supervisor Password). Pokud nemáte data šifrovaná, útočník se k nim snadno dostane. Pevný disk stačí vyjmout a připojit ho k jinému počítači. Zaheslování elektroniky běžného disku je jen iluze bezpečnosti, neboť přes různé ATA terminály můžete heslo snadno vyčíst a zrušit. Nastavená práva čtení/zápisu v OS jsou po připojení do jiného počítače také jen otázkou několika kliknutí (případně chmod/chown).

Druhým motivačním faktorem byla zvědavost. Šifrování celého disku jsem na notebooku nikdy neměl a zajímalo mě, jaká omezení něco takového přináší. Zmiňovaly se v podstatě dvě – nižší rychlost a možné problémy s obnovením, pokud se disk poškodí. Chtěl jsem si vyzkoušet, zda jsou tato omezení opravdu tak vážná, anebo dnes nestojí za řeč.

Vlastní motivace

K šifrování jsem se rozhodl těsně před odjezdem do Belgie. Nevěděl jsem, co čekat od neznámého prostředí, letištních kontrol a ponechávání notebooků na pokoji (samozřejmě teď už vím, že tam průměrný učitel IT neumí ani připojit projektor, ale to je jiný příběh). Mít disk zašifrovaný je prostě jistota, že získání dat je pro běžného poučeného uživatele nereálné a pro profíka nesrovnatelně složitější.

Testované stroje

Prvním pokusným králíkem byl Lenovo ThinkPad X200(Core 2 Duo P8600 2,53GHz, 3GB RAM, 64GB SSD)a v těsném závěsu došlo k šifrování ještě notebooků Lenovo ThinkPad R61(Core 2 Duo T8100, 2,1GHz, 3GB RAM, 64GB SSD)a Acer Aspire 5943G(Core i7 720QM 1,6GHz, 8GB RAM, 640GB HDD). ThinkPad X200 jsem o Vánocích vracel a tak nebyl čas k zevrubnějšímu zkoumání, ale zkušenosti se shodují s ThinkPadem R61, takže to není tak velká škoda. Druhý a třetí notebook se používají s šifrovanými disky dodnes.

Jak zašifrovat?

 Zašifrovat disk dnes zvládne asi úplně každý. Není nutné provádět nějaké složité zásahy do počítače a není nutné přeinstalovat operační systém. Stačí nainstalovat aktuální verzi TrueCryptu (dostupná pro všechny běžně používané platformy). Když jej následně spustíte a vyberete v menu volbu zašifrování systémového oddílu, vyskočí na vás průvodce, ve kterém je všechno přehledně vysvětleno.

Klepněte pro větší obrázek

 

Na jednom z počítačů jsem zašifroval celý disk (beztak na něm byl jen jediný oddíl), ale u druhého jsem zvolil jen hlavní oddíl, aby z praktických důvodů zůstal oddíl s obnovou systému do továrního stavu nedotčený.

Typ šifrování jsem na všech počítačích zvolil AES (tedy výchozí). Pokud chcete notebook opravdu používat, nemějte tu velké oči. Pokud zvolíte příliš silnou šifru, dočkáte se především výrazného zpomalení počítače. Přímo ve výběru si můžete udělat test rychlosti, abyste viděli, jak rychle procesor šifru dokáže zpracovat (pozor, výsledné hodnoty však odpovídají situaci, kdy procesor nedělá nic jiného).

Máte-li procesor s akcelerací AES-NI, bude výkonová ztráta proti přímému čtení minimální. S výjimkou lepších business notebooků však procesor s akcelerací šifrování běžně nenajdete. Sám mám doma dvě Core i7 (720QM a 2630QM), ale bohužel jde o jediné dvě Core i7, které AES-NI nemají – Intel je schválně do nejlevnějších čtyřjádrových modelů nedal a to jsou ty modely, které pak najdete v běžných (multimediálních) noteboocích.

Aktualizováno: Intel nedávno upravil specifikaci a všechna Sandy-Bridge Core i7 mají podporu AES-NI, ale aby fungovala, musí vydat výrobce notebooku nový BIOS, takže u multimediálních notebooků si nedělejte naděje.

Rychlost šifrování s různými procesory

Pojďme se podívat na rychlost šifrování se soudobým čtyřjádrem Core i7-2630QM (výchozí frekvence 2,0 GHz, TurboBoost až 2,9 GHz):

Klepněte pro větší obrázek

Výsledek okolo 400 MB/s by neměl ani v nejmenším omezovat při rychlosti dnešních disků. Musíte ovšem počítat s tím, že procesor může být vytížený jinými úlohami, nebo vedou jiné důvody (později vysvětlím) proč se nepoužijí všechna jádra.

Při omezení na jedno logické jádro se rychlosti značně sníží:

Klepněte pro větší obrázek

Zde už jsme tak s rychlostí na hraně, aby ještě zpomalení u běžného plotnového disku nebylo znatelné. Starší procesor Core i7 720QM je přibližně o 10% na jádro pomalejší, což není o tolik horší. Nepočítám však s tím, že by všichni měli nejnovější notebooky s čtyřjádrovými procesory.

Podívejme se na rychlost dvoujádrového Core2 Duo T8100 běžícího na 2,1 GHz:

Klepněte pro větší obrázek

A teď ještě výkon s jedním jádrem:

Klepněte pro větší obrázek

Máte-li v plánu využívat počítač k náročným úlohám a víte, že disk i procesor budou často vytěžovány, doporučuju při koupi nového notebooku investovat do konfigurace s procesorem, který AES akceleruje.

Zde můžete vidět rozdíl výkonu (při použití dvoujádrového Core i7 2620M):

Klepněte pro větší obrázek

... a pro jedno jádro:

Klepněte pro větší obrázek

 

Článek pokračuje v další kapitole.

Témata článku: Software, Bezpečnost, Šifrování, Hibernace, 64Gb, Praktická elektronika, Praktická elektronika 2016

43 komentářů

Nejnovější komentáře

  • pete00 21. 10. 2011 19:59:24
    Dobry den, chtel bych se zeptat, jak se sifrovani celeho disku pomoci TC...
  • Hunter1010 18. 10. 2011 21:46:11
    chtěl bych se zeptat koholiv fundovaného: semtam se mi pokazí disk v tom...
  • Poltergeist 18. 10. 2011 21:42:48
    a co ve srovnání s Bitlockerem, jak na tom je ? halvně co když mám takový...
Určitě si přečtěte

Operační systém běžným počítačům nedal Bill Gates, ale Gary Kildall

Operační systém běžným počítačům nedal Bill Gates, ale Gary Kildall

** Gary Kildall pochopil, že levné výpočetní čipy mohou posloužit jako univerzální počítače pro všechny ** Připravil pro ně proto první operační systém ** Později mu systém vyfoukl Microsoft a nazval ho MS DOS

23.  4.  2017 | Pavel Tronner | 54

Umělá inteligence je sice v plenkách, už teď ale přestáváme rozumět, jak vlastně funguje. To je problém

Umělá inteligence je sice v plenkách, už teď ale přestáváme rozumět, jak vlastně funguje. To je problém

** Už je to tady, lidé přestávají chápat počítače ** Systémy neuronových sítí začínají pracovat tak, že ani jejich tvůrci přesně neví, co se uvnitř děje ** Do budoucna to může být závažný problém

24.  4.  2017 | Jakub Čížek | 112

Před 35 lety měl premiéru legendární počítač ZX Spectrum. Připomeňte si „Gumáka“

Před 35 lety měl premiéru legendární počítač ZX Spectrum. Připomeňte si „Gumáka“

** Slavný osmibitový počítač Sinclair ZX Spectrum byl uveden právě před 35 lety ** Připomeňte si tento průkopnický počítač v tematických článcích ** Podívejte se, jak funguje dnes

23.  4.  2017 | Pavel Tronner | 13

Správný počítač má alespoň dva monitory. Anebo je to jinak?

Správný počítač má alespoň dva monitory. Anebo je to jinak?

** David si nedokáže představit práci bez dvou a více monitorů ** Kubovi naopak stačí jeden a ve více displejích se ztrácí ** Jaký přístup je lepší?

23.  4.  2017 | Jakub Čížek | 59

Český Google Překladač začal používat umělou inteligenci. Konec „drahoušků zákazníků“

Český Google Překladač začal používat umělou inteligenci. Konec „drahoušků zákazníků“

** Google ve svém překladači roky používal statistickou technologii ** Nyní zavádí strojové učení a neuronové sítě ** Rozdíl by měl být zvláště na větších textech patrný už nyní

20.  4.  2017 | Jakub Čížek | 31

Brno otevřelo největší českou dílnu pro bastlíře. Kladívka, vrtačky, 3D tiskárny, laserové řezačky. Je tu vše

Brno otevřelo největší českou dílnu pro bastlíře. Kladívka, vrtačky, 3D tiskárny, laserové řezačky. Je tu vše

** Máte nápad, ale chybí vám stroje a pořádná dílna? ** Chcete postavit ptačí budku, nebo krabičku pro Arduino? ** Brno otevřelo svůj FabLab – laboratoř pro bastlíře

19.  4.  2017 | Jakub Čížek | 31


Aktuální číslo časopisu Computer

První test AMD Ryzen

Velké testy: 22 powerbank a 8 bezdrátových setů

Radíme s koupí Wi-Fi routeru

Co dokáží inteligentní domy?