Roční zkušenosti s šifrováním disku pomocí TrueCrypt

TryeCrypt můžete úspěšně používat pro šifrování vybraných souborů třeba ve virtuálním disku. Co když ale budete chtít zabezpečit celý pevný disk? Roční zkušenosti.
Kapitoly článku

Před více než rokem začal Jiří Zima, autor blogu NotebookBlog.cz, šifrovat svůj pevný disk pomocí programu TrueCrypt. Dnes se pochlubí se zkušenostmi, které získal při testování šifrování s různými procesory a úložišti.

Před časem jsem začal používat šifrování celého pevného disku pomocí nástroje TrueCrypt. Teď už by to mělo být více než rok. Na Internetu není moc českých článků o zkušenostech s šifrováním oddílů se systémem na obyčejných noteboocích a dotazy k tématu, které mi lidé kladou, se často opakují, takže jsem se dokopal a aspoň základní zkušenosti sepsal. Určitě to není na škodu, protože zejména v souvislosti s notebooky je bezpečnost dat velmi diskutované téma.

Klepněte pro větší obrázek

Proč šifrovat?

Hlavním důvodem šifrování je samozřejmě ochrana soukromí. Je jedno, zda na svém notebooku používate heslo v operačním systému, heslo disku (ATA Password), nebo máte zaheslovaný BIOS(User/Supervisor Password). Pokud nemáte data šifrovaná, útočník se k nim snadno dostane. Pevný disk stačí vyjmout a připojit ho k jinému počítači. Zaheslování elektroniky běžného disku je jen iluze bezpečnosti, neboť přes různé ATA terminály můžete heslo snadno vyčíst a zrušit. Nastavená práva čtení/zápisu v OS jsou po připojení do jiného počítače také jen otázkou několika kliknutí (případně chmod/chown).

Druhým motivačním faktorem byla zvědavost. Šifrování celého disku jsem na notebooku nikdy neměl a zajímalo mě, jaká omezení něco takového přináší. Zmiňovaly se v podstatě dvě – nižší rychlost a možné problémy s obnovením, pokud se disk poškodí. Chtěl jsem si vyzkoušet, zda jsou tato omezení opravdu tak vážná, anebo dnes nestojí za řeč.

Vlastní motivace

K šifrování jsem se rozhodl těsně před odjezdem do Belgie. Nevěděl jsem, co čekat od neznámého prostředí, letištních kontrol a ponechávání notebooků na pokoji (samozřejmě teď už vím, že tam průměrný učitel IT neumí ani připojit projektor, ale to je jiný příběh). Mít disk zašifrovaný je prostě jistota, že získání dat je pro běžného poučeného uživatele nereálné a pro profíka nesrovnatelně složitější.

Testované stroje

Prvním pokusným králíkem byl Lenovo ThinkPad X200(Core 2 Duo P8600 2,53GHz, 3GB RAM, 64GB SSD)a v těsném závěsu došlo k šifrování ještě notebooků Lenovo ThinkPad R61(Core 2 Duo T8100, 2,1GHz, 3GB RAM, 64GB SSD)a Acer Aspire 5943G(Core i7 720QM 1,6GHz, 8GB RAM, 640GB HDD). ThinkPad X200 jsem o Vánocích vracel a tak nebyl čas k zevrubnějšímu zkoumání, ale zkušenosti se shodují s ThinkPadem R61, takže to není tak velká škoda. Druhý a třetí notebook se používají s šifrovanými disky dodnes.

Jak zašifrovat?

 Zašifrovat disk dnes zvládne asi úplně každý. Není nutné provádět nějaké složité zásahy do počítače a není nutné přeinstalovat operační systém. Stačí nainstalovat aktuální verzi TrueCryptu (dostupná pro všechny běžně používané platformy). Když jej následně spustíte a vyberete v menu volbu zašifrování systémového oddílu, vyskočí na vás průvodce, ve kterém je všechno přehledně vysvětleno.

Klepněte pro větší obrázek

 

Na jednom z počítačů jsem zašifroval celý disk (beztak na něm byl jen jediný oddíl), ale u druhého jsem zvolil jen hlavní oddíl, aby z praktických důvodů zůstal oddíl s obnovou systému do továrního stavu nedotčený.

Typ šifrování jsem na všech počítačích zvolil AES (tedy výchozí). Pokud chcete notebook opravdu používat, nemějte tu velké oči. Pokud zvolíte příliš silnou šifru, dočkáte se především výrazného zpomalení počítače. Přímo ve výběru si můžete udělat test rychlosti, abyste viděli, jak rychle procesor šifru dokáže zpracovat (pozor, výsledné hodnoty však odpovídají situaci, kdy procesor nedělá nic jiného).

Máte-li procesor s akcelerací AES-NI, bude výkonová ztráta proti přímému čtení minimální. S výjimkou lepších business notebooků však procesor s akcelerací šifrování běžně nenajdete. Sám mám doma dvě Core i7 (720QM a 2630QM), ale bohužel jde o jediné dvě Core i7, které AES-NI nemají – Intel je schválně do nejlevnějších čtyřjádrových modelů nedal a to jsou ty modely, které pak najdete v běžných (multimediálních) noteboocích.

Aktualizováno: Intel nedávno upravil specifikaci a všechna Sandy-Bridge Core i7 mají podporu AES-NI, ale aby fungovala, musí vydat výrobce notebooku nový BIOS, takže u multimediálních notebooků si nedělejte naděje.

Rychlost šifrování s různými procesory

Pojďme se podívat na rychlost šifrování se soudobým čtyřjádrem Core i7-2630QM (výchozí frekvence 2,0 GHz, TurboBoost až 2,9 GHz):

Klepněte pro větší obrázek

Výsledek okolo 400 MB/s by neměl ani v nejmenším omezovat při rychlosti dnešních disků. Musíte ovšem počítat s tím, že procesor může být vytížený jinými úlohami, nebo vedou jiné důvody (později vysvětlím) proč se nepoužijí všechna jádra.

Při omezení na jedno logické jádro se rychlosti značně sníží:

Klepněte pro větší obrázek

Zde už jsme tak s rychlostí na hraně, aby ještě zpomalení u běžného plotnového disku nebylo znatelné. Starší procesor Core i7 720QM je přibližně o 10% na jádro pomalejší, což není o tolik horší. Nepočítám však s tím, že by všichni měli nejnovější notebooky s čtyřjádrovými procesory.

Podívejme se na rychlost dvoujádrového Core2 Duo T8100 běžícího na 2,1 GHz:

Klepněte pro větší obrázek

A teď ještě výkon s jedním jádrem:

Klepněte pro větší obrázek

Máte-li v plánu využívat počítač k náročným úlohám a víte, že disk i procesor budou často vytěžovány, doporučuju při koupi nového notebooku investovat do konfigurace s procesorem, který AES akceleruje.

Zde můžete vidět rozdíl výkonu (při použití dvoujádrového Core i7 2620M):

Klepněte pro větší obrázek

... a pro jedno jádro:

Klepněte pro větší obrázek

 

Článek pokračuje v další kapitole.

Témata článku: Software, Bezpečnost, Šifrování, Hibernace, Záchranná akce, Skvělý nástroj, Logické jádro, Slabá baterie, Pomalý proces, TurboBoost, Roční zkušenost, Krátká doba, Výrazné zpomalení, Nejstarší typ, Zkušenost, Plotnový disk, Běžný notebook, Praktický důvod, Přístupová doba, Praktická elektronika 2016, Rychlý procesor, Vypnutí, Diskutované téma, Různé důvody, Dobré zabezpečení, Notebook na Mall.cz


Určitě si přečtěte

Podívejte se, jak vypadá mikrofon nebo blecha pod elektronovým mikroskopem

Podívejte se, jak vypadá mikrofon nebo blecha pod elektronovým mikroskopem

** Z Brna pochází třetina světové produkce elektronových mikroskopů ** První československý kus vyrobila Tesla už v 50. letech ** Dnes na ni navazuje třeba brněnský Tescan

Jakub Čížek | 19

Zorin OS 15: Vyzkoušejte další hezký a nenáročný linux pro mamku a taťku

Zorin OS 15: Vyzkoušejte další hezký a nenáročný linux pro mamku a taťku

** Ačkoliv je grafických linuxů plný internet, stále vládnou Windows ** Jeden z nich se jmenuje Zorin OS a nedávno se dočkal aktualizace ** Dělají jej dva kluci z Irska a je fakt hezký

Jakub Čížek | 116

Už desítky let se pokoušíme odposlouchávat mozek. Rusům se podařil kousek, ze kterého vám spadne brada

Už desítky let se pokoušíme odposlouchávat mozek. Rusům se podařil kousek, ze kterého vám spadne brada

** K odposlechu mozků používáme EEG ** To má ale žalostné informační rozlišení ** Rusům pomohla počítačová neuronová síť

Jakub Čížek | 29

Google dosáhl revolučního milníku v kvantové nadvládě. IBM ale nesouhlasí

Google dosáhl revolučního milníku v kvantové nadvládě. IBM ale nesouhlasí

** Google představil nový kvantový čip s 53 qubity ** Oznámil, že díky němu lidstvo poprvé dosáhlo kvantové nadvlády ** IBM toto tvrzení zlehčuje

Karel Javůrek | 15

10 novinek Androidu 10, které vás budou bavit

10 novinek Androidu 10, které vás budou bavit

Jan Láska, Vladislav Kluska | 28

Pojďme programovat elektroniku: České chytré zásuvky Netio pro kutily i firmy

Pojďme programovat elektroniku: České chytré zásuvky Netio pro kutily i firmy

** Wi-Fi zásuvky nevyrábí pouze Čína ** Vyzkoušeli jsme českou Netio PowerCable ** Je přímo určená pro vývojáře, má totiž jednoduché JSON API

Jakub Čížek | 43


Aktuální číslo časopisu Computer

Megatest: 20 powerbank s USB-C

Test: mobily do 3 500 Kč

Radíme s výběrem routeru

Tipy na nejlepší vánoční dárky