Hvad vil det sige at kryptere sin harddisk?
Hvis uvedkommende får fysisk adgang til din PC, nytter det ikke noget at have sikret sig imod hackere, eller at kommunikere krypteret i e-mails og lignende. Alle de data du har adgang til når du sidder ved din PC, kan enhver anden der sidder ved din PC også få adgang til. Data du har slettet kan i nogle tilfælde gendannes lang tid efter de er slettet. Og ofte gemmes der kopier af dokumenter og billeder m.m. rundt omkring på harddisken, hvor man ikke aner at de ligger. Dette gør sig gældende i de fleste styresystemer, ikke kun Windows. Indbrudstyve der stjæler computeren, har adgang til alle ens data, og det samme har myndigheder der konfiskerer den. Som modtræk til dette kan man kryptere sine data.
Det kan man gøre på flere måder. En almindelig metode er, at udvælge de filer der indeholder følsomme oplysninger, og kryptere netop dem. En anden almindelig metode er, at oprette et område på harddisken, som man krypterer. Det kan være en fil der kan indeholder andre filer, en partition på harddisken, eller et eksternt drev. Derefter kan man lægge alle de filer man ønsker at kryptere, over i dette krypterede område af harddisken.
Begge metoder indeholder hver deres fordele, men de har også en ulempe. Windows har det som nævnt med, at smide om sig med oplysninger på harddisken. Man kan let risikere, at en fil der egentlig skulle have været krypteret, alligevel har en ukrypteret kopi liggende et eller andet sted. I værste fald kan en kopi af ens password ligefrem være blevet gemt et sted. Og dygtige folk ved hvordan de skal søge en harddisk igennem efter netop den slags. At benytte den almindelige Windows-login med brugernavn og adgangskode giver ikke nogen større sikkerhed, og kan omgås rimelig enkelt. Det vil vi forklare senere i en anden artikel hvordan man gør. Derudover er det forholdsvis nemt for enhver med fysisk adgang til PC’en, at installere spionprogrammer. Derefter kan alt der indtastes, inklusive passwords, opfanges og sendes via internettet.
Det man kan gøre er, at kryptere HELE harddisken. Derved er det ikke muligt ved et uheld, at gemme noget ukrypteret. ALT gemmes krypteret, helt automatisk. Og da der kræves en adgangskode for overhovedet at starte styresystemet, er det heller ikke muligt for indbrudstyve eller andre, at installere spionprogrammer.
Som al anden sikkerhed kan selv fuld harddisk-kryptering under visse forudsætninger omgås. Absolut sikkerhed eksisterer ikke. Men denne type kryptering regnes for at være mere sikker end de andre, hvor man kun krypterer enkelte filer eller dele af harddisken.
Dybest set er det ret enkelt: Har man passwordet, kan man få adgang til de krypterede data. Har man det ikke, så kan man ikke få adgang. Det gælder så vidt vides for alle, lige fra tilfældige indbrudstyve, til de mest ressourcestærke efterretningstjenester i verden… forudsat passwordet er stærkt nok (det var det tilsyneladende i denne sag). Hvordan du vælger et sådant password, kan du læse i vejledningen.
Der findes flere programmer der kan anvendes til harddisk-kryptering. Et program der anbefales og roses alle vegne, TrueCrypt, er også hvad jeg anbefaler. Det lever op til omtrent alle krav man måtte have til et krypteringsprogram; det er gratis, open source, har krypteringsfunktioner til nærmest ethvert formål, er rimelig brugervenligt, og det er tilstrækkelig gammelt til, at man kan have tillid til det. Helt nye krypteringsprogrammer bør man generelt holde sig fra.
En fordel ved at kryptere hele sin harddisk er, at det derefter ikke er lige så nødvendigt, at taste sine passwords ind i programmer på PC’en, ved login på internettet, eller for at logge på Windows. Browsere og andre programmer kan ofte huske ens password hvis man ønsker det, og man behøver ikke at have password til sit Windows login. Dette anbefales dog, hvis du har din computer med dig rundt, da du så altid kan låse din computer ved at trykke “Windowstast + L”, så er din computer midlertidigt låst. Dette er dog ikke en ret sikker måde, men den holder de værste tosser væk et par minutter.
Denne vejledning vil guide dig igennem en fuld harddisk-kryptering med programmet TrueCrypt. Alle dine data på harddisken bliver krypteret! Det giver ikke kun den største sikkerhed, det er også en krypteringsmetode der er meget enkel at anvende. Din PC bliver ikke langsommere, og den vil udadtil fungere præcis som før. Den eneste synlige forskel vil være, at du skal taste dit password for at starte Windows.
Men vær advaret! Hvis du glemmer dit password, er der ingen hjælp at hente. Der er ingen bagdøre og ingen hjælpefunktioner der kan give dig (eller andre) adgang til harddisken, hvis passwordet først er væk. I den situation er dine data tabte, og du er nødt til at geninstallere Windows.
Intet er 100% sikkert, men dette er noget af det nærmeste man kan komme indenfor harddisk-kryptering. Kun hvis nogen får fat på dit password, og derefter har adgang til din PC, kan de få fat på dine data. Dog forudsat at du har valgt et tilstrækkelig stærkt password.
Vejledningen er tilegnet Windows XP, Vista og 7, både 32 og 64 bit. Du vil få brug for at brænde en CD-ROM, og det kan være en fordel at kunne udprinte.
Hvis du har flere harddiske tilsluttet skal du være opmærksom på, at det kun er din primære harddisk hvorfra Windows kører, der bliver krypteret. Det er normalt dit C-drev. Om du har flere partitioner er underordnet, for de bliver alle krypteret.
Med flere harddiske tilsluttet kan der være enkelte punkter i vejledningen, der ikke stemmer helt overens med hvad du ser, så dér må du læse og følge hvad der står på skærmen.
Dine øvrige harddiske kan du efterfølgende kryptere ved at åbne TrueCrypt og trykke på knappen Create Volume og vælge Encrypt a non-system partition/drive. Herefter er det bare at følge programmets anvisninger, men du kan altid kontakte mig hvis du har brug for hjælp.
Harddisk-krypteringen beskytter kun så længe din PC er slukket. Skulle du en dag få brug for at slukke den hurtigt, så kan du enten tage strømmen fra den, eller holde start-knappen inde i et par sekunder. Jeg gør det ved min bærbar computer at jeg piller batteriet ud, derefter kan jeg bare slukke på kontakten, så slukker min computer og min ekstern harddisk.
Forbered krypteringen
Har du husket at tage backup af alle vigtige data? Ellers bør du gøre det nu, inden du går i gang med vejledningen nedenfor.
StopCensur.dk tager ingen ansvar for hvis noget går galt. Det sker sjældent, men det kan gå galt.
1. Download TrueCrypt fra: www.truecrypt.org/downloads
2. Installer TrueCrypt og accepter alle standardindstillinger. Du vil blive spurgt om du vil læse en “Beginners Tutorial”. Det er ikke nødvendigt.
3. Start TrueCrypt og tryk Create Volume.
4. Vælg som på billedet og tryk Next.
5. Vælg som på billedet og tryk Next.
Et skjult styresystem er nu også ganske smart, det vil blive forklaret i en senere guide.
6. Vælg som på billedet og tryk Next.
7. Vælg som på billedet og tryk Next.
8. Vælg som på billedet og tryk Next.
9. Tryk Next.
Her vælger man hvilken krypteringsalgoritme der skal anvendes. Der er intet at gøre forkert, for de tre algoritmer TrueCrypt kan anvende, tilhører de mest anerkendte og gennemprøvede der findes. Man kan endda vælge at benytte en kombination af algoritmer, hvilket rent teoretisk kan være en sikkerhedsmæssig fordel. Det risikerer dog også at gøre ens PC en anelse langsommere, og det er samtidig så meget “security overkill” at jeg ikke vil anbefale det.
Nederst vælger man hvilken såkaldt “hash-algoritme” der skal anvendes. Igen spiller det ingen rolle hvad man vælger, for de tilhører alle de mest sikre der findes.
10. Vælg et stærkt password og tryk Next.
Styrken i dette password kan blive afgørende! Skulle nogen få fysisk adgang til din PC, og have det rette udstyr samt teknisk kunnen, kan de benytte brute force angreb. Det vil sige, at en hurtig computer forsøger alle tænkelige passwords, indtil det rigtige bliver fundet. Et svagt password bliver fundet på under et millisekund. Et stærkt password vil derimod tage så lang tid at knække med brute force angreb, at vi alle for længst er døde af alderdom inden det lykkes. Et stærkt password består af en tilfældig blanding af store bogstaver, små bogstaver, tal, og specialtegn. Tilfældigheden er vigtig. Hvis der er en form for system i dit password, så gør det ekstra langt. Og brug aldrig rigtige ord. TrueCrypt anbefaler mindst 21 tegn. For de fleste mennesker er dette lidt overdrevet, men hvis man vil være sikret imod brute force angreb fra selv de hurtigste supercomputere i verden, så skal man derop omkring.
Vil du vide mere om passwords og brute force angreb, så kan jeg anbefale følgende artikler:
www.schneier.com/essay-246.html
www.schneier.com/essay-148.html
11. Bevæg markøren rundt på skærmen så lang tid som muligt, og tryk Next. (TrueCrypt anbefaler at du flytter din mus så “tilfældigt” som muligt)
12. Tryk Next.
13. Tryk Next.
Brænd din TrueCrypt Rescue Disk
TrueCrypt gør meget for, at intet skal kunne gå galt under krypteringen. En af de ting der gøres er, at man skal brænde en CD, en såkaldt Rescue Disk. Efter krypteringen er der en ganske lille del af harddisken, hvor TrueCrypt har sin såkaldte bootloader liggende. Rent teoretisk kunne det ske, at denne del af harddisken blev beskadiget eller overskrevet med anden data. Det ville medføre, at styresystemet ikke kunne starte, at alle data ville være tabt, og at Windows skulle geninstalleres. For at undgå den situation, er man nødt til at brænde en Rescue Disk, der kan bruges til at starte Windows fra, hvis uheldet er ude. Faktisk tillader TrueCrypt slet ikke at man går videre, før den har checket, at ens Rescue Disk er blevet brændt korrekt. Man får sandsynligvis aldrig brug for den, men den er vigtig at gemme for alle tilfældes skyld. Og der er ikke umiddelbart nogen risiko forbundet med, hvis nogen får fat på den, for den kan kun bruges sammen med harddisken og det rigtige password.
1. Klik på linket Download CD/DVD recording software.
Hvis du bruger Windows 7 har du allerede et brænderprogram installeret og kan springe direkte til punkt 6. Brændingsprocessen vil ikke foregå helt som vist her, men er til gengæld meget nemmere.
Hvis du allerede har et brænderprogram der kan håndtere ISO-format, så kan du sagtens benytte det (funktionen kan også hedde “Brænd image” eller lignende). Hvis du gør det, kan du gå direkte til punkt 10 på denne side.
2. Tryk på linket til ISO Recorder.
3. Hvis du bruger Windows XP, så klik på ISORecorder V2. Hvis du bruger Vista eller 7, så klik på ISO Recorder V3.1.
4. Afhængig af dit valg ovenfor, vil du se et af nedenstående billeder. Hvad du skal vælge afhænger af om dit Windows er 32 eller 64 bit. Hvis du ikke ved det kan du undersøge det via instruktionerne på forrige side, eller du kan køre dette lille program.
Eller ved at trykke Windowsstast + Pause/Break
5. Installer programmet du lige har downloaded. Accepter alle standardindstillinger.
6. Sæt en brændbar CD-ROM i dit CD-ROM-drev.
7. Gå til din dokument-mappe og dobbeltklik på filen TrueCrypt Rescue Disk.iso.
8. Du skulle nu se nedenstående. Tryk Next.
9. Vent til du ser nedenstående. Hvis din CD-skuffe blev skubbet ud, så skub den ind igen. Tryk Finish.
10. Vend tilbage til TrueCrypt og tryk Next.
11. Hvis din TrueCrypt Rescue Disk er blevet korrekt brændt, vil du se nedenstående. Tag CD-ROM’en ud, navngiv den, og gem den et sikkert sted. Tryk Next.
Færdiggør krypteringen
1. Tryk Next.
Det er teoretisk muligt at genskabe de data der lå på en krypteret harddisk FØR den blev krypteret. Det kan man i TrueCrypt sikre sig imod, ved at anvende en såkaldt wipe-funktion. Jeg mener det normalt vil være unødvendigt, men hvis du alligevel vil benytte funktionen, så er “3-pass” metoden i alle tilfælde mere end rigeligt. Og du skal være klar over, at det kan tage flere timer at gennemføre. Der er tale om en meget teoretisk sikkerhedsrisiko ved ikke at benytte wipe-funktionen. Det er formodentlig kun ressourcestærke efterretningstjenester og lignende, der muligvis kan genskabe overskrevne data, og dermed se hvad der tidligere har ligget “under” krypteringen.
2. Tryk Test.
3. Jeg anbefaler at du trykker Print og udskriver dokumentet på skærmen. Tryk derefter OK.
4. VIGTIGT: Computeren skal nu genstartes for at teste om det hele virker, og om du kan dit password. Du vil ikke kunne se denne vejledning ved det næste punkt. Læs det derfor NU!
Når din PC er genstartet, skal du vende tilbage til vejledningen. Er du klar til at genstarte? Så tryk Ja.
5. Vent til du ser nedenstående. Tast dit password og tryk Enter.
Bemærk at din harddisk stadig ikke er krypteret. Dette er kun en test. Hvis du har glemt dit password kan du trykke Escape, altså den øverste venstre knap på keyboardet. Så vil din PC alligevel starte.
6. Vent til du ser nedenstående. Tryk Encrypt.
7. Jeg anbefaler at du trykker Print og udskriver dokumentet på skærmen. Tryk derefter OK.
8. Din harddisk bliver nu krypteret. Dette kan tage flere timer hvis du har en stor harddisk.
9. Vent til du ser nedenstående. Tryk OK.
10. Tryk Finish.
11. Højreklik på TrueCrypt-ikonet nede ved uret, og vælg Preferences…
Dette og næste punkt er ikke nødvendigt at følge. Den eneste fordel ved det er, at du slipper for at se det blå TrueCrypt-ikon som du alligevel ikke skal bruge til noget.
12. Fjern fluebenet ved Start TrueCrypt Background Task og tryk OK.
Din harddisk er nu krypteret. Den vil fortsat virke som den plejer, bortset fra, at du nu skal taste dit password for at Windows kan starte.
Husk altid at slukke din PC hvis der er fare for den falder i forkerte hænder.
Kilde: Privatliv.webs.com
