Poradnik: Szyfrowanie danych, poczty i chmury

Poradnik: Szyfrowanie danych, poczty i chmury

Świadomym konieczności zabezpieczania plików osobom trudno zaakceptować informację o wstrzymaniu w maju 2014 r. rozwoju TrueCrypta i lukach w zabezpieczeniach tej aplikacji. Jako bezpieczną alternatywę strona domowa TrueCrypta proponuje BitLockera, jednak narzędzie to dostępne jest jedynie dla użytkowników systemów operacyjnych Windows Vista i Windows 7 w edycjach Enterprise i Ultimate oraz dla posiadaczy Windows 8 Pro i Enterprise. Jeśli chcemy skutecznie szyfrować dane, powinniśmy wypróbować darmowe narzędzie DiskCryptor. Aplikacja rozpowszechniana na zasadach Open Source daje nadzieję, że każda wykryta w zabezpieczeniach programu dziura zostanie błyskawicznie załatana. Tworzenie kontenerów zawierających zaszyfrowane

partycje możliwe jest zarówno za pomocą DiskCryptora, jak i narzędzia »Utwórz dysk VHD«, dostępnego w Windows 7 i Windows 8. Musimy mieć na uwadze to, że szyfrowanie danych za pomocą

oprogramowania, którego kod źródłowy nie jest dostępny publicznie, zawsze może wiązać się z występowaniem bocznych furtek, wprowadzonych przez producentów aplikacji.

Szyfrowanie danych

Pliki oraz katalogi możemy chronić za pomocą narzędzia Gpg4win. Do kodowania plików stosowany jest asymetryczny algorytm RSA z parą kluczy: publicznym i prywatnym. Gpg4win sprawdzi się podczas wysyłania zakodowanych plików i informacji do nieznanych odbiorców, udostępniających swoje klucze publiczne.

1) Instalujemy GP4Win

Z oficjalnej strony oprogramowania pobieramy plik instalacyjny. Do domowych zastosowań instalujemy i uruchamiamy program na naszym koncie użytkownika Windows. Jeśli potrzebujemy lepszych zabezpieczeń, powinniśmy wyeliminować słaby punkt, zakładając osobne konta użytkowników do surfowania (skąd nie ma dostępu do klucza prywatnego) oraz dodatkowe przeznaczone do zaszyfrowanej komunikacji.

2) Tworzymy klucze

Uruchamiamy narzędzie Kleopatra, odpowiedzialne za zarządzanie kluczami. Wybieramy »File | New Certyfi cate… «. W oknie kreatora klikamy »Create a personal OpenPGP keypair«, po czym podajemy

imię i nazwisko oraz swój mail. Wciskamy »Next«, a następnie »Create Key«. Wpisujemy hasło, które powinno składać się przynajmniej z 10 znaków, zawierać wielkie, małe litery oraz cyfry. Dobrą metodą tworzenia skomplikowanych haseł jest wykorzystanie pierwszych liter ze słów składających się na zdanie. Przykładowo”Moje 10-znakowe hasło chroniące dostępu do Prywatnych Dokumentów” zamienimy na ciąg znaków “M10hcddPD”. Ostatnie okno dialogowe umożliwia zapisanie backupu utworzonych kluczy. Klikamy »Finish«, by uzyskać pliki niezbędne do pracy.

3. Zarządzamy kluczami

Para naszych kluczy pojawi się w oknie Kleopatry – możemy za ich pomocą szyfrować lokalne pliki i później je deszyfrować. Jeśli zamierzamy udostępniać dokumenty kolegom lub znajomym, musimy najpierw uzyskać ich publiczny klucz OpenPGP oraz dodać go do Kleopatry za pomocą opcji »Import Certyficates«. Podobnie postępujemy przy wymienianiu zaszyfrowanej korespondencji. Nasz klucz publiczny udostępnimy, klikając prawym przyciskiem myszy utworzony certyfikat i wybierając »Export Certyficates… «. Jeśli chcemy zaszyfrować dokumenty i przekazać je w zakodowanej formie, musimy importować do bazy Kleopatry sporządzone przez znajomych certyfikaty, przekazywane jako pliki ASC.

4. Szyfrujemy pliki

Aby zaszyfrować plik lub folder, klikamy jego ikonę prawym przyciskiem myszy i wybieramy z menu kontekstowego opcję »Sign and encrypt«. W oknie widocznym na ekranie zaznaczamy pole przy »Sign and encrypt (OpenPGP only)«, następnie klikamy »Next« oraz wskazujemy klucze publiczne, za pomocą których zaszyfrujemy zbiór. Dodajemy je do listy, zaznaczając kliknięciem i wybierając opcję »Add«. W kolejnym kroku podpisujemy zaszyfrowany zbiór swoim certyfikatem OpenPGP, klikamy »Sign&Encrypt« i wpisujemy stworzone w punkcie 2. hasło. W folderze, z którego wybieraliśmy dokument, zostanie utworzony zaszyfrowany plik o rozszerzeniu PGP.

Ochrona poczty

1. Instalujemy Thunderbirda

Instalujemy program pocztowy z oficjalnej strony i określamy parametry swojej skrzynki pocztowej. Jeśli nasze konto znajduje się na serwerze jednego z dużych dostawców usług pocztowych, asystent konfiguracji oszczędzi nam pracy – trzeba będzie podać jedynie adres elektroniczny oraz hasło do konta.

2. Konfigurujemy Enigmail

Kopiujemy dodatek Enigmail na Pulpit komputera.W oknie Thunderbirda klikamy ikonę menu widoczną w prawym górnym rogu i wybieramy opcję »Dodatki«. Przeciągamy plik »enigmail-1.7.2-tb+sm.xpi« na lewą część okna menedżera dodatków. Potwierdzamy instalację, klikając przycisk »Zainstaluj«, po czym wybieramy »Uruchom ponownie teraz«. Po zrestartowaniu Thunderbird wyświetli asystenta konfiguracji Enigmail. Wskazujemy opcję »Convinient auto encryption«, następnie »Don’t sign my messages by default« i »Tak«. W kolejnym oknie pozostawiamy zaznaczone pole »Chcę wybrać jeden z istniejących kluczy« i klikamy klucz, który utworzyliśmy za pomocą Gpg4win.

3. Wysyłamy zaszyfrowane wiadomości

Niezaszyfrowane wiadomości odbieramy i wysyłamy za pomocą Thunderbirda lub poprzez interfejsy webowe serwisów pocztowych. Jeśli chcemy przesłać zakodowaną wiadomość, musimy najpierw uzyskać klucz publiczny nadawcy i zaimportować go do narzędzia Kleopatra. Żeby zakodować email, po wpisaniu treści wiadomości oraz dodaniu załączników rozwijamy menu »Enigmail«, wybieramy opcję »Wiadomość nie zostanie zaszyfrowana| Force Encryption« oraz »Message will not be signed |

Force Signing«.

W ten sposób uaktywnimy szyfrowanie wiadomości oraz dodamy sygnaturę, która pozwoli odbiorcy sprawdzić, czy mail rzeczywiście został wysłany przez nas (3a). Enigmail podczas wysyłania poczty koduje treść wiadomości i załączniki za pomocą Gpg4win, a następnie wysyła pocztę przez Thunderbirda (3b).

4. Odbieramy zakodowany email

Jeśli ktoś zamierza wysłać do nas zaszyfrowaną wiadomość, potrzebuje Enigmaila lub innego zgodnego ze standardem OpenPGP klienta poczty elektronicznej, np. Claws Mail (jest w pakiecie programów Gpg4win). Niezbędny jest także nasz klucz publiczny. Ten ostatni możemy dołączyć do wysyłanej wiadomości, wybierając z menu »Enigmail« opcję »Załącz mój klucz publiczny«. Kiedy otrzymamy zaszyfrowany email, Enigmail zażąda naszego hasła. Załączniki i hasła deszyfrujemy i zapisujemy, naciskając prawy przycisk myszy oraz wskazując opcję »Deszyfruj i Zapisz«.

Zabezpieczanie nośników danych

1. Szyfrujemy pendrive’y

DiskCryptor pozwala szyfrować całe dyski. Klikamy w oknie aplikacji literę pendrive’a prawym przyciskiem myszy, wybieramy »Encrypt « i określamy mocne hasło – najlepiej wybrać pełne zdanie, ze spacjami, liczbami i znakami specjalnymi.

2. Korzystamy z zabezpieczonych nośników

Aby uzyskać dostęp do zakodowanego nośnika danych, ignorujemy propozycję Windows, by sformatować pendrive. Uruchamiamy DiskCryptora, klikamy nośnik danych i wybieramy opcję »Mount«, a następnie podajemy hasło. Możemy używać zaszyfrowanego nośnika danych tak samo jak innych dysków. Przed wyjęciem pendrive’a wybieramy w DiskCryptorze opcję »Unmount«.

3. Tworzymy zaszyfrowany kontener

Otwieramy okno »Zarządzanie dyskami«, naciskając [Win] + [R] i wpisując »diskmgmt.msc«. Naciskamy [Enter], klikamy »Akcja | Utwórz dysk VHD«. Wybieramy folder i pojemność nośnika, miejsce zapisu i rozmiar. W oknie »Zarządzanie dyskami« klikamy nośnik prawym przyciskiem myszy, wskazujemy »Zainicjuj dysk«. Utworzony wolumin szyfrujemy za pomocą DiskCryptora.

Bezpieczeństwo w chmurze

1. Konfigurujemy Boxcryptora

Pobieramy z sieci aplikację Boxcryptor. Podczas instalacji aplikacja tworzy wirtualny napęd, wymagany w trakcie szyfrowania. Musimy wyrazić zgodę na zainstalowanie sterowników. Żeby móc uzyskać dostęp do danych, musimy również utworzyć konto w serwisie Boxcryptor.

2. Pracujemy z Boxcryptorem

Do dysku Boxcryptora przypisane są nasze foldery w chmurze. Tylko jeśli za pośrednictwem napędu oznaczonego domyślnie literą »X:« sięgniemy do katalogów, opcja »Boxcryptor« w menu kontekstowym umożliwi zaszyfrowanie plików i folderów. Wszystko, co znajduje się wewnątrz szyfrowanego katalogu, również zostanie automatycznie zaszyfrowane. Jeśli za pośrednictwem systemu plików sięgniemy do katalogu w chmurze, zobaczymy nazwy plików, jednak wszystko jest zakodowane w postaci zbiorów o rozszerzeniach BC i dla postronnych osób – nieczytelne.