V tomto článku se zaměříme na vytvoření oddílu šifrovaného kryptografickým algoritmem AES, do kterého budeme ukládat citlivá data. Program Truecrypt umožňuje vytvářet a spravovat na pevném disku virtuální šifrované adresáře nebo oddíly, které se v operačním systému chovají jako standardní bloková zařízení.
Kryptografie, šifrování – nauka o metodách utajování smyslu zpráv do podoby, která je čitelná pouze se speciální znalostí.
Přístup k datům je chráněn heslem. Kvalitu hesla si volí uživatel sám. Obecně se doporučuje heslo délky 12 až 15 znaků, které je kombinací malých a velkých písmen a číslic. Další možností přístupu k datům je přes speciální klíč, a nebo přes kombinaci hesla a klíče. Speciální klíč je generován přímo programem Truecrypt, jeho velikost je 320 bajtů a ukládá se do uživatelem zvoleného souboru.
AES – Advanced Encryption Standard. Symetrická bloková šifra s délkou klíče 128, 192 nebo 256 bitů. V USA se používá jako standard pro šifrování citlivých, ale neutajovaných informací ve státní správě.
truecrypt –keyfile-create key.txt
Vytvoření šifrovaného oddílu
Šifrovaný adresář nebo oddíl můžeme vytvořit dvěma způsoby. Nejjednodušší cestou je příkaz v konzoli:
truecrypt -c
Tento příkaz interaktivně umožní uživateli nakonfigurovat požadované vlastnosti šifrovaného adresáře – typ oddílu a filesystému, hašovací a šifrovací algoritmus, velikost oddílu a nakonec přístupové heslo. V závěru konfigurace se používá zařízení /dev/input/mice pro sběr náhodných dat. Pokud tedy vytváříme šifrovaný oddíl v uživatelském režimu, je vhodné nastavit přístupová práva k zařízení /dev/input/mice do read módu pro ostatní uživatele příkazem:
chmod o+r /dev/input/mice
Hašovací funkce – Patří mezi základní pilíře moderní kryptografie. Jedná se o jednosměrné funkce, pro které je jednoduché spočítat obraz libovolného vzoru, avšak zpětný výpočet hodnoty vzoru ze znalosti hodnoty obrazu je výpočetně nemožné.
Výstup programu je následující:
[user@localhost ~]# truecrypt -c cryptovolume.tc Volume type: 1) Normal 2) Hidden Select [1]: 1 Filesystem: 1) FAT 2) None Select [1]: 2 Enter volume size (bytes - size/sizeK/sizeM/sizeG): 100M Hash algorithm: 1) RIPEMD-160 2) SHA-1 3) Whirlpool Select [1]: 1 Encryption algorithm: 1 ) AES 2 ) Blowfish 3 ) CAST5 4 ) Serpent 5 ) Triple DES 6 ) Twofish 7 ) AES-Twofish 8 ) AES-Twofish-Serpent 9 ) Serpent-AES 10 ) Serpent-Twofish-AES 11 ) Twofish-Serpent Select [1]: 1 Enter password for new volume ‘cryptovolume.tc’: Re-enter password: Enter keyfile path [none]: Enter keyfile path [finish]: TrueCrypt will now collect random data. Is your mouse connected directly to the computer where TrueCrypt is running? y Please type at least 320 randomly chosen characters and then press Enter:
Druhou možností je zapsat všechny důležité vlastnosti nově vytvářeného šifrovaného oddílu přímo do příkazové řádky. Např. vytvoříme oddíl o velikosti 500 MB, který budeme šifrovat kryptografickým algoritmem AES s hašovací funkcí SHA-1, přičemž tento oddíl bude typu normal:
truecrypt –type normal –size 500M –encryption AES –hash SHA-1 -c cryptovolume.tc
Uživatel je pak vyzván k zadání přístupového hesla k nově vytvořenému oddílu, nebo k zadání cesty k souboru, který obsahuje námi vygenerovaný speciální klíč.
Tímto jsme vytvořili soubor v aktuálním adresáři se jménem cryptovolume.tc, který je vyplněn náhodnými daty.
Připojení a odpojení virtuálního oddílu
Máme opět dvě možnosti připojení virtuálního oddílu. Nejjednodušším způsobem je spuštění interaktivního příkazu
truecrypt -i
Nebo specifikujeme oddíl a místo připojení přímo v příkazové řádce:
truecrypt cryptovolume.tc /mnt/data
Po zadání hesla můžeme s adresářem /mnt/data pracovat jako s ostatními adresáři v systému, tj. kopírovat, upravovat a mazat soubory. Po ukončení práce s citlivými daty nesmíme zapomenout virtuální oddíl odpojit.
truecrypt -d cryptovolume.tc
Přístupové heslo k oddílu změníme pomocí příkazu:
truecrypt -C cryptovolume.tc
Informace o připojených oddílech a jejich vlastnostech zjistíme příkazem:
truecrypt -vl
rěváZ
Program Truecrypt je velmi užitečným nástrojem pro vytváření bezpečného uložiště dat na pevném disku. Jeho konfigurační i operační schopnosti mohou jít mnohem více do hloubky, než jak bylo uvedeno v tomto článku, avšak detailnější poznání, např. vytváření skrytých oddílů zapouzdřených v šifrovaných oddílech normálního typu, přenechávám na čtenáři samotném či jiných odbornících. Je škoda, že programu v linuxové verzi stále chybí GUI.