🥇 Szyfrowanie systemowe

Opis Szyfrowanie systemowe

Wszystkie współczesne systemy operacyjne działające na komputerach (Windows, MacOS, Linux) i urządzeniach mobilnych (Android, iOS) oferują wbudowane technologie pozwalające na szyfrowanie danych na dysku.

W normalnych zastosowaniach zalecamy korzystanie właśnie z wbudowanych w system operacyjny mechanizmów szyfrowania, zamiast z zewnętrznych programów (np. VeraCrypt). Wynika to z łatwości korzystania oraz faktu, że są rozwijane przez zespół programistów i specjalistów od bezpieczeństwa odpowiedzialnych za rozwój systemu operacyjnego, dla którego są dedykowane.

Istnieją oczywiście scenariusze, kiedy rozwiązanie systemowe nie wystarcza albo nie sprawdza się. O tym w dalszej części artykułu.

Microsoft Windows

• Natywną, wbudowaną w system operacyjny Microsoft Windows technologią szyfrowania dysków jest BitLocker.
• BitLocker jest dostępny w systemach Microsoft Windows 10 lub 11 w wersjach Pro, Enterprise i Education oraz w we wszystkich wersjach Windows Server 2012 i nowszych. Nie jest dostępny w Windows 10 lub 11 w wersji Home.
• Dowiedz się więcej o szyfrowaniu dysku w Microsoft Windows.

Apple MacOS (komputery Mac) i iOS (iPhone, iPad)

• Natywną, wbudowaną w systemy operacyjne Apple (macOS – komputery Mac i iOS – iPhone, iPad) technologią szyfrowania dysków jest Data Protection lub FileVault.
• FileVault jest wykorzystywany w Macach, które bazują na procesorach Intela (Mac produkowane do 2020 roku).
• Data Protection jest wykorzystywany w urządzeniach, które bazują na procesorach stworzonych przez Apple (iPhone, iPad, Apple Watch, Apple TV, oraz Mac z procesorami M1, M2 – produkowane od 2020 roku).
• Dowiedz się więcej o szyfrowaniu dysku w Apple MacOS (komputery Mac) i iOS (iPhone, iPad).

Linux

• Natywną, wbudowaną w system operacyjny Linux technologią szyfrowania dysków jest LUKS (Linux Unified Key Setup). Narzędziem, które służy do zarządzania szyfrowaniem jest Cryptsetup.
• LUKS i Cryptsetup są bardzo elastycznymi narzędziami i pozwalają na obsługę wielu scenariuszy szyfrowania dysku. Wymagają jednak większej znajomości działania systemu operacyjnego, a nieumiejętne korzystanie może doprowadzić do utraty danych.
• Dowiedz się więcej o szyfrowaniu dysku w Linuksie.

Android

• Natywną, wbudowaną w system operacyjny Google Android technologią szyfrowania dysków jest Android Encryption.
• Android do wersji 9 korzystał z mechanizmu szyfrowania całego dysku (FDE, Full Disk Encryption). Od wersji 10 Android obsługuje dodatkowo mechanizm szyfrowania plików (FBE, File-based Encryption), a od Android 13 dostępne jest wyłącznie szyfrowanie plików, bez możliwości włączenia szyfrowania całego dysku.
• Uzasadnieniem szyfrowania na poziomie plików, a nie całego dysku jest to, że szyfrowanie całego dysku uniemożliwia uruchomienie systemu operacyjnego bez podania hasła. W efekcie nie ma możliwości odbierania połączeń telefonicznych, nie działają alarmy.
• Dowiedz się więcej o szyfrowaniu dysku w Androidzie.

VeraCrypt czy szyfrowanie systemowe

• Skorzystaj z VeraCrypt, jeśli
  • Nie masz możliwości skorzystania z szyfrowania dysku wbudowanego w system operacyjny, z którego korzystasz (np. Microsoft Windows 10 lub 11 wersja Home nie zawiera wbudowanego BitLockera).
  • Szyfrujesz dysk, który będzie używany w wielu systemach operacyjnych (np. pendrive, dysk USB).
  • Zależy Ci na wykorzystaniu konkretnego algorytmu szyfrującego, którego nie obsługuje szyfrowanie dysku wbudowane w system operacyjny.
  • Zależy Ci na wykorzystaniu kaskadowego szyfrowania (wolumen jednocześnie zaszyfrowany kombinacją algorytmów, np. AES-Twofish, AES-Twofish-Serpent, Serpent-AES).
  • Wykorzystujesz mechanizm ukrytych wolumenów (Hidden Volume) lub ukrytego systemu operacyjnego (Hidden Operating System), żeby mieć możliwość “wiarygodnego zaprzeczenia” istnieniu zaszyfrowanych danych (plausible deniability).
• Skorzystaj z szyfrowania dysku wbudowanego w system operacyjny w pozostałych przypadkach.
  • Szyfrowanie wbudowane w system operacyjny jest prostsze w użyciu.
  • Mechanizmy bezpieczeństwa rozwija zespół programistów, ze wsparciem zespołu bezpieczeństwa tworzącego system operacyjny, zgodnie z najlepszymi praktykami tworzenia oprogramowania.

Dlaczego warto szyfrować cały dysk (partycję systemową)

• Szyfrowanie całego dysku (FDE, Full Disk Encryption), łącznie z partycją systemową (na której jest zainstalowany system operacyjny) zapewnia najwyższy poziom bezpieczeństwa i prywatności.
• Programy działające na komputerze i mające dostęp do poufnych danych zapisanych na zaszyfrowanym wolumenie mogą zapisywać informacje na temat tych danych na niezaszyfrowanym dysku (najczęściej partycji systemowej).
• Najczęściej będą to informacje takie jak:
  • ścieżki i nazwy do ostatnio otwieranych plików,
  • bazy indeksów stworzonych przez narzędzie wyszukiwania,
  • pliki tymczasowe zawierające cząstkowe dane,
  • informacje o systemie plików na zaszyfrowanym wolumenie,
  • plik wymiany zawierający fragmenty pamięci RAM (swap file),
  • pliki zapisywane przy hibernacji systemu.
• Jeśli chcesz mieć pewność, że żadne informacje o poufnych danych zapisanych na zaszyfrowanym wolumenie nie zostaną przypadkowo ujawnione i zapisane na niezabezpieczonym dysku, należy stosować jedno z dwóch rozwiązań:
  • Podłączać dysk z zaszyfrowanymi poufnymi danymi tylko do komputera, który ma zaszyfrowany cały dysk (partycję systemową). Dzięki temu masz pewność, że jeśli jakieś informacje zostały zapisane, to pozostają zaszyfrowane.
  • Uruchamiać komputer wyłącznie z płyty DVD (ew. nośnika USB) z systemem live. Taki system wszystkie informacje zapisuje w pamięci RAM, a nie na nośniku danych, z którego jest uruchomiony. Dzięki temu masz pewność, żen jeśli jakieś informacje zostały zapisane, to po wyłączeniu komputera znikną z pamięci RAM.
• Szyfrowanie całego dysku chroni również ustawienia konfiguracyjne systemy operacyjnego.