Jak zaheslovat externí disk nebo flashdisk

Ačkoliv je riziko ztráty USB flash disku či externího disku poměrně velké, ochraně těchto uložišť se zpravidla nevěnuje dostatečná pozornost. V tomto článku se proto zaměříme na rizika spojená s nezabezpečenými disky, vysvětlíme, co znamená heslování a šifrování, a naučíme vás, jak zabezpečit svůj externí disk vhodným způsobem.

Proč zaheslovat externí disk?

Externí disky a flash disky patří mezi velmi oblíbený a používaný hardware, zejména díky jejich přenositelnosti. Uložená data a soubory díky tomu můžete mít všude s sebou, což zároveň přináší také jednu obrovskou nevýhodu – tato přenosná média můžete velmi snadno někde ztratit, nebo vám je někdo může odcizit.

Podle jedné starší studie Ponemon Institutu z roku 2011 uvedlo 47 % odborníků v oblasti IT bezpečnosti, že jsou si naprosto jistí, že jejich společnosti zaznamenaly v průběhu posledních 2 let ztrátu citlivých dat na přenosné USB jednotce. Dalších 23 % IT specialistů to považovalo za velmi pravděpodobné. Dnes si sice můžeme říct, že všichni už používáme primárně cloud a data si posíláme e-mailem a na flashce či externím disku spíše nikdo nic nepřenáší. 

Jak ukazuje případ ztráty (a znovunalezení USB paměti) z Japonska z roku 2022, kdy si zaměstnavatel subdodavatelské firmy odnesl do hospody v tašce citlivá data o 460 tisících obyvatelích města Amagasaki (včetně jejich adres a bankovních údajů), může se to stát i dnes. 

Pokud by k takové situaci opravdu došlo a vy byste přišli o úložiště, které není nijak chráněno, nálezce nebo zloděj disku by měl okamžitý přístup ke všem vašim datům na disku, která by následně mohl zneužít. V souladu s GDPR pak nastává povinnost okamžitě hlásit ztrátu citlivých dat ÚOOÚ a majitel firmy může následně hádat, jaké výše dosáhne správní pokuta.

Zaheslovaný či zašifrovaný disk hrozbě úniku dat dokáže zabránit (běžným uživatelům naprosto znemožní dostat se k vašim datům, zkušeným hackerům přístup přinejmenším několikanásobně ztíží). Ztráta disku bude tedy sice stále nepříjemná, můžete ale doufat, že se k citlivým datům nálezci nepodaří dostat.

Zaheslovat nebo zašifrovat disk?

Předtím, než se pustíte do zabezpečování vašeho externího úložiště, je však důležité znát rozdíl mezi pouhou ochranou heslem a zašifrováním disku. Šifrování externího disku je mnohem vyšším stupněm ochrany než jeho zaheslování. Nabízí 2 úrovně zabezpečení, zatímco zaheslování pouze 1.

Vysvětlit si to můžeme na příkladu papíru (disk) a trezoru (heslo). Zaheslování disku je položení papíru, na který jsme data napsali, do uzamčeného trezoru. Data jsou tedy uzamčená. Pokud ale někdo heslo od trezoru uhodne, nebo najde nějaký jiný způsob, jak trezor otevřít, může si data snadno z papíru přečíst.

Pokud však zprávu na papíru nejprve převedeme do zašifrované podoby a do trezoru uložíme až poté, zloději už nepomůže, že přijde na jiný způsob, jak trezor otevřít. Dostane se pouze k datům v zašifrované podobě, která mu nebudou dávat smysl a nepřečte si je, pokud nebude vědět, jak na to. To víte jenom vy, protože vlastníte dešifrovací klíč.

S externím diskem je to úplně stejné jako s papírem v trezoru – pokud je jen zaheslovaný, data jsou na něm uložená v nezměněné podobě. Pokud zloděj přijde na to, jak heslo obejít, okamžitě si je může číst. Pokud je disk ale zašifrovaný, data na disku úplně změnila svou digitální podobu a bez dešifrovacího klíče jsou hackerovi k ničemu (více o šifrování dat).

​Jak zaheslovat externí disk ve Windows 10 a 11?

Jak už asi tušíte, je nejlepším způsobem zabezpečení externích disků zašifrování. To lze ve Windows 10 i 11 udělat nejčastěji 2 způsoby:

• Využitím nástroje BitLocker, který je integrovanou součástí Windows 10 i 11 (ale pouze v případě edicí Windows Professional, Enterprise a Education, u Windows Home jej nenajdete).

• Využitím externího nástroje. Nejčastěji používaný a velmi oblíbený je program VeraCrypt, který je dostupný pro všechny nejrozšířenější systémy.

Zaheslování flash disku či externího disku přes BitLocker

Pokud používáte některou z edic Windows Pro, Enterprise nebo Education, flash disk či externí disk zaheslujete velmi snadno:

1. Připojte externí disk k počítači. Následně najděte disk v Tento počítač a pravým tlačítkem myši klikněte na externí disk, který chcete zaheslovat. Z nabídky vyberte Zapnout nástroj BitLocker. 

1. Poté uvidíte dialogové okno s 2 možnostmi, ze kterých si můžete vybrat, jak si přejete vaši jednotku otevírat – Odemknout jednotku pomocí hesla nebo Odemknout jednotku pomocí čipové karty. Vyberte Odemknout jednotku pomocí hesla.

1. Nyní vepište heslo, kterým chcete vaše externí úložiště odemykat a následně ho potvrďte. Klikněte na Další.
2. Dále se vás BitLocker zeptá, jak si přejete uložit obnovovací klíč. Zvolte Uložit do souboru nebo Vytisknout obnovovací klíč. Opět klikněte na Další.

1. V dalším kroku si můžete vybrat, zda chcete zašifrovat pouze aktuálně využité místo na disku, nebo celý disk. Pokud právě nespěcháte, je lepší zvolit Zašifrovat celou jednotku.

1. Windows 10 (verze 1511) zavádí režim šifrování XTS-AES, který není kompatibilní se staršími verzemi Windows. Pokud se tedy chystáte používat disk na počítačích se starším typem šifrování, zvolte Režim kompatibility. Pokud ne, zvolte Nový režim šifrování.

1. V následujícím okně už pouze potvrdíte zašifrování disku kliknutím na tlačítko Zahájit šifrování. Poté už pouze počkáte na dokončení šifrování (v závislosti na velikosti disku může zabrat desítky minut až hodiny).​

Po dokončení procesu je externí disk chráněný heslem a připravený k použití.

Zaheslování externího disku přes VeraCrypt

Pokud používáte edici Windows Home, BitLocker bohužel nebudete moct využít. V takovém případě je ideálním řešením program VeraCrypt.

1. Připojte externí disk k počítači a spusťte VeraCrypt. V programu pak klikněte na Vytvořit svazek.​

1. Abyste zašifrovali celý externí disk, dále z nabídky vyberte možnost Zašifrovat nesystémový diskový oddíl/disk a klikněte na Další.

1. V dalším okně vyberte typ svazku – postačí Standardní svazek VeraCrypt. Klikněte na Další.​

1. V následujícím okně klikněte na tlačítko Vybrat zařízení a ze seznamu zvolte externí disk, který chcete zašifrovat. Klikněte na OK a poté klikněte na Další.​

1. V dalším kroku budete vyzváni, zda chcete provést šifrování spolu s formátováním externího disku (veškerá případná data uložená na disku budou smazána a přijdete o ně) nebo zda chcete obsah na disku zachovat a zašifrovat.
   
   ​Pokud si soubory na disku chcete ponechat, vyberte Zašifrovat existující diskový oddíl. Pokud je disk prázdný nebo soubory nepotřebujete, vyberte první možnost – proces zašifrování disku bude mnohem rychlejší. Poté klikněte na Další.

1. Nyní si budete muset vybrat možnosti šifrování. Stačit by vám měl šifrovací algoritmus AES s hashovacím algoritmem SHA-512 - tedy to, co vám VeraCrypt sám nabízí.

Zvolit si samozřejmě můžete i složitější šifrování - např. AES(Twofish(Serpent)), kdy každý blok je postupně zašifrován šifrovacím algoritmem Serpent, pak Twofish a nakonec AES. Nicméně pro běžné uživatele je to zbytečné a komplikovanější šifrování zpomaluje. O kolik pomalejší by tato možnost na vašem počítači byla, ukazuje funkce Test výkonu.

1. V dalším okně vepište do kolonky Heslo vaše nové heslo k externímu disku. V další kolonce jej potvrďte a poté klikněte na Další. 
   
   Pokud zvolíte heslo kratší než 20 znaků, VeraCrypt vás upozorní, že se takové heslo dá snadno prolomit použitím metody hrubé síly. Vybírejte tedy dost silné heslo, protože jinak šifrování nedává velký smysl.

1. V dalším okně náhodně pohybujte myší a vyčkejte, až se posbírají náhodná data a naplní zelený panel. Poté klikněte na Další.​

1. V dalším okně klikněte na Zašifrovat a vyčkejte, než VeraCrypt disk zašifruje.

Po dokončení se do zašifrovaného disku opět dostanete už jen s pomocí softwaru VeraCrypt. Vždy tento program proto musíte mít na tom počítači, ze kterého chcete na disk přistupovat. Pro přístup k datům na disku postupujte takto:

1. Otevřete VeraCrypt a připojte externí disk k počítači.
2. V úvodním menu pod kolonkou Disk vidíte volné disky (například A:, B:, E:, F:, …). Vyberte kterýkoli a poté klikněte na Vybrat zařízení.
3. Ve vyskakovacím okně vyberte odpovídající připojený zašifrovaný disk a klikněte na OK.
4. Poté v levém dolním rohu klikněte na Připojit.
5. Ve vyskakovacím okně zadejte heslo a klikněte na OK. Po chvilce se disk dešifruje a naběhne. Dvojitým kliknutím si ho můžete otevřít a data libovolně používat.

JAK SI NASTAVIT SILNÉ HESLO?

K externím diskům se vždy snažte nastavovat co nejsilnější možná hesla. Čím delší, tím lepší. Minimem je alespoň 12 znaků, nebojte se ale zvolit i heslo klidně s 20 znaky a více. Silné heslo musí obsahovat malá i velká písmena, speciální znaky a číslice ve vzájemné kombinaci. Vždy se snažte být originální a nepoužívejte osobní údaje, data narození či jména rodinných příslušníků. Taková hesla lze snadno uhádnout a prolomit.

Pokud heslo zapomenete, může nastat velký problém. V programu VeraCrypt se k zašifrovaným datům na disku bez hesla zcela jistě nedostanete. V případě BitLocker máte pojistku v podobě obnovovacího klíče. Hesla i klíče je proto opravdu velmi nutné co nejpečlivěji a nejbezpečněji uschovat a zálohovat. Zašifrovaná data bez nich už nikdo nerozluští a vy byste tak o ně mohli zbytečně nenávratně přijít.

ZÁVĚR

Zaheslovat externí disk není žádný problém. Pokud vaše edice Windows podporuje nástroj BitLocker, máte vyhráno – jde o velmi jednoduchý postup, jak ochránit vaše data na disku. Program VeraCrypt je na používání trošku náročnější, rozhodně se ale vyplatí si jeho používání osvojit. Data budou zašifrována a nikdo nepovolaný nebude mít šanci je číst či dokonce zneužít.