Co je šifrování a kdy je potřeba ho nastavit
Šifrování je obecně proces, kdy se nezabezpečená data převádí pomocí kryptografie na zašifrovaná data, které může číst jen ten, kdo má dešifrovací klíč. Data je možné šifrovat na úrovni souborů, my se v tomto článku zaměříme na šifrování na úrovni disku. Při něm se veškerá data ukládaná na disku zašifrují a při čtení se opět dešifrují. Šifrování dat se používá jako ochrana, aby nebyla data zcizena a zneužita třetí osobou. Například pokud někdo ukradne z počítače zašifrovaný pevný disk s daty, nemůže data bez šifrovacího klíče přečíst. Pokud někdo zcizí celý notebook, pro přečtení dat by musel buď znát heslo k účtu Windows (musí být samozřejmě nastavené), nebo by musel znát dešifrovací klíč.
Každé šifrování a dešifrování trochu zpomaluje čtení z disku a zápis na něj a vytěžuje procesor. Šifrování na úrovni disku je o něco efektivnější a rychlejší než šifrování jednotlivých souborů. Čtení a zápis na šifrovaný harddisk je o cca 5 až 20% pomalejší. Na moderních počítačích je v praxi snížení rychlosti přístupu na disk skoro nepostřehnutelné.
Co je to TPM
TPM je specializovaný čip, který je přímo na základní desce počítače nebo notebooku a do kterého se ukládají dešifrovací klíče. Procesory AMD Ryzen mají přímo integorvanou funkci fTPM. V Biosu je obvykle potřeba tuto funkci povolit. TPM čip je součástí většiny manažerských notebooků a počítačů. I v případě, že v počítači TPM čip nemáte, můžete disk zašifrovat a dešifrovací klíč si uložit například na flash disk.
Nástroj BitLocker
Spuštění nástroje BitLocker
Bitlocker je standardní součást systému Windows. Ve Windows 10 ho spustíte například tak, že v "Průzkumníku souborů" kliknete pravým tlačítkem myši na disk, který chcete zašifrovat, a kliknete na "Spravovat nástroj Bitlocker".
Nastavení šifrování pomocí nástroje BitLocker.
- Vyberte jednotku, kterou chcete zašifrovat, a klikněte u ní na "Zapnout nástroj BitLocker". Pak se spustí příprava pro zašifrování.
- Nyní vyberte, jak chcete zálohovat obnovovací klíč. Ten budete potřebovat například při přesunu disku do jiného PC. Je to jediný způsob, jak v případě potřeby obnovit data na disku. Dobře si promyslete, kam si obnovovací klíč uložíte. Určitě je dobré mít jak elektronickou kopii klíče, tak uschovanou tištěnou. Pak klikněte na "Další".
- Pokud aktivujete šifrování u již dříve používané jednotky, zvolte možnost "Zašifrovat celou jednotku". Zašifrují se tak i data, která už jsou sice z pohledu Windows smazaná, ale fyzicky se dají ještě z disku obnovit. Nikdo se pak nedostane ani k těmto datům bez šifrovacího klíče. Pokud používáte nový disk, zvolte "Zašifrovat pouze použité místo na disku". Pak klikněte na "Další"
- Režim šifrování závisí na tom, kde budete disk připojovat. Pokud šifrujete externí disk, nebo disk, kde je možnost, že ho budete zapojovat i do jiných zařízení, zvolte režim kompatibility. Pro interní disky, určené jen pro jedno zařízení, můžete zvolit možnost "Nový režim šifrování". Pak klikněte na "Další".
- Ponechte zaškrtnutou možnost "Spustit kontrolu systému nástroje BitLocker" a klikněte na "Pokračovat".
Jakmile disk zašifrujete, budete potřebovat k přístupu k datům dešifrovací klíč. Pokud máte v notebooku nebo PC TPM chip, bude klíč uložený v chipu. Přesto je potřeba, abyste měli klíč stále k dispozici. Občas se může stát, že klíč je vyžadován, protože TPM se kvůli nějaké podezřelé aktivitě zamkne nebo smaže.
Šifrování disku je mocný nástroj, který má chránit vaše data před zcizením. Je pochopitelné, že například na notebooku, který je určený jen na hry nebo pro domácí použití, nemá cenu šifrování nastavovat. Úplně jiná situace je u firemních notebooků, kde nějaký druh citlivých dat najdeme skoro na všech zařízeních. Šifrování dat nabývá důležitosti zvláště se zavedením zákona o ochraně osobních údajů (GDPR). Pokud jsou zcizena nešifrovaná data o klientech (maily, dokumenty, uložená hesla do firemních systémů apod.), měla by firma tuto ztrátu hlásit na ÚOOÚ, případně i klientům. Navíc se vystavuje nebezpečí velkých pokut. V případě odcizení notebooku se zašifrovaným diskem je riziko úniku citlivých údajů podstatně menší.
Pokud ještě nemáte nastavené šifrování na firemním notebooku, určitě s tím neváhejte. Ideální je použít manažerské zařízení s TPM chipem. V naší nabídce najdete mnoho špičkových zařízení manažerské třídy s vysokým stupněm zabezpečení, včetně podpory šifrování.