Král je mrtev, ať žije král!

Je tomu téměř rok co se na webu šifrovacího programu Truecrypt objevila poněkud nejasná zpráva o nebezpečnosti Truecryptu a návod k přechodu na konkurenční BitLocker od Microsoftu. Pro všechny, kteří Truecrypt po léta používali, to bylo jako studená sprcha: roky jsme se vyhýbali proprietárním nezdokumentovaným řešením, a teď toto.

Co je za tím?

Je pochopitelné, že první otázka, která většinu lidí napadne, je: proč tak náhlý konec Truecryptu a proč zrovna BitLocker jako náhrada. Nechci o tom spekulovat, už proto, že je zoufale málo informací přímo od zdroje. Názory na důvody se obecně značně liší: skončil bez vážných důvodů, projekt byl napaden útočníkem, někdo autory donutil skončit, byla objevena kritická chyba, od počátku slouží nekalým účelům, nebo něco úplně jiného.

Proč alternativy?

Proč se vlastně zabývat alternativami, když BitLocker je v nějaké verzi přítomen ve všech moderních verzích Windows? Protože Truecrypt, i při vědomí anonymity autorů a ne zcela jasné licence, je otevřený projekt. To znamená, že kdokoliv, mající ambici projít zdrojový kód, má tu možnost. Pokud by v programu byla zabudována „zadní dvířka“, umožňující přístup k zašifrovaným datům i neautorizovaným uživatelům, zřejmě by se na to přišlo.

Naproti tomu, BitLocker je proprietární, uzavřené řešení, kde je otázka důvěry v bezpečnost zašifrovaných dat v přímé úměře k důvěře ve výrobce, firmu Microsoft. A jak to je s bezpečností produktů Microsoftu se asi obecně ví, stačí si projít jejich stránky věnující se zabezpečení, případně zkuste sledovat, kolik oprav váš počítač stahuje každý měsíc. Na rozdíl od oficiálního postoje Microsoftu, který tyto megabajty oprav pokládá za důkaz skvělé péče o zákazníky, já to pokládám za důkaz lajdácké práce jejich vývojářů, případně chybného návrhu jejich produktů.

Plnohodnotná náhrada?

Netroufám si srovnávat Truecrypt a BitLocker z hlediska bezpečnosti, zaměřím se na funkčnost a uživatelskou přívětivost.

Zásadní rozdíl mezi oběma produkty je v tom, že zatímco BitLocker dokáže šifrovat pouze celý disk, Truecrypt kromě toho umí i vytvořit šifrovaný kontejner – to si lze představit jako zip soubor, jehož obsah je rozšifrován až po zadání příslušného hesla. Tento zdánlivě malý rozdíl ale znamená zásadní omezení při použití BitLockeru: zatímco pro vytvoření malé šifrované oblasti pomocí Truecryptu stačí využít vestavěnou funkci, pro BitLocker musíte nejprve vytvořit virtuální disk (VHD) a teprve tento disk pak následně zašifrovat. K nakládání s tímto virtuálním diskem (vytvoření, připojení) potřebujete administrátorské oprávnění k počítači, což je samo o sobě limitující a například v korporátním prostředí víceméně neřešitelné. Také nelze vytvořit virtuální disk na disku připojeném po síti, zatímco kontejner šifrovaný Truecryptem může být i tam.

Rovněž přenosná média, například USB flashdisky, lze BitLockerem zašifrovat pouze celá, zatímco u Truecryptu je na výběr mezi šifrováním celého disku, nebo vytvoření šifrovaného kontejneru.

Samostatnou kapitolou je použití skrytých archivů, případně použití klíčových souborů v Truecryptu: k zašifrovanému archivu je přiřazen externí soubor, použitý jako klíč. Pokud klíč není k dispozici, archiv nelze otevřít i při zadání správného hesla. Pokud takto zašifrovaný archiv umístíte na internet a klíčový soubor je na flashdisku ve vaší kapse, jsou vaše data relativně silně ochráněna.

Naděje žije

Naštěstí se našla skupinka lidí, kteří Truecrypt považují za životaschopný projekt. Na rozdíl od původních autorů se rozhodli nevystupovat anonymně. Ústředí projektu registrovali ve Švýcarsku, tak doufejme, že se jim podaří tento smysluplný projekt udržet při životě.


Označeno v Informační technologie