ספט 252010
 

TrueCrypt

אנחנו כבר יודעים שחשוב לשמור על המחשב בטוח, ואפילו מכירים כבר את שתי השיטות העיקריות – הרשאות והצפנה. תוכנת ההצפנה המועדפת עלי היא TrueCrypt. רוצים לדעת למה?

  • היא עושה את העבודה: זה נראה אולי מובן מאליו, אבל לא כל התוכנות עובדות, ואלה שכן מגלות לפעמים סימני מרד. אני משתמש ב-TrueCrypt כבר מספר שנים, ועוד לא נתקלתי בבעיה כלשהי.
  • היא גמישה ומלאת אפשרויות, כך שאם קיים צורך מסוים כלשהו, יש סיכוי טוב שתוכל לבצע זאת באמצעות התוכנה. היא תומכת באפשרויות של שורת פקודה, אפשר להחליט על סיסמה אבל גם על קובץ מסוים שיתפקד כמפתח (ואפילו לשלב בין סיסמה לקובץ), ועוד ועוד.
  • …אבל לא מסובכת – לא חייבים להבין את כל האפשרויות כדי להשתמש בה – אפשר לבחור באפשרויות הראשוניות שהתוכנה נותנת, והיא תעבוד (ותגן) גם ככה.
  • חינמית – אין צורך לקנות, אין צורך לחדש מנוי, אין צורך להכניס שיקולי תקציב להחלטה האם להשתמש או לא
  • ניידת – לא חייבים להתקין אותה על מחשב כדי להשתמש בה. ניתן לשמור את קובצי ההפעלה שלה ולהפעיל אותה משם – אני מחזיק עותק על הדיסק הנייד שלי, כך שאוכל להפעיל אותה מכל מחשב שאתחבר אליו.
  • עובדת על מספר מערכות הפעלה: אולי לא קריטי בשבילכם, אבל כל מי שמחזיק בבית מחשב עם Windows וגם מק או לינוקס מכיר את הבעיה – איך מעבירים קבצים, איך לוודא שמסמך שנערך על המחשב הזה ייפתח כמו שצריך על המחשב ההוא, ובקיצור – בעיות תאימות. ל-TrueCrypt יש גרסאות ל-PC, למק וללינוקס, כך שקבצים מוצפנים ניתנים לפתיחה מכל מחשב שהוא
  • מהירה – ההבדל בין שמירת קובץ בצורה מוצפנת לשמירה לכונן רגיל אינו מורגש בדרך כלל.

איך היא עובדת?

TrueCrypt עובדת עם מטאפורה של כונן: כש"נכנסים" לאיזור שהוצפן על ידי התוכנה, מערכת ההפעלה שלנו תחשוב שמדובר בכונן חדש שחיברנו ותציג אותו בסייר (Windows Explorer). היא אפילו לא תדע שלא מדובר בדיסק/כונן USB/דיסקט. ניתן ליצור איזור מוצפן בתוך חלק מדיסק אמיתי – TrueCrypt תייצר קובץ בגודל שנבקש, תצפין אותו, ומעכשיו נוכל להכניס אליו קבצים משלנו כמו שאנחנו מעתיקים קבצים בכל כונן לכל כונן אחר. ניתן גם להצפין כונן או מחיצה (partition) שלמים – במקרה זה, TrueCrypt תפרמט את כל הכונן וכל הגישה אליו תעבור (מאחורי הקלעים) דרכה. אנחנו עדיין נעבוד עם הכונן כמו כונן רגיל, כל עוד הוא "פתוח" על ידי TrueCrypt.

בחירה בקובץ ל"פתיחה" באמצעות TrueCrypt

בחירה בקובץ ל"פתיחה" באמצעות TrueCrypt

הקובץ מיוצג בתור כונן בעזרת TrueCrypt

כדי למנוע מכל שאר העולם לגשת לקבצים המוצפנים שלנו, נאמר ל-TrueCrypt לסגור את הקובץ. הדבר ינתק את הכונן (מבחינתה של מערכת ההפעלה), ועכשיו יש לנו קובץ תמים למראה ובלתי-חדיר. את הקובץ הזה ניתן להעתיק לכונן USB (אם הוא לא גדול מדי), לצרוב על CD ואפילו לשלוח באימייל. כל העולם יכול לראות אותו – רק מי שיודע (א) שמדובר בקובץ של TrueCrypt ו-(ב) את הסיסמה לקובץ הספציפי הזה, יוכל לטעון אותו ככונן (באמצעות עותק של TrueCrypt משלו) ולראות מה יש בפנים.

איפה משיגים

אתר הבית של TrueCrypt הוא www.truecrypt.org. את הגרסה העדכנית ביותר תוכלו להוריד מדף ההורדות באתר. העלות, כפי שאמרנו, און-דה-האוס.

רגע לפני שאתם מתמכרים…

כדי שלא ניהנה יותר מדי, יש אנשים שדואגים להדאיג אותנו בקשר ל-TrueCrypt. אז רק שתדעו: קיימת תיאוריה האומרת שמדובר בפרויקט של סוכנות אמריקאית כלשהי (CIA, NSA או כל ראשי תיבות אחרים), שנותנת לכולנו להשתמש חופשי בתוכנה, אבל מחזיקה "מפתח קסמים" שיוכל לפתוח כל קובץ שיצרנו בעזרתה. הרעיון של "דלתות סתרים" המאפשרות לעקוף מנגנוני הגנה ובטיחות של תוכנות קיים בשטח, ותיאורטיקני הקונספירציה מצביעים על מספר עובדות שמעלות חשד:

  1. למרות שקוד המקור קיים, וכל מי שרוצה יכול לכאורה להכין לעצמו עותק ולוודא שאין בו דלתות סתרים, קוד זה לא נסרק מעולם על ידי קבוצה מוכרת שאישרה שהוא נקי. כמו כן, רוב (אם לא כל) מי שמגיע לאתר, מוריד את הגירסה המוכנה להתקנה ולא מתעסק עם הקוד (כי לא כולנו מתכנתים עם הידע והזמן הדרושים), כך שהגרסה המוכנה באתר יכולה להיות שונה מזו שמוצגת בקוד. מספיק שונה כדי להיות פתוחה בפני "כוחות האופל".
  2. הקבוצה שמפתחת את TrueCrypt שומרת על חשאיות. היא כל כך חשאית, למעשה, שלא ניתן להצטרף אליה, ולא ידוע אפילו מי האנשים המרכיבים אותה. מתיאורים באתר,נראה שמדובר בשני אנשים בסך הכל, דבר המעלה תהיות: איך יכולים שני אנשים ליצור תוכנה מורכבת כל כך, העובדת במספר מערכות הפעלה (זוכרים את הגרסאות ללינוקס ולמק?) והמתעדכנת בתדירות, תוך שהם ממשיכים לעבוד בעבודה רגילה (TrueCrypt היא חינמית, כך שאת פרנסתם הם חייבים למצוא במקום אחר)?

קונספירציה או לא, התוכנה קיימת ופופולרית מאוד. אולי כדאי רק לא לשמור באמצעותה קבצים שאתם מנסים להסתיר מהביון האמריקאי.

אוג 302010
 

– "הצפנה? אצלי במחשב? אבל אני לא שומר כאן סודות מדינה!"

לפני לא-כל-כך-הרבה זמן, ג'יימס בונד הסתובב עם מכשיר קשר מוצפן, התדריך של "משימה בלתי אפשרית" הושמד באופן עצמאי תוך 5 שניות והחבר'ה מ"סניקרס" פיצחו סיסמאות כמו גרעינים. לאף אחד אחר לא היה צורך בהצפנה – מה כבר היה לנו להסתיר? ואז, כמו דלת פלדלת חורקת, נפתח בפנינו עולם חדש: אנחנו מוסרים מידע באינטרנט, מסתובבים עם מחשב נייד, מטלטלים טלפון חכם, וכבר שכחנו מהדיסק-און-קי ושאר הזכרונות הניידים שבארנק, בתיק ועל מחזיק המפתחות. במקרים רבים, אנו שומרים הרבה סודות בכל המקומות הללו, גם אם אנחנו לא מודעים לכך.

במאמר הקודם דנו באפשרות לחזק את האבטחה באמצעות הרשאות; בנוסף (או ללא שום קשר) להרשאות, ניתן להצפין קבצים. בעזרת הצפנה ניתן להפוך כל קובץ לאוסף אקראי (לכאורה) של תווים; רק מי שברשותו הסיסמה הנכונה יוכל לראות את התוכן האמיתי של הקובץ.

הצפנה – למה צריך את זה?

הרשאות עובדות כל עוד יש לנו שליטה על המחשב ועל המשתמשים. במקרים מסוימים, לנו עצמנו אין הרשאות לקבוע הרשאות של אחרים. לפעמים אנחנו משתמשים בהתקן שאינו תומך במערכת הרשאות (כמו דיסק-און-קי וכרטיסי זיכרון המפורמטים על ידי FAT32 – לא חייבים לדעת מה זה, רק שזה לא עובד עם הרשאות). והרשאות, כזכור לנו, ניתנות לשינוי על ידי משתמש עם הרשאות מנהל (המאפשרות, בין השאר, לשנות את ההרשאות הקיימות לכל הקבצים), ולכן אם מישהו גנב, כלומר מצא-ועוד-לא-החזיר את המחשב שלנו, הוא יכול לחבר את הדיסק הקשיח למחשב שלו, בו יש לו הרשאות מנהל, ואז לעשות בקבצים שלנו כרצונו. לא טוב.

הצפנה של קובץ "נועלת" אותו בפני כל מי שאינו מורשה לגשת אליו. רק אם ברשותך המפתח המתאים (בדרך כלל סיסמה), תוכל לפתוח את הקובץ ולהשתמש בו.

הצפנה – איך עושים את זה?

ישנן תוכנות המאפשרות להצפין את הקבצים שהן יוצרות. לדוגמה, תוכנות Office כמו Word ו-Excel מאפשרות להצפין את המסמכים ולהרשות רק למי שבידו הסיסמה לצפות במסמך. ככה זה נראה ב-Word 2010:

פרטים מלאים תוכלו למצוא בדף העזרה (בעברית!) באתר מיקרוסופט, הדן בהגנה על מסמכים, חוברות עבודה ומצגות באמצעות סיסמה. הדף מיועד אמנם ל-Office 2007, אך ההוראות עבור גרסאות אחרות של Office דומות מאוד.

מערכת ההפעלה האהובה (טוב, אולי קצת הגזמתי) על כולנו, Windows, מאפשרת (במהדורות מסוימות) להצפין כל קובץ שתרצו. אפשרות זו קיימת במהדורות ה"מסחריות" של Windows – מהדורת Professional, מהדורת Enterprise, וכמובן המהדורה האולטימטיבית – Ultimate (השוואה מקיפה תוכלו למצוא כאן). זה די פשוט, למעשה – כל שעליך לעשות הוא לבחור בקובץ, קליק-ימני, מאפיינים, מתקדם… ושם, בתיבת הסימון האחרונה, תוכלו להצפין את הקובץ. ככה זה נראה:

לאחר הלחיצה על אישור, המערכת תוודא שאתם מעוניינים להצפין את הקובץ, ותציע להצפין את כל התיקיה בה הוא נמצא. לא חייבים להסכים, אבל כדאי לחשוב על זה – בדרך כלל, מסמכים וקבצים נמצאים בתיקיה מסוימת מסיבה כלשהי, ולכן כנראה שהסיבה להצפנתו של אחד מהם תהיה סיבה טובה להצפין גם את השאר.

אישרתם. הקובץ (ואיתו אולי גם התיקיה) יוצפן עבור המשתמש בלבד, ולאף אחד אחר לא תהיה גישה אליו, אלא אם כן תגדירו זאת בפירוש. משתמשים אחרים אפילו לא יוכלו להזיז את הקובץ לתיקיה אחרת. והכי חשוב – אם המשתמש כבר לא יהיה קיים במערכת (אפילו אם פירמטתם והתקנתם Windows מחדש, ואפילו אם יצרתם משתמש עם אותו השם), הקובץ אבוד לעולמי עד. אם אתם רוצים להשתמש בהצפנה המובנית של Windows, כדאי לעבור על אמצעי הזהירות המומלצים.

אפשרות נוספת לבעלי ויסטה ו-7 (ושוב – בגרסאות ה"מסחריות" בלבד), היא להשתמש בתוכנה בשם BitLocker, המאפשרת להצפין את תכולתו של כונן שלם. ניתן להצפין אפילו את הכונן עליו מותקנת Windows! (איך המערכת עולה אם היא מוצפנת? את זה תשאירו למהנדסי מיקרוסופט.) ב-Windows 7 ניתן להצפין גם כוננים ניידים, כגון דיסק-און-קי, אבל שימו לב – התכונה הזו קיימת כיום רק ב-Windows 7, ולכן, מהרגע שהצפנתם, תוכלו להשתמש בהם רק במחשבים עליהם מותקנת Windows 7.

ולדובדבן שבקצפת: ישנה תוכנה טובה, בחינם, שעובדת על כל סוגי Windows (וגם על לינוקס ומק). ניתן להתקין אותה על המחשב, אבל אפשר להפעיל אותה גם על מחשב בו היא אינה מותקנת. היא יכולה להצפין כוננים שלמים, או ליצור "כוננים" מתוך קבצים שיצרתם בעזרתה והיא גם מבוססת קוד פתוח, מה שנותן לה יתרונות מסוימים על פני תוכנות אחרות. קוראים לה TrueCrypt, ואנחנו נדון בה במאמר הבא.