022.4 Lecke 1

Az érzékeny információkat — legyenek azok személyes, pénzügyi vagy üzleti jellegűek --, védeni kell a jogosulatlan hozzáféréstől. Az adattitkosítás az egyik legmegbízhatóbb módszer ennek a védelemnek a biztosítására, mivel az adatokat olyan kódolt formátumba alakítja át, amelyet csak a megfelelő dekódoló kulcsot birtokló, felhatalmazott felhasználók tudnak visszafejteni.

Az adattitkosítás (data encryption) az olvasható adatok (plaintext) olvashatatlan formátumba (ciphertext) történő átalakítását jelenti. Ez biztosítja, hogy még ha az adatokat rosszindulatú szereplők le is hallgatják vagy hozzáférnek hozzájuk, a dekódoló kulcs nélkül nem tudják megfejteni a tartalmukat. A titkosítás különböző szinteken alkalmazható, beleértve az egyes fájlokat, a teljes tárolóeszközöket és még a felhőalapú tárolási szolgáltatásokat is.

A fájltitkosítás (file encryption) kifejezetten az egyes fájlok titkosítására utal, így azok biztonságossá válnak még akkor is, ha eszközök között vagy nem biztonságos hálózatokon keresztül továbbítják őket. A fájltitkosításra tervezett eszközök és szoftverek biztosítják, hogy a fájlokhoz csak olyan személyek férhessenek hozzá, akik rendelkeznek a megfelelő titkosítási kulccsal vagy jelszóval. Ez a módszer különösen hasznos az érzékeny dokumentumok vagy bizalmas információk védelmére, amelyeket esetleg meg kell osztani vagy biztonsági másolatként tárolni külső meghajtókon, vagy felhőalapú tárolószolgáltatásokon.

A tárolóeszköz-titkosítás (storage device encryption) azonban a teljes tárolóeszközök, például merevlemezek, SSD-k, USB flash meghajtók és külső tárolóeszközök titkosítását jelenti. A titkosítás ezen formája során a tárolóeszközön lévő összes adat automatikusan titkosításra kerül, amikor a meghajtóra írják, és olvasáskor kerül visszafejtésre. Ez a módszer garantálja, hogy ha a fizikai eszköz elveszik vagy ellopják, a rajta lévő adatok biztonságban maradnak. A tárolóeszközök titkosítását általában laptopok, asztali számítógépek és mobileszközök esetében használják, hogy lopás vagy hackerkísérlet esetén védelmet nyújtson az illetéktelen hozzáférés ellen.

A teljes lemeztitkosítás (full disk encryption — FDE) a tárolóeszközök titkosításának egy olyan alcsoportja, amely a tárolóeszköz teljes tartalmát titkosítja, beleértve az operációs rendszert is. Ez biztosítja, hogy az eszközön lévő összes adat védve legyen, anélkül, hogy a felhasználónak be kellene avatkoznia az egyes fájlok titkosításába. Az FDE-t általában vállalati környezetben használják, ahol nagy az elveszett vagy ellopott laptopokból eredő adatvesztés kockázata. Az FDE átfogó biztonsági réteget biztosít azáltal, hogy az operációs rendszer indítása előtt hitelesítésre van szükség.

A fájlok és a tárolóeszközök titkosításának egyik kritikus aspektusa az erős titkosítási algoritmusok, például az Advanced Encryption Standard (AES) használata, amely biztosítja, hogy a titkosított adatokat a támadók ne tudják könnyen feltörni. Ezek a titkosítási módszerek magas szintű biztonságot nyújtanak, de csak akkor hatékonyak, ha a titkosítási kulcsokat vagy jelszavakat megfelelően kezelik. A rossz kulcskezelési gyakorlatok, például a gyenge jelszavak vagy a titkosítási kulcsok biztonsági mentésének elmulasztása alááshatja a titkosítás hatékonyságát, és adatvesztéshez vezethet.

Mivel az adattárolás egyre inkább a felhőbe költözik, a felhőalapú tárolás titkosítása (cloud storage encryption) az adatbiztonság alapvető részévé vált. A felhőalapú tárhelyszolgáltatók gyakran kínálnak beépített titkosítást a felhasználók adatainak védelmére az átvitel során (titkosítás az adatátvitel során) és a felhőalapú szervereken való tárolás során (titkosítás az inaktív állapotban). Egyes felhasználók azonban inkább maguk titkosítják fájljaikat, mielőtt feltöltik azokat a felhőbe, biztosítva, hogy csak ők férjenek hozzá a titkosítási kulcsokhoz.

Annak megértése, hogy hogyan és mikor kell alkalmazni a fájlok és a tárolóeszközök titkosítását, kritikus fontosságú az adatbiztonság fenntartása szempontjából mind a személyes, mind a szakmai környezetben. A titkosítás megfelelő alkalmazása biztosítja, hogy az érzékeny adatok bizalmasak maradjanak, védve legyenek a jogosulatlan hozzáféréstől, és megfeleljenek az adatvédelmi előírásoknak.

Megvizsgáljuk az olyan titkosítási eszközök gyakorlati alkalmazását, mint a VeraCrypt, a BitLocker és a Cryptomator. Ezek az eszközök robusztus megoldásokat kínálnak a fájlok, tárolóeszközök és felhők titkosítására, és mindegyikük egyedi, a konkrét titkosítási igényekre szabott funkciókat kínál.

A VeraCrypt keresztplatformos, támogatja a Windows, a macOS és a Linux rendszert, ami sokoldalú megoldást jelent a többféle környezetben működő egyének és szervezetek számára. Az egyik operációs rendszeren titkosított adatok egy másik operációs rendszeren is elérhetők és visszafejthetők, feltéve, hogy a megfelelő visszafejtési hitelesítő adatok rendelkezésre állnak. Ez a rugalmasság elengedhetetlen a biztonságos adattárolás fenntartásához a különböző platformokon és eszközökön.

A VeraCrypt funkcionalitásának középpontjában a titkosított konténerek (encrypted containers) létrehozása áll. A titkosított konténer olyan, mint egy virtuális lemez, ahol az adatok biztonságosan tárolhatók. Ez a konténer egyetlen fájlként jelenik meg a rendszerben, de miután a VeraCrypthez csatolják, úgy viselkedik, mint egy hagyományos meghajtó, ahol fájlokat lehet hozzáadni, szerkeszteni és törölni. A módszer legfontosabb előnye, hogy a konténer teljes tartalma titkosítva van, így a megfelelő visszafejtési kulcs vagy jelszó nélkül illetéktelen felhasználók nem férhetnek hozzá az adatokhoz.

Mielőtt bármilyen konténerünk lenne, a VeraCrypt fő képernyője így néz ki: A VeraCrypt fő képernyője.

Ha titkosított konténert szeretnénk létrehozni a VeraCrypt-ben, először is válasszuk ki a konténerként szolgáló fájlt vagy partíciót: (A VeraCryptben kiválasztott kötetfájl).

A rendszer megkér minket a titkosítási algoritmus kiválasztására. Az AES a leggyakrabban ajánlott algoritmus, köszönhetően a magas szintű biztonságának: (Az AES kiválasztása a VeraCrypt titkosítási algoritmusaként).

Majd adjuk meg a meghajtó méretét: (VeraCrypt kötetméret).

Az utolsó lépés egy erős jelszó létrehozása: (Jelszó megadása a VeraCryptben).

Most már a konténer csatolva van a VeraCryptben és készen áll a használatra: (Titkosított meghajtó a VeraCrpytben felcsatolva). Úgy működik, mint bármely más adathordozó, de a konténerben tárolt összes adatot automatikusan, valós időben titkosítja.

A VeraCrypt támogatja a teljes lemeztitkosítását is, így a felhasználók teljes tárolóeszközöket, például külső meghajtókat, USB flash meghajtókat vagy akár belső merevlemezeket is titkosíthatnak. Ez biztosítja, hogy az eszközön lévő összes adat titkosítva legyen, beleértve a rendszerfájlokat és magát az operációs rendszert is, ha szükséges. A teljes lemeztitkosítás különösen hasznos az érzékeny információk védelmére a fizikai eszköz ellopása vagy elvesztése esetén. Teljes lemeztitkosítás használata esetén a felhasználóknak jelszót kell megadniuk vagy egy kulcsfájlt kell használniuk a rendszerindításkor a meghajtó visszafejtéséhez és a tartalmához való hozzáféréshez.

A VeraCrypt segítségével úgy titkosítható a tárolóeszköz, hogy a felhasználó megadja a titkosítandó meghajtót vagy partíciót, és kiválasztja a titkosítási algoritmust. A titkosított tárolókhoz hasonlóan egy erős jelszó vagy kulcsfájl jön létre az adatok biztonságának biztosítása érdekében. A titkosítási folyamat befejezése után az egész eszköz hozzáférhetetlenné válik a megfelelő visszafejtési hitelesítő adatok nélkül. Ez a módszer átfogó védelmet nyújt az olyan hordozható meghajtók számára, amelyek érzékeny információkat tartalmazhatnak.

A Cryptomator egy hatékony eszköz, amelyet kifejezetten arra terveztek, hogy titkosítsa a fájlokat, mielőtt azokat feltöltenénk a felhőalapú tárolószolgáltatásokba. Egyszerűsége és könnyű kezelhetősége ideális megoldássá teszi az érzékeny adatok védelmére olyan platformokon, mint a Google Drive, a Dropbox és a OneDrive. A Cryptomator létrehoz egy titkosított “vaultot” (széfet) a helyi rendszeren, ahol a fájlok biztonságosan tárolhatók a felhővel való szinkronizálás előtt. Ez a vault biztosítja, hogy az adatok titkosítva legyenek az eszközön a feltöltés előtt, így azok olvashatatlanná válnak az illetéktelen felhasználók számára, még akkor is, ha a felhőszolgáltatás veszélybe kerül.

A Cryptomator több platformon is elérhető, többek között Windowson, macOS-en, Linuxon és mobileszközökön, például iOS és Android rendszereken. A telepítés után létrehozhatunk egy titkosított széfet, ahol a fájlokat tároljuk. Ez a vault egy olyan mappában található, amely szinkronizálódik a választott felhőalapú tárolási szolgáltatással, biztosítva, hogy a titkosított fájlok automatikusan feltöltődjenek a normál szinkronizálási folyamat részeként.

Telepítés után indítsuk el a Cryptomatort és hozzunk létre egy új, titkosított széfet az “Add” gombra kattintva: (<<022.4.fig7>).

Ezután válasszuk a “Creat New Vault” lehetőséget, válasszunk nevet és tárolási helyet a széfnek: (A vault helyének kiválasztása a Cryptomatorban). Ez a vault elhelyezhető egy olyan mappában, amely szinkronizálva van a felhőalapú tárhelyszolgáltatással (pl. Google Drive vagy Dropbox mappa).

Eztuán be kell állítanunk egy erős jelszót a széfhez: (Jelszó megadása a Cryptomatorban). Ezzel a jelszóval férhetünk hozzá az összes titkosított fájlhoz.

A vault létrehozása után a Cryptomator a vault feloldását (unlock) és csatlakoztatását (mount) fogja kérni. A feloldáskor egy virtuális meghajtó jön létre a rendszeren. Ez a virtuális meghajtó úgy viselkedik, mint egy normál mappa, lehetővé téve, hogy fájlokat mozgassunk bele és ki belőle: (Cryptomator — a vault feloldása és csatlakoztatása).

A vault csatlakoztatása után elkezdhetjük a fájlok hozzáadását. Egyszerűen húzzuk vagy másoljuk a fájlokat a vaultba. A fájlok hozzáadásakor a Cryptomator automatikusan titkosítja azokat, így biztosítva a széfben tárolt adatok biztonságát.

Ezek a fájlok titkosítva jelennek meg a szinkronizált felhőalapú mappában (pl. Google Drive, Dropbox vagy OneDrive). A virtuális meghajtóról történő megtekintéskor azonban eredeti, titkosítatlan változatukként jelennek meg.

Mivel a vault egy olyan mappában van tárolva, amely szinkronizálva van egy felhővel, minden titkosított fájl automatikusan feltöltődik a felhőbe. Ezek a fájlok titkosított blobokként jelennek meg a felhőben, így az illetéktelen felhasználók nem tudják elolvasni a tartalmukat.

Miután befejeztük a munkát a fájlokkal, zárolhatjuk a széfet, ami leválasztja a virtuális meghajtót, és biztosítja, hogy a titkosított fájlok biztonságban maradjanak. Amikor legközelebb hozzá kell férnünk a széfhez, egyszerűen feloldjuk a jelszó megadásával, így pedig a virtuális meghajtó újra csatlakoztatva lesz, a visszafejtett fájlokkal együtt.

A Cryptomator zökkenőmentes szinkronizálást kínál a felhőalapú tárolási szolgáltatásokkal, biztosítva, hogy titkosított fájlok biztonságosan kerüljenek tárolásra anélkül, hogy további lépéseket kellene tennünk. Amikor például hozzáadunk vagy módosítunk egy fájlt a széfben, az azonnal titkosítva lesz, és szinkronizálódik a felhőszolgáltatással. Ez biztosítja, hogy az érzékeny adatok mindenkor védve legyenek, még a szinkronizálás során is.

A Cryptomator által használt titkosítási eljárás robusztus, és úgy tervezték, hogy mind a titkosítást, mind az integritást biztosítsa. A széfben tárolt fájlok titkosítása AES-256 algoritmussal történik, és minden egyes fájl külön-külön van titkosítva, ami lehetővé teszi a hatékony szinkronizálást, és biztosítja, hogy csak a módosított fájlok kerüljenek újra feltöltésre a felhőbe.

A titkosítási funkciók mellett a Cryptomator vizuális jelzésekkel is segíti a vault kezelését. A vault virtuális meghajtóként jelenik meg a rendszerben, ahol a titkosított fájlok könnyen elérhetők, a zárolás és a feloldás folyamata pedig egyszerű és intuitív. A Cryptomator továbbá nyílt forráskódú, ami azt jelenti, hogy a kódja nyilvánosan elérhető a felülvizsgálathoz, ami az átláthatóság és az eszköz biztonságába vetett bizalom további rétegét adja.

A BitLocker a Microsoft Windows bizonyos kiadásaiba beépített teljes lemeztitkosítási (full-disk encryption) funkció, amely a számítógép merevlemezén lévő teljes kötetek titkosításával védi az adatokat. Erős titkosítási algoritmusok alkalmazásával a BitLocker biztosítja, hogy az eszközön tárolt adatok biztonságban legyenek az illetéktelen hozzáféréstől, még akkor is, ha a fizikai tárolóeszközt ellopják vagy elveszítik. A BitLocker különösen hasznos olyan környezetben, ahol a hordozható eszközökön, például laptopokon vagy külső meghajtókon tárolt adatok biztonsága kritikus fontosságú.

A BitLocker elsődleges funkciója a teljes lemeztitkosítása (full-disk encryption — FDE). A BitLocker az AES algoritmust használja 128 bites vagy 256 bites kulcshosszúsággal, amely erős védelmet nyújt a biztonság megkerülésére irányuló kísérletekkel szemben. A BitLocker a BitLocker To Go funkció révén támogatja a külső meghajtók és cserélhető tárolóeszközök titkosítását is.

A BitLocker egyik legfontosabb jellemzője a rendszer Trusted Platform Module (TPM) moduljával való integráció, amely egy hardveralapú biztonsági komponens, amely sok modern számítógépbe van beépítve. A TPM további védelmi réteget biztosít azáltal, hogy a titkosítási kulcsokat a fő operációs rendszertől elszigetelt, biztonságos környezetben tárolja.

A BitLocker indítás előtti hitelesítés (pre-boot authentication) funkciót kínál, amely növeli a biztonságot azáltal, hogy a felhasználónak a rendszer indítása előtt meg kell adnia egy PIN-kódot vagy egy indítókulccsal (startup key) ellátott USB-kulcsot kell használnia.

A Windows natív funkciójaként a BitLocker szorosan integrálódik az operációs rendszerbe, zökkenőmentes frissítéseket és kompatibilitást biztosít más biztonsági funkciókkal, például a Windows Defenderrel és a Secure Boot-tal. Ez az integráció biztosítja azt, hogy a BitLocker zökkenőmentesen védi az adatokat, miközben fenntartja a rendszer általános stabilitását és használhatóságát.