BestCrypt Volume Encryption
Když mě DriveCrypt Plus Pack (DCPP) naštval svými nechutnými protipirátskými opatřeními, začal jsem pátrat po dalším softwaru. A našel jsem BestCrypt Volume Encryption (BCVE), který byl v té době v beta fázi dostupný každému zdarma. Snad to ode mě bylo neopatrné, použít na svoje data nedokončený šifrovací program, ale měl jsem dobré zkušenosti s firewallem stejného výrobce a riziko nebylo až tak velké (BCVE vychází z BestCryptu, kterému už v té době bylo asi 13 nebo 14 let; navíc všechna data pečklivě zálohuji). Každopádně teď s časovým odstupem mohu říci, že se to vyplatilo – BCVE je super program, který v mnoha ohledech své konkurenty daleko překonává.
To, na čem si firma Jetico u BestCrypt Volume Encryption nejvíce zakládá, je právě to „Volume Encryption“. Ostatní programy vesměs pracují na úrovni fyzických disků (InfoTech CompuSec) nebo partition (DCPP), BCVE jako základní šifrovací jednotku používá svazek. V drtivé většině případů je to skoro to samé, mezi partition a svazkem bývá vztah 1:1. Neplatí to ale vždy – jeden svazek může být rozložen na víc partition, buď pro zvýšení výkonu, spolehlivosti nebo kapacity. Pro koncového uživatele je podstatné to, že BCVE přímo deklaruje podporu pro dynamické disky a pro RAID, což jsou obojí věci, kterým se ostatní šifrovací produkty vyhýbají jako čert kříži. Pravda, když použijete hardwarový RAID, tak by to operační systém ani šifrovací program neměly vůbec poznat, ale jednak většina lidí HW RAID nepoužívá (ne, ty hračky na základních deskách opravdu nelze označit za HW RAID) a druhak, kdyby náhodou došlo k problému, tak výrobce s odkazem na použití nepodporovaného RAIDu pokrčí rameny a máte smůlu.
Zejména v prvních verzích mohl BCVE proti DCPP působit trochu chudě – neměl ve svých funkcích žádné vychytávky jako skrytý operační systém, grafickou přihlašovací obrazovku, ochranu před keyloggery nebo podporu víc různých hesel. Některé z těchto vlastností už získal v dalších verzích, jakkoliv je vesměs lze považovat za pochybné nebo potenciálně pochybné (uznávám vlastně jedinou z těchto funkcí, a to víc hesel k jednomu svazku – ovšem k velmi specifickému účelu, ne k běžnému používání). To hlavní ale podporoval vždy – bezproblémové šifrování systémového disku, šifrování i hibernačního souboru nebo crashdumpů, podporu pro tokeny, podporu pro nejlepší šifrovací algoritmy i šifrovací režimy atd.
Obrovskou výhodou proti DCPP je to, že BCVE hned od začátku řešil nebo v rozumné době vyřešil všechny tři hlavní výhrady, které jsem vůči DCPP měl:
Dokumentace BCVE je velmi podrobná i s ohledem na technické otázky. Pořád ještě by se dala zlepšit, podrobnosti TrueCryptovské dokumentace nedosahuje (například o mechanismu key-strenghtening se nedočtete, přestože ho BCVE podporuje), ale je už dostatečně podrobná na to, aby člověk věděl, na čem je. Výhodou pro Čechy je i kompletní čeština, kterou jsem ve svých volných chvílích zplodil (pro program samotný i pro dokumentaci) a kterou Jetico zahrnulo do oficiální verze produktu.
Ochrana proti kopírování u BCVE vlastně neexistuje. Nákupem licence (mírně levnější než u DCPP) se stanete majitelem licenčního souboru, který stačí naimportovat do BCVE a tím se program plně aktivuje. Nemusíte řešit žádnou aktivaci, nemusíte přegenerovávat licenční soubor v případě upgradu počítače – ten soubor platí jednou provždy tak, jak je. Dokonce by šel použít i na víc počítačích současně, brání tomu jen legislativa a morálka uživatele, ale ne nějaká vynucená opatření ze strany Jetico. Jediným omezením je, že s koupenou licencí máte zaplacený jen rok upgradů (ale to platí i pro DCPP). Víceméně omylem jsem to vyzkoušel (nevšiml jsem si, že už mi upgrade vypršel) a program mě jen slušně upozornil, že právo upgrade mi už vypršelo. Nicméně dovolil aktualizaci nainstalovat s tím, že Jetico doufá, že se mi program líbí a že zaplatím další rok aktualizací. Tomu říkám solidní přístup, a přinejmenším v mém případě to funguje – když je firma takhle slušná ke mě, jsem já tak slušný k ní.
Záchranné procedury byly zpočátku nejslabším místem BCVE – také byly zastoupeny jen DOSovým dešifrovacím programem jako u DCPP. Jetico ovšem poslouchalo přáním svých uživatelů, tedy v tomto případě konkrétně mě, a když jsem sestavil prakticky kompletní plugin pro BartPE, kterému ve funkci bránilo už jen pár drobností, chopilo se toho Jetico a BCVE upravilo tak, aby v PE prostředí fungovalo. Řešení případných potíží se tak stalo hračkou – prostě spustíte Windows PE z CDčka, v něm si spustíte BCVE a můžete přistupovat k šifrovaným diskům, jako by se nechumelilo – tj. oeditovat příslušně registry, vykopírovat si kritické soubory ven, obnovit systémový svazek ze zálohy atd. atd. Plugin se dokonce stal oficiální součástí BCVE a opravy v PE prostředí jsou firmou podporovány.
To je mimochodem další věc, kterou na BCVE oceňuji – k produktům Jetica existuje diskusní fórum, na kterém firma celkem rychle odpovídá na dotazy a řeší případné problémy. BCVE ostatně v průběhu let získal mnohou funkcionalitu, která byla na fóru navržena. Rozhodně to není jako u některých jiných firem, u kterých mám občas pocit, že dotazy a náměty směřují rovnou do koše.
Popravdě řečeno mě nenapadá moc, co by šlo BCVE vytknout. Neumí pár vlastností, na kterých mi nezáleží (skrytý operační systém, centrální administrátorská konzole), podporu pro tokeny by to ještě chtělo vylepšit (že mi program nedetekoval při bootu token a tudíž jsem celý systémový svazek musel obnovit ze zálohy, to mohla být jen smůla na hardware, ale byl bych rozhodně klidnější, kdybych při použití tokenu měl i alternativu v podobě záchranného hesla – nebo kdybych aspoň mohl klíč z tokenu vyexportovat a použít ho samostatně) a je pár drobností, které by mohly být docela fajn, ale celkově vzato jsem spokojen už takhle. Každopádně není nic, co by mě – jako u DCPP – nutilo byť jen informativně se poohlížet po alternativě. Jedinou skutečnou nevýhodou tak zůstává poměrně značná cena (100 Euro).
TrueCrypt je takříkajíc „odzkoušen na lidech“, koneckonců i na mně, používám ho už opravdu dlouho (od verze 6.0). U šifrovaných dat nemá člověk záruku nikde, buď je má, nebo nemá, jakákoliv havárie či nestandardnost v jakémkoliv kryptovacím softu je většinou fatální.
A zrovna TC je v tomto parádní, počínaje od diskusních fór, kde se opravdu věcně radí až po mojí eskapádu se zapomenutou druhou zašifrovanou partition (TC šifrování „celého disku“ s dvěma partition), kdy jsem první omylem zfromátoval a nainstaloval na ní upgrade OS. Pomocí recovery disku a rady na fórech jsem sice za nějaký čas (dešifrování trvalo dva dny), ale nakonec úspěšně data získal zpět… S koupeným DCPP mám bohužel mnohem horší zkušenosti, díky drobnému HW problému na disku u notebooku jsem přišel o všechna, naštěstí nedůležitá, data.
K TrueCryptu se dostanu v dalším dílu. Teď bych to ve stručnosti shrnul tak, že pokud ti chodí, není asi důvod od něj odcházet. Pokud ti nevadí, že u TrueCryptu nemáš ani tu nejmenší záruku čehokoliv.
Mají tyhle programy nějakou zásadní výhodu proti open source (čti zdarma) TrueCryptu? (www.truecrypt.org)
Používám TC již hodnou dobu, aktuálně dokonce na 64-bit Vistách. A k naprosté spokojenosti. Včetně šifrování systémového disku. Osobně mohu doporučit. Myslím, že minimálně většinu výše uvedených záležitostí má TC též.