Jak zaszyfrować pliki tak, aby nikt nie miał do nich dostępu?

Opublikowano 16 marca 2025, autor: Damian Daszkiewicz

Szyfrowanie plików jest bardzo ważnym zagadnieniem, natomiast temat ten często jest lekceważony. Owszem część osób może twierdzi, że nie mają nic do ukrycia. Ale są to pewnie osoby, które używają komputera tylko do czytania newsów i do grania w pasjansa.

Nawet jeśli jesteś przykładnym obywatelem i nie prowadzisz szemranych interesów (np. handel narkotykami, haracze, wymuszenia, pobicia, korumpowanie polityków itp.) to pewnie znalazłoby się kilka plików, których byś nie chciał, aby ujrzały światło dzienne (np. dokumenty zawierające Twoje informacje zdrowotne, finansowe itp.)

Albo zastanów się, czy nie wynosisz z pracy plików zawierających dane wrażliwe. Tak wiem, nie zawsze wolno wynosić takie pliki z pracy, ale jest sporo osób na jednoosobowej działalności gospodarczej np. prawnicy. I taki prawnik może chcieć „wynieść” ze swojego biura jakiś dokument, aby w weekend jak znajdzie wolną chwilę mógł dokończyć pisanie orzeczenia.

Najprostszy sposób to skopiowanie pliku na nośnik pendrive i pilnowanie go, aby nic mu się nie stało. Ale co by było gdyby taki prawnik zgubił pendrive? Albo może jakiś złodziejaszek mu wyrwie aktówkę w której trzyma owy nośnik? Czy zastanawiałeś się ile ciekawych rzeczy może być na takim nośniku?

W przypadku dużych firm problem może być rozwiązany w ten sposób, że pracownik z domu łączy się zdalnie przez szyfrowany kanał z serwerem firmowym, ale jeśli pracujesz w mniejszej firmie to rzeczywistość wygląda tak, że wynosi się pliki na pendrive i wszystko jest dobrze, póki jest dobrze.

Osobiście do szyfrowania plików korzystam z programu VeraCrypt, który jest następcą znanego i cenionego programu TrueCrypt. Dlaczego akurat ten program?

  • Bo go znam
  • Bo jest za darmo 🙂
  • Używam go od około 15 lat (wcześniej korzystałem z TrueCrypta, potem przesiadłem się na VeraCrypta). Nigdy nie miałem jakiś niespodzianek
  • Bo jest otwarto-źródłowy, więc każdy może sprawdzić w kodzie źródłowym, czy w środku nie ma jakiejś „tylnej furtki” (hasła serwisowego)
  • Bo stoi za nim fundacja, która ma siedzibę w Szwajcarii – dodatkową zaletą jest fakt, że Szwajcaria nie należy do UE.
  • Program jest dobrze przemyślany pod kątem technicznym (tj. jeśli nie zapisałeś hasła na karteczce, hasło ma odpowiednią długość to nie ma szans przy obecnym postępie technologicznym odszyfrowania plików; ba nawet nie da się stwierdzić czy na danym nośniku jest zapisany tylko 1 mały plik czy setki milionów).

Tworzenie nowego wolumenu

Aby móc gdzieś przechowywać zaszyfrowane pliki to na początku należy utworzyć nowy wolumen. Można tę sytuację porównać do zakupu nowego nośnika pendrive. Oczywiście wolumenów możesz posiadać kilka – tak jak niektórzy mają kilka różnych nośników pendrive (na jednym trzymają dokumenty firmowe a na innym zdjęcia z imprez rodzinnych), ale na początek wystarczy nam tylko jeden wolumen.

Po uruchomieniu programu VeraCrypt należy kliknąć w przycisk Utwórz wolumen. Pojawi się prosty kreator, gdzie prześledzimy kolejne kroki.

W pierwszym kroku zostawiamy domyślnie zaznaczoną opcję Stwórz zaszyfrowany plik (magazyn). Jest to najprostsza i najbezpieczniejsza metoda przechowywania zaszyfrowanych plików. Owszem można szyfrować całe partycje lub dyski ale to rozwiązanie czasami bywa niewygodne a dodatkowo jeśli „nie czujesz” tego jak działa VeraCrypt to możesz w przyszłości „uszkodzić” zaszyfrowany dysk i bezpowrotnie utracić ważne dane.

W drugim kroku wybieramy Standardowy wolumen VeraCrypt. Możemy też utworzyć ukryty wolumen wewnątrz naszego wolumenu (co jest świetną opcją) ale zanim nie oswoisz się z programem, nie komplikujmy niepotrzebnie procesu tworzenia wolumenu (tym bardziej, że z opcji ukrytych wolumenów raczej za często się nie korzysta)

W kolejny kroku należy wskazać, gdzie ma znajdować się nasz plik magazyn. Ten plik będzie kontenerem (wewnątrz którego w zaszyfrowanej postaci będziemy przechowywać inne pliki). Jeśli nie chcesz afiszować się z tym, że posiadasz jakiś plik zawierający zaszyfrowane dane możesz nadać mu jakąś mało lotną nazwę (np. Wesele Wujka Antka.raw).

Uwaga: jak na poniższym zrzucie ekranu – nie wskazuj pliku, który chcesz zaszyfrować, gdyż będzie on nadpisany. W tym kroku tworzymy nowy plik (tak naprawdę ten plik jest zaszyfrowanym obrazem wirtualnego dysku).

Kolejny krok to wybór algorytmu szyfrowania. Jeśli nie przechowujesz ekstremalnie tajnych danych (np. kody do głowic nuklearnych) to możesz zostawić domyślne ustawienia (szyfrowanie danych algorytmem AES).

Można w tym miejscu zmienić algorytm szyfrowania albo nawet ustawić podwójne szyfrowanie (np. najpierw szyfrujemy dane algorytmem AES a potem te zaszyfrowane dane dodatkowo szyfrujemy innym algorytmem). Jednak takie podwójne albo nawet potrójne szyfrowanie spowalnia działanie programu.

W następnym kroku podajemy wielkość naszego magazynu. Warto przemyśleć ile miejsce będziemy potrzebowali na nasze pliki gdyż podając zbyt mały rozmiar magazynu późniejsze jego zwiększenie nie będzie możliwe (albo będzie bardzo niewygodne).

W tym kroku podajemy hasło do naszego magazynu. Hasło powinno być skomplikowane (najlepiej około 20 znaków, małe duże litery znaki specjalne). Owszem możesz ustawić nawet dwuliterowe hasło (ale tylko wtedy, gdy przechowujesz mało istotne dane, które chcesz ukryć przed kimś mało technicznym).

Jednak złamanie dwuliterowego hasła dzisiaj nie jest żadnym wyczynem. Można powiedzieć, że ten krok to najistotniejszy czynnik wpływający na Twoje bezpieczeństwo, dlatego jeśli chcesz, aby nikt się nie dobrał do Twoich plików utwórz bezpieczne hasło).

Możesz rozważyć opcję używania plików kluczy, ale nie chcę komplikować opisu tego artykułu, dlatego ja się skupię na zwykłym 20 znakowym haśle.

Uwaga: jeśli chcesz korzystać z plików kluczy to warto jest wykonać kopię bezpieczeństwa takiego pliku-klucza. Jeśli go stracisz, to już nigdy nie dostaniesz się do swoich plików. Dobrze jest wykonać KILKA kopii tego klucza na różnych nośnikach (np. możesz ten klucz skopiować na dwa różne nośniki pendrive, wysłać do siebie na maila i zapisać na jakimś dysku sieciowym). Pamiętaj, że nieszczęścia się zdarzają. Mnie kilkukrotnie się zdarzyło, że pendrive, który leżał 2 lata w szufladzie po tym czasie sam z siebie się zepsuł. Dlatego trzymanie kopii tylko na jednym nośniku pendrive jest dość mocno ryzykowne!

W kolejnym kroku (tak na zaś) zachęcam do zmiany Nie na Tak przy pytaniu czy planujemy na naszym nośniku przechowywać duże pliki.

W kolejnym kroku zachęcam do zmiany systemu plików z FAT (lub exFAT) na nowocześniejszy NTFS (obecnie każdy współczesny system operacyjny obsługuje system plików NTFS).

No chyba, że będziesz montował wolumen pod jakąś dystrybucją Linuxa, która w pełni nie wspiera tego systemu plików to zostaw FAT/exFAT. Wykonaj trochę losowych ruchów myszą, aż ten pasek na dole nie będzie zielony i kliknij w przycisk Sformatuj.

W zależności od rozmiaru tworzonego wolumenu i szybkości dysku twardego na którym tworzymy wolumen formatowanie może potrwać od kilku sekund do nawet (w skrajnych przypadkach) kilku godzin.

Na moim komputerze utworzenie 20 GB wolumenu na wewnętrznym dysku SSD zajęło około 80 sekund. Dla kontrastu podam inny przykład: formatowanie całego dysku twardego o pojemności 4 TB podłączanego przez USB trwało kilka godzin.

Gdy pojawi się informacja o zakończeniu formatowania możesz już zamknąć okno kreatora.

Podłączanie nowego wolumenu

Gdy utworzyliśmy nasz kontener to możemy zacząć pracę. Zawsze, gdy chcesz zapisać plik (lub odczytać z niego pliku) na nowo utworzonym zaszyfrowanym wolumenie należy najpierw go podłączyć. Można to porównać do włożenia nośnika pendrive do portu USB.

W tym celu w głównym oknie programu wybierz literę dysku, jaką przypiszemy naszemu wolumenowi. Ja zwyczajowo wybieram jakąś końcową literę alfabetu, ale równie dobrze możesz wybrać dowolną literę. Następnie kliknij w przycisk Wybierz plik i wskaż wcześniej utworzony plik.

W kolejnym kroku w polu wolumen powinna pojawić się ścieżka do wskazanego przez nas pliku (u mnie jest to D:\pomiary\pomiary.raw). Kliknij w przycisk Podłącz

Pojawi się okno dialogowe: Wprowadź hasło. Wpisz hasło i kliknij w przycisk OK.

Jeśli wszystko przebiegło poprawnie (montowanie wolumenu może potrwać nawet kilkanaście sekund) to po chwili w oknie programu pojawi się informacja o zamontowaniu nowego wolumenu.

Jak widzimy mam w tej chwili „zamontowany: nowy wolumen jako dysk Z: o pojemności 20 GB, który jest szyfrowany algorytmem AES (dla przeciętnego użytkownika ta informacja jest mało istotna) i jest to zwykły wolumen.

Mogę oczywiście mieć podłączonych kilka różnych wolumenów w tym samym czasie.

Od teraz mogę na dysku Z: zapisywać różnego rodzaju pliki. System Windows widzi tak, jakby to był zwykły dysk (pendrive). Poniżej prezentuję zrzut ekranu z programu Ten komputer.

W ramach ćwiczenia możesz na ten dysk Z: skopiować jakieś przykładowe pliki. Póki ten wolumen jest zamontowany możesz go traktować tak, jakby to był zwykły pendrive (lub dysk twardy podłączany do portu USB) tj. możesz np. otworzyć Worda, sporządzić notatkę i zapisać ją na tym dysku.

Odłączanie wolumenów

Jeśli skończyłeś pracę z tajnymi danymi możesz odłączyć wolumen (jest to operacja podobna do wyciągnięcia nośnika pendrive z portu USB).

Zanim jednak przystąpisz do odłączania wolumenu upewnij się, że wszystkie programy korzystające z plików na tym wolumenie są zamknięte. Następnie w głównym oknie programu VeraCrypt zaznacz na liście liter wolumen, który chcesz odłączyć i kliknij w przycisk Odłącz. Od teraz program Ten komputer nie powinien już widzieć dysku Z:

Uwaga: Wolumeny są automatycznie odłączane w momencie wyłączania komputera.

Uwagi końcowe

  1. Wszystkie pliki, które zapisywałem na wirtualnym dysku Z: tak naprawdę siedzą wewnątrz pliku magazynu (u mnie jest to plik D:\pomiary\pomiary.raw). Ten plik to tak naprawdę zaszyfrowany obraz dysku.
  2. Plik magazynu jak najbardziej możesz przenosić pomiędzy komputerami. Wystarczy, że na innym komputerze również masz zainstalowany program VeraCrypt.
  3. Jeśli chcesz bezpiecznie przenosić dokumenty firmowe pomiędzy firmowym a domowym komputerem na pendrive to możesz utworzyć taki plik magazyn bezpośrednio na pendrive.
  4. Jeśli zapomnisz jakie masz hasło do magazynu to bezpowrotnie tracisz dostęp do plików. Nie ma czegoś takiego jak „hasło serwisowe”.
  5. Tutaj opisałem jedynie podstawową funkcjonalność programu VeraCrypt. Ma on dużo więcej opcji (np. możliwość szyfrowania dysku na którym jest zainstalowany system operacyjny – jest to świetna alternatywa dla Windowsów w wersji Home, które nie posiadają BitLockera). Być może z czasem opiszę coś więcej, ale zanim zaczniesz bawić się bardziej zaawansowanymi funkcjami tego programu warto jest dobrze przećwiczyć pracę z plikami magazynami, aby „poczuć filozofię pracy z tym programem”. Szyfrowanie całych partycji może i wydaje się lepszym pomysłem, ale wkładając taki nośnik do portu USB może pojawić się komunikat systemu Windows z informacją, że dysk nie był sformatowany i zachęta do jego sformatowania. Na skutek nieuwagi można utracić dane. Dlatego dla własnego bezpieczeństwa na początku przygody z programem VeraCrypt pracuj tylko z plikami magazynami, które są najmniej kłopotliwe w użytkowaniu.
Jeśli artykuł Ci się podobał, będę wdzięczny gdy go udostępnisz w mediach społecznościowych

Powiązane wpisy:

  1. Kompresowanie plików z hasłem
  2. Jak wyłączyć blokowanie makr dla plików pobranych z Internetu?
  3. Jak zablokować wykonywanie się skryptów języka Python w Excelu?
  4. Bezpieczne obchodzenie się z samorozpakowującymi się archiwami (SFX)
Ten wpis został opublikowany w kategorii Bezpieczeństwo i oznaczony tagami , , . Dodaj zakładkę do bezpośredniego odnośnika.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *