Vertrouwelijke gegevens kun je weliswaar met Windows-eigen methoden afschermen, denk aan ntfs-machtigingen, maar zo’n beveiliging stelt eigenlijk niet veel voor. In de meeste gevallen volstaat het de pc met bijvoorbeeld een live Linux-cd op te starten om de beveiliging te omzeilen en alsnog toegang te krijgen tot de data.

Nu bevatten de duurdere Windows-versies ook wel ingebouwde encryptietechnieken – namelijk efs (voor versleuteling van aparte bestanden en mappen) en BitLocker (voor versleuteling van partities) – maar Microsoft heeft in het verleden al vaker bewezen dat zijn cryptografische functies niet altijd even betrouwbaar zijn. Te denken valt aan de versleuteling van Office-documenten, het ntlm-verificatieprocotol, efs in Windows 2000, enzovoort: stuk voor stuk encryptiemethoden die vaak eenvoudig te kraken bleken.

Gelukkig zijn er ook degelijke(re) en gratis alternatieven. Een van de bekendste is TrueCrypt (www.truecrypt.org), een tool die al vaker aan bod is gekomen in PCM. Minder bekend, maar stevig als een huis, is DiskCryptor. Toegegeven, de tool laat zich iets lastiger bedienen dan TrueCrypt en de documentatie is opvallend beperkter, maar wie op zoek is naar een krachtige encryptieoplossing heeft aan DiskCryptor een uitstekende tool. Aan de slag!

Stap 1: DiskCryptor installeren

De recentste versie van DiskCryptor haal je van de site van de ontwikkelaar zelf: diskcryptor.net. Tenzij je Russisch machtig bent, surf je rechtstreeks naar diskcryptor.net/wiki/Main_Page/en. Daar vind je rechts een Download-knop met links naar de broncode en het eigenlijke installatiepakket van zowel de bètaversie 1.0.732 (die wij verder in dit artikel gebruiken) als de wat oudere, maar stabiel verklaarde 0.9.593-versie.

Het gedownloade dcrypt_setup.exe-bestand voer je vervolgens uit als administrator. De tool draait onder Windows XP of hoger (zowel 32- als 64-bits) en ondersteunt zowel fat(12/16/32) als ntfs als exfat. Naar verluidt kan DiskCryptor ook met raidvolumes overweg (dit hebben we niet getest). De installatieprocedure zelf stelt niet veel voor: even op Ja klikken, vijfmaal op Next en afronden met Install en Finish. Het programma vereist wel een herstart van je systeem.

Stap 2: Datapartitie selecteren

Meteen na de herstart kun je met DiskCryptor aan de slag. In het hoofdvenster worden automatisch alle herkende schijven opgesomd, met onder meer de stationsletter, grootte, label, type en status. We beginnen voorzichtig en versleutelen eerst een datapartitie of usb-schijf – een mooie oefening voor we ons aan de encryptie van onze systeempartitie wagen. Toch raden we je ook voor dit scenario aan eerst een complete backup of image te maken van de partitie die je wilt versleutelen – of veiligheidshalve zelfs van je complete harde schijf!

Heb je dat voor elkaar, klik dan de beoogde schijf(partitie) in het overzicht van DisckCryptor aan. Onderaan krijg je nu wat feedback over de geselecteerde schijf(partitie), maar die is behoorlijk ‘technisch’. Verzeker je er dus van dat je echt de juiste schijf(partitie) hebt aangeklikt – met een dubbelklik op de schijfletter krijg je de inhoud in de Verkenner te zien: een extra geruststelling dus.

Stap 3: Datapartitie voorbereiden

Zodra je de gewenste schijf(partitie) hebt geselecteerd, klik je op Encrypt. Je krijgt al meteen de vraag met welk versleutelingsalgoritme je aan de slag wilt. Je kunt kiezen uit aes-256, Twofish of Serpent. Een combinatie van twee of zelfs alle algoritmes is eveneens mogelijk. Het voordeel van zo’n combinatie? Zelfs als een van de algoritmes gekraakt wordt, zijn je data nog altijd door de andere beveiligd. De impact van deze algoritmes op de prestaties van de – versleutelde – schijf kun je overigens snel uitvissen via het menu Tools, Benchmark. Je leest dan per algoritme de geschatte leessnelheid van de schijf af. Je zult merken, hoe zwaarder de encryptie(s), hoe meer belasting, maar het moet gezegd: wij ondervonden nauwelijks prestatieverlies.

Keuze gemaakt? Dan kun je nog aangeven of je de schijfinhoud wil ‘wipen’. In tegenstelling tot wat je zou vermoeden, worden tijdens dit proces geen gegevens verwijderd. Wat er wél gebeurt, is dat DiskCryptor tijdens het versleutelen alle gegevens sector per sector naar het geheugen kopieert, de gegevens op schijf vervolgens shredt en vervolgens de versleutelde data terug op schijf plaatst. Een extra beveiligingsmaatregel voor érg privacybewuste gebruikers dus.

Stap 4: Partitie versleutelen

Zodra je de Encrypt-knop aanklikt, moet je natuurlijk een wachtwoord invullen. Het heeft weinig zin een stevig encryptiealgoritme te kiezen om vervolgens een makkelijk te kraken – laat staan: te raden – wachtwoord te gebruiken. Zorg er dus voor dat je ‘wachtwoordrating’ minstens op medium komt te staan (bij voorkeur zelfs op high of unbreakable). Een alternatief is dat je een ‘sleutelbestand’ inzet. Plaats een vinkje bij Use keyfiles, klik op Keyfiles, Generate Keyfile, kies een geschikte (en veilige) locatie en naam, selecteer het bestand en klik op OK. Wachtwoord of sleutelbestand ingesteld? Bevestig met OK. De encryptie gaat meteen van start. Afhankelijk van je algoritme(s) en de snelheid van je processor mag je rekenen op circa (!) 1 GB per minuut. Een heel karwei, dus. In principe blijven alle originele gegevens op die partitie intact, maar zoals gezegd: eerst een backup of image geeft extra zekerheid. Als je het echt nodig acht, kun je het encryptieproces wel onderbreken via de Pause-knop en het proces weer in gang zetten met Encrypt.

Stap 5: Partitie mounten

Standaard wordt de zonet geëncrypte partitie automatisch gemount. Dat betekent concreet dat je die zonder meer kunt gebruiken en bijvoorbeeld openen in de Verkenner. Wil je uitvinden of de beveiliging werkt, selecteer dan die partitie en klik op Unmount. Die blijkt nu niet langer toegankelijk, tot je weer Mount aanklikt en uiteraard het bijhorende wachtwoord opgeeft of naar het sleutelbestand verwijst. Wil je de versleutelde partitie automatisch ook bij het opstarten van Windows gemount zien? Dat bepaal je via Tools, Settings: op het tabblad General plaats je dan een vinkje bij Enable automounting at Boot Time. Dat blijkt echter jammer genoeg alleen te werken als je ook je systeempartitie hebt versleuteld (zie stappen 6 en 7) en als je de partitie met een wachtwoord hebt afgeschermd (en niet met een sleutelbestand). Overigens vind je in het Settings-venster nog wel een paar andere interessante opties, zoals het automatisch unmounten bij het afmelden of het grondig wissen van gecachte wachtwoorden. Verder vind je in het Tools-menu de mogelijkheid om een header van zo’n versleutelde partitie te backuppen en eventueel weer te herstellen: doen dus!

Stap 6: Bootloader installeren

Voordat je je systeempartitie versleutelt, is het belangrijk dat je de bootrecord van je schijf zo aanpast dat je eerst om het wachtwoord van je – versleutelde – systeemschijf zult vragen. We gaan ervan uit dat je over een singlebootsysteem beschikt, al dan niet met bijkomende datapartities. Open Tools, Config Bootloader. Bij Bootloader place kies je HDD master boot record, waarna je onderaan de juiste harde schijf (wellicht is dat HardDisk 0) selecteert en vervolgens op Install Loader klikt. De mbr (master boot record) wordt nu door een DiskCryptor-versie vervangen. Voor je met stap 7 verder gaat, raden we je aan je systeem nu te herstarten. Als het goed is, krijg je net na het opstarten de melding Enter password: te zien. Zodra je op Enter drukt, neemt Windows de fakkel over.

Stap 7: Systeemschijf versleutelen

Nu pas versleutel je de systeemschijf: dat gaat op dezelfde manier als we in stap 4 hebben beschreven. Voordat je de pc te herstart, loop je nog even door het menu Tools, Config Bootloader. Selecteer hier nogmaals de schijf met je systeempartitie en kies Change Config. Ga na of de Keyboard Layout wel correct staat ingesteld voor jouw toetsenbord (QWERTY, QWERTZ of AZERTY), zodat je straks niet denkt dat je wachtwoord onterecht niet wordt aanvaard. Bevestig met Save Changes en encrypt de systeemschijf. Wanneer je nu de pc herstart, zul je wel het bijhorende wachtwoord moeten intikken om te kunnen doorstarten.

Stap 8: Bootloader aanpassen

Je kent intussen al de weg naar de instellingen voor de bootloader (zie vorige stap). Daar bevinden zich nog enkele andere opties die je aandacht verdienen (hoewel we niet de ruimte hebben ze hier allemaal te bespreken). Op het tabblad Authentication kun je de standaardmelding (enter password:) ook gewoon weglaten of vervangen door iets als ‘Non-system disk or disk error’, zodat derden niet vermoeden dat je systeem wachtwoordbeveiligd is. In dat geval kies je bij Show entered password het best ook Hide entered password. Wat er precies moet gebeuren wanneer iemand een foutief wachtwoord invoert, bepaal je op het tabblad Invalid password. Je kunt bijvoorbeeld een vinkje plaatsen bij Use incorrect password action […] en onderaan de actie Reboot system kiezen. Het vak bij Invalid password message laat je leeg. Op die manier verhul je al behoorlijk goed dat je systeem beveiligd is.

Stap 9: Externe bootloader configureren

Wil je de beveiliging nog wat aanscherpen en het hele scenario behoorlijk wat James Bond-gehalte meegeven, dan kun je de speciale bootloader bijvoorbeeld ook op een usb-stick plaatsen − of meteen op twee, zodat je er eentje in je kluis kunt stoppen.

Dat gaat als volgt. Sluit een usb-stick aan, open Tools, Config Bootloader. In het uitklapmenu kies je bij Bootloader place deze keer Bootable partition (USB-Stick, et cetera). Selecteer de stick, kies Install Loader (eventueel laat je de stick nog snel even herformatteren). Zorg ervoor dat de stick nog altijd is geselecteerd en klik op Change Config. Belangrijk is in elk geval dat je bij Booting Method nu First Disk MBR kiest of eventueel Specified partition, waarna je onderaan naar de juiste (!) systeempartitie verwijst.

Herstart nu je systeem vanaf die stick en controleer of het ook op die manier lukt om van je harde schijf op te starten. Ziet alles er goed uit, dan kun je nu de speciale bootloader op de mbr van je harde schijf weghalen (ga naar Config Bootloader, selecteer de juiste harde schijf en klik op Remove Loader). Je systeem start nu alleen nog maar op via je stick!

Stap 10: Installatie ongedaan maken

Er kleven natuurlijk wel een paar beperkingen aan zulke versleutelde partities: je kunt ze bijvoorbeeld niet langer herschalen en je mag geen tools gebruiken die de partitie direct benaderen (buiten de Windows-api om). Wil je DiskCryptor ooit weer kwijt, dan ontsleutel je uiteraard eerst alle geëncrypte partities. Dat kan door die te mounten  en vervolgens op Decrypt te klikken. De gemodificeerde bootloader herstel je (zie vorige stap) en ten slotte haal je het programma zelf weg via Uninstall DiskCryptor.