Jak na šifrování dat a ochranu systému - 7. díl

„Chraňte svá digitální data“, ozývá se ze všech stran. Přesto varování nevnímáme a často zanedbáváme. Omílané téma má své opodstatnění, toho ale doznáme, když už je příliš pozdě. Podívejte se, jak svůj digitální život včas chránit.

<< předchozí díl | následující díl >>

Zálohování

Jak už bylo zmíněno výše, zálohu certifikátu vám systém nabídne automaticky hned po prvním zašifrování souboru či složky. Pokud tuto výzvu přeskočíte (jako jsme učinili v minulých dílech), je nutné provést později zálohu ručně. Nutno zmínit, že záloha certifikátu a privátního klíče je nadmíru důležitá, pokud byste z jakéhokoliv důvodu o svůj privátní klíč přišli (ať už systémovou nebo lidskou chybou), nebude možné vaše zašifrovaná data použít (pakliže v systému neexistuje agent obnovení, viz dále).

Principem zálohy je ve skutečnosti pouhý export vašeho certifikátu a privátního klíče, tedy postup je úplně stejný, jako ten, který jsme si ukázali v minulém díle. Export tedy proveďte a výsledný zaheslovaný .PFX soubor z počítače přesuňte (tak aby v počítači nezůstal) na vyměnitelné médium typu optický disk, flash disk a podobně. Toto médium bezpečně uschovejte tak, abyste k němu měli přístup pouze vy sami.

Vytvoření Agenta obnovení

Systém Windows poskytuje ještě další vrstvu zabezpečení certifikátů a privátních klíčů uživatelů. Tímto nástrojem je tzv. agent obnovení, jakýsi další virtuální uživatel, pro nějž vygenerujeme dvojici certifikát a privátní klíč. Kdykoliv si potom některý z uživatelů daného počítače zašifruje nějaký soubor, operační systém jej automaticky zašifruje také pro agenta obnovení. Pokud tedy přijdete o svůj privátní klíč, agent obnovení vám pomůže data dešifrovat.

Nejprve vygenerujme certifikát a privátní klíč pro agenta obnovení. Tyto kroky může učinit i běžný uživatel (bez administrátorských práv), avšak nemá to valný smysl (viz následující díl), tedy se nejprve přihlaste pod účtem lokálního administrátora.

1. Stiskněte klávesovou zkratku Win+R, vepište cmd a potvrďte klávesou Enter.
2. V příkazovém řádku zadejte příkaz cipher /R:racert a stiskněte Enter.
   
3. Program vás vyzve k zadání hesla pro ochranu privátního klíče. Zadejte dostatečně silné heslo a stiskněte Enter (dvakrát).
4. Nyní ve svém uživatelském adresáři (pravděpodobně C:/Users/vaše_jméno) naleznete dvojici souborů racert.cer a racert.pfx. První z nich je certifikát, druhý nese certifikát i privátní klíč.

Dvojici certifikát – privátní klíč již máme, nyní vytvoříme samotného agenta obnovení:

1. Stiskněte klávesovou zkratku Win+R, vepište secpol.msc a potvrďte klávesou Enter.
2. V otevřené konzoli Místní zásady zabezpečení v levém podokně rozbalte složku Zásady veřejných klíčů a klikněte na Systém souborů EFS.
3. V horním menu Akce zvolte Všechny úkoly -> Přidat agenta obnovení.
   
4. V otevřeném průvodci klikněte na Další a v následujícím okně za pomocí tlačítka Procházet složky vyhledejte certifikát racert.cer, který jsme vygenerovali v předchozím postupu.
5. Pokračujte tlačítkem Další. Nakonec zvolte Dokončit.

V tuto chvíli již existuje agent obnovení, což v praxi znamená to, že kdokoliv od nynějška zašifruje nějaký soubor, operační systém tento soubor zašifruje rovněž pro námi vytvořeného agenta obnovení.

Náplní příštího dílu bude postup, jakým přidělit jednotlivým uživatelům právo obnovovat zašifrované soubory a jak toto právo zase odebrat.