Muistitikun tai kovalevyn salaus on tärkeää jos käsittelet arkaluontoisia tiedostoja ja haluat varmistaa ettei ulkopuoliset tahot voi päästä niihin käsiksi vaikka kadottaisit laitteesi tai menettäisit sen hallinnan.
Tämä prosessi onnistuu todella helposti hyödyntäen Windowsin omaa BitLocker ohjelmistoa, jolla voit salata ja asettaa salasanan mille tahansa sisäiselle kovalevylle tai USB-muistilaitteelle.
BitLocker ei ole käytettävissä vanhemmissa Windows versioissa tai MacOS:llä, joten näytämme myös miten levyjen ja flash-muistin salaus onnistuu helposti ja nopeasti suositulla avoimen lähdekoodin työkalulla, VeraCryptillä. Suojaus on myös huomattavasti tehokkaampi ja monimutkaisempi, joka myös hidastaa aseman käyttöönottoa verrattuna BitLockerin helppouteen.
VeraCryptillä voi salauksen lisäksi luoda piilotettuja partitoita tupla-salasanojen avulla, joiden olemassaoloa ei voi todistaa saati sitten avata ilman kyseisiä salasanoja. Näiden toimintalogiikka on selitetty tarkemmin artikkelin lopussa.
Formatoi kovalevy tai muistitikku oikeaan muotoon
Jotta tiedostosi voi salata, täytyy levyn olla oikeassa tiedostoformaatissa, eli NTFS-formaatissa. Teimme artikkelin levyjen formatoinnista josta selviää mitä muita mahdollisia formaatteja voit käyttää levyilläsi ja miksi, mutta tässä tapauksessa tarvitsemme yleisimmän, eli NTFS muodon.
Tarkistaaksesi onko levysi jo sopivassa formaatissa, mene ’Tämä tietokone’ -alueelle josta näet kaikki nykyiset tietokoneeseen kytketyt laitteet ja asemat. Pääset kyseiseen näkymään myös resurssienhallinnan kautta, klikkaamalla ’Tämä tietokone’ -ikonia vasemman reunan valikosta.
Seuraavaksi klikkaa haluamaasi levyä tai laitetta oikealla hiiren näppäimellä ja valitse ’Ominaisuudet’. Avautuvasta ikkunasta näet missä formaatissa levysi on. Jos tiedostojärjestelmän kohdalla lukee NTFS, voit ohittaa tämän osion ja jatkaa Bitlockerin asentamiseen.
Jos tiedostojärjestelmänä lukee jokin muu formaatti, esimerkiksi FAT32, täytyy levy formatoida. Tämä on onneksi hyvin helppoa, mutta kaikki kyseisellä levyllä olevat tiedostot katoavat prosessissa, joten muista varmuuskopioida ne ensin toiselle levylle.
Formatoidaksesi levyn, klikkaa sitä taas oikealla hiirenpainikkeella ja valitse ’Alusta…’. Tämä avaa alustusikkunan josta täytyy tiedostojärjestelmäksi valita NTFS.
Muut asetukset voi jättää oletuksiksi, ja aseman nimen voi tietysti asettaa haluamakseen. Klikkaa lopuksi ’Käynnistä’ -nappia aloittaaksesi formatoinnin.
Nyt levysi on oikeassa formaatissa ja voit siirtyä salaamaan sen Bitlockerin avulla seuraavaan osioon.
Levyn tai tietokoneen salaus Bitlockerilla
Nyt voimmekin siirtyä itse asiaan ja käynnistää Bitlockerin ohjauspaneelin. Tämä onnistuu helposti kirjoittamalla aloitusvalikon hakuun ’Bitlocker’ ja valitsemalla ’Hallitse BitLockeria’ -vaihtoehdon. Tämä avaa hallintapaneelin josta näet kaikki salattavissa olevat levyt ja asemat.
Voit laajentaa asemien tiedot oikeassa reunassa olevista nuolista ja klikata sitten ’Ota BitLocker käyttöön’ -linkkiä haluamasi aseman vierestä.
Seuraavaksi pääset valitsemaan tunnistautumistavan, tässä tapauksessa salasanan. Kirjoitettuasi salasanan, siirry seuraavaan valintaan josta saat tallennettavaksesi palautusavaimen jos satut unohtamaan salasanasi. Voit valita haluamasi, mutta tiedostoon tallentaminen tallentaa avaimen tekstitiedostoon jonka voit helposti siirtää turvaan minne tahansa.
Huom!
Jos unohdat salasanasi JA palautusavaimesi, et voi enää päästä käsiksi tiedostoihisi ja pitää koko levy alustaa uudelleen. Varmista siis että tallennat palautusavaimesi luotettavaan paikkaan!
Seuraavaksi täytyy valita haluatko salata vain tulevat uudet tiedostot vai koko levyn, eli kaikki tiedostot. Valitse siis ylempi vaihtoehto jos salaat uutta tai tyhjää asemaa jolla ei ole tarpeellisia tiedostoja, sillä se on huomattavasti nopeampi prosessi kuin koko levyn salaus.
Jos taas olet salaamassa käytössä olevaa levyä joka on jo täynnä tärkeitä tiedostoja, valitse alempi vaihtoehto salataksesi kaikki, nykyiset ja tulevat tiedostot.
Seuraavaksi täytyy valita salaustilaksi joko uusi tehokkaampi salaustila tai vanhempi yhteensopiva tila. Jos olet salaamassa sisäistä kovalevyä tai muuta levyä jota tulet käyttämään vain uusissa Windows 10- tai 11 käyttöjärjestelmissä, valitse uusi salaustila. Jos taas olet salaamassa usb-muistitikkua tai muuta laitetta jota saatat käyttää vanhemmissakin koneissa, valitse yhteensopivuustila.
Seuraavaksi pääsetkin aloittamaan salauksen. Onnistuneen salauksen jälkeen näet BitLocker-ikkunasta että BitLocker on nyt käytössä ja ’Tämä tietokone’ -alueellakin näkyy nyt lukon kuva levyn ikonina, riippuen onko lukitus avattu vai ei.
Jos levyn päällä on lukko, voit avata sen tuplaklikkaamalla levyä ja kirjoittamalla salasanasi avautuneeseen ponnahdusikkunaan.
Tämän jälkeen pääset käsiksi tietoihisi kunnes poistat muistitikun koneestasi tai kovalevyn tapauksessa käynnistät koneesi uudelleen.
Jos salasit käyttöjärjestelmäaseman, avautuu aina tietokonettasi käynnistäessä koko ruudun kokoinen BitLocker-ikkuna johon täytyy kirjoittaa salasana, jotta tietokoneen käynnistys alkaa. Tämän jälkeen salasanaa ei tarvitse kirjoittaa uudelleen ennen seuraavaa käynnistystä, joten siitä ei koidu lisävaivaa.
Kovalevyn salaus ja piilottaminen VeraCryptillä
Jos haluat tehokkaamman salauksen tai jopa piilottaa tiedostoja tai käyttöjärjestelmiä muiden näkyviltä, VeraCrypt on siihen täydellinen ilmainen työkalu.
VeraCrypt on huomattavasti monimutkaisempi ja näin myös monipuolisempi ja se mahdollistaa paljon tehokkaamman salauksen.
On tärkeää ymmärtää että salatessasi ulkoisen kovalevyn tai muistitikun VeraCryptillä, täytyy VeraCrypt ohjelmisto käynnistää jotta sillä salatun levyn voi avata (mount), joten sinun täytyy ladata VeraCrypt niille koneille joilla haluat levyn avata. Ohjelmasta on myös ladattavissa portable-versio jota ei tarvitse erikseen asentaa. Tätä avausprosessia ei kuitenkaan tarvitse tehdä erikseen salatulle käyttöjärjestelmäasemalle.
Aloittaaksesi salausprosessin, avaa VeraCrypt Format.exe joka avaa salausikkunan.
Oikean salausformaatin valitseminen
Eteesi aukeaa VeraCrypt Volume Creation Wizard, josta saamme salattua haluamamme aseman tai levyosion.
Ensimmäinen vaihtoehto eli Encrypted File Container luo yhden salatun ”kansion” valitsemallesi levylle. Tämän kansion voit sitten avata VeraCryptillä salasanasi avulla, jolloin se aukeaa uutena levynä ’Tämä tietokone’ -alueelle (esimerkki salauksen avaamisesta on tämän osion lopussa). Tämä on helppo ja nopea vaihtoehto jos haluat nopeasti salata muutamia kansioita tai tiedostoja.
Toinen vaihtoehto eli Encrypt a non-system partition salaa sisäisen- tai ulkoisen kovalevyn tai muistitikun jolla ei ole käyttöjärjestelmää asennettuna. Valitse siis tämä jos haluat salata kokonaisia asemia tai levyjä, mutta et käyttöjärjestelmääsi. Jos salaat käyttöjärjestelmälevysi, voit myös myöhemmin asettaa nämä muutkin levyt avautumaan automaattisesti käyttöjärjestelmälevyn kanssa käyttäen System Favorite Volumes toiminnallisuutta.
Kolmas vaihtoehto eli Encrypt the system partition salaa levyn jolla on käyttöjärjestelmä asennettuna.
Tässä esimerkissä salaamme saman muistitikun kuin BitLocker esimerkissä, jolloin tulee valita keskimmäinen vaihtoehto.
Mikä on piilotettu asema ja tarvitsenko sitä?
Seuraavaksi täytyy valita haluaako luoda tavallisen (Standard) vai piilotetun (Hidden) salauksen tai osion (Volume). Useimmiten tavallinen on sopiva valinta, jos et omista todella ’riskialttiita’ tiedostoja.
Salainen osio luo kaksi erillistä osiota samaan asemaan tai tiedostoon, joille molemmille asetetaan omat salasanansa. Ensimmäinen osio on niin sanottu ’valeosio’ jolle voit laittaa joitakin satunnaisia tarpeettomia tiedostoja jotta se näyttää uskottavalta. Tämä osio aukeaa valitsemallasi salasanalla.
Piilotettu osio aukeaa tismalleen samalla tavalla, mutta vain jos kirjoitat toisen salasanasi.
Salaisen osion olemassaoloa ei voi ulkopuolinen taho selvittää, sillä VeraCrypt täyttää kaiken tyhjän tilan satunnaisella datalla, jolloin ei voi päätellä onko olemassa pelkkä tavallinen vai useampi levyosio.
Syynä kahdelle salasanalle on se, jos vaikkapa henkeäsi uhataan tai viranomaiset pakottavat sinua paljastamaan salasanasi, voit antaa ’valeosion’ salasanan eikä sieltä löydy kuin tarpeettomat tiedostosi.
Piilotetun käyttöjärjestelmäosion tapauksessa VeraCrypt luo ’tyhjän’ käyttöjärjestelmän joka aukeaa toisella salasanallasi, kun taas toinen avaa oikean käyttöjärjestelmäsi ja sen tiedostot.
Jos siis omistat tiedostoja tai materiaalia jotka mielestäsi tulisi piilottaa, on tämä varma tapa pitää ne muiden ulottumattomissa, kunhan muistat tehdä ’pääsalasanastasi’ tarpeeksi turvallisen.
Voit lukea lisää piilotetusta asemasta VeraCryptin sivuilta.
Esimerkissämme valitsimme tavallisen aseman eli Standard VeraCrypt volumen.
Aseman valinta ja salauksen kirjoitustapa
Valittuasi haluamasi osiotyypin, täytyy valita asema tai levyosio jonka haluat salata. Avataksesi valintaikkunan, klikkaa ’Select Device…’ -painiketta.
Valitse listasta haluamasi laite jonka salata. Jos haluat salata kokonaisen levyn, täytyy sen sisältää vain yksi partitio jotta VeraCrypt suostuu salaamaan koko levyn. Muussa tapauksessa täytyy ensin poistaa tai yhdistää erilliset osiot, mutta sitä emme käy läpi tässä ohjeessa.
Seuraavaksi täytyy valita tapa jolla salaus kirjoitetaan levylle.
Ensimmäinen vaihtoehto on nopeampi, sillä se poistaa kaikki tiedostot salattavalta levyltä, joten valitse se ainoastaan uusille tai tyhjille levyille tai asemille.
Alempi vaihtoehto mahdollistaa tiedostoja sisältävän levyn salauksen, mutta se on TODELLA hidas prosessi, sillä kaikki tiedostot täytyy tällöin ensin lukea, salata ja kirjoittaa takaisin levylle.
Salaus-algoritmit ja salasanan luominen
Lopuksi täytyy valita salauksessa käytettävät algoritmit. Vaihtoehtoja on monia, mutta oletuksena valitut AES ja SHA-512 ovat hyviä vaihtoehtoja.
Seuraavaksi voit valita levyjaon koon jos ei ole salaamassa kokonaista osiota, jonka jälkeen täytyy asettaa salasana. Jos olet luomassa piilotettua osiota, yleisesti on järkevämpää luoda heikko salasana ’valeosiolle’ ja todella vahva salasana piilotetulle osiolle jota ei voi vahingossa arvata esimerkiksi brute-force hyökkäyksellä.
Viimeisessä osiossa voit valita haluamasi tiedostojärjestelmätyypin ja samalla luodaan salausavain liikuttelemalla hiirtä satunnaisesti ikkunan sisällä. Ikkunan alareunassa olevasta palkista näet kuinka tehokas salaus tällä hetkellä tulee olemaan.
On suositeltavaa odotella palkin täyttymistä kokonaan, mutta tämä hidastaa myös salausprosessia huomattavasti. Kun olet tyytyväinen salauksen tasoon, klikkaa ’Format’ -nappia aloittaaksesi salauksen.
Esimerkkinä yllä olevassa kuvassa, täysi salaustaso vei ’nopeammalla’ salausvaihtoehdolla, eli tyhjällä levyllä, yli 20 minuuttia 14 gigatavun muistitikulle. Tämä on moninkertainen kesto verrattuna esimerkiksi BitLockeriin.
Näin avaat salatun VeraCrypt aseman
Jos nyt menet resurssienhallintaan tarkastelemaa koneeseen kytkettyjä asemia, voit nähdä juuri salaamasi aseman, mutta siinä ei näy tarkempia tietoja eikä Windows osaa avata sitä.
Avataksesi salatun asemasi, käynnistä VeraCrypt.exe tiedosto VeraCryptin asennuskansiostasi.
Avautuneesta ikkunasta klikkaa oikeasta alakulmasta ’Select Device…’ jos salasit muistitikun tai aseman. Valitse ’Select File…’ jos teit salatun kansion eli Encrypted File Container:in. Valitse aukeavasta ikkunasta haluamasi laite tai tiedosto.
Lopuksi valitse pääikkunan listasta mikä tahansa levyaseman kirjan, esimerkissä valitsimme A:n, ja klikkaa sen jälkeen vasemman alakulman ’Mount’ -painiketta. Kirjoita salasanasi avautuneeseen ikkunaan.
Jos nyt menet takaisin resurssienhallintaan, voit huomata että sinne on ilmestynyt uusi levyasema valitsemallasi kirjaimella. Kyseinen levy on salaamaton versio levystäsi ja pääset siihen nyt käsiksi.
Voit halutessasi sulkea VeraCrypt ohjelman ja salattu levysi pysyy aukinaisena. Kun haluat sulkea avatun asemasi, mene takaisin VeraCrypt ohjelmaan, valitse levysi ja klikkaa vasemman alakulman ’Dismount’ -painiketta.
Nyt tiedostosi ovat taas suojassa eikä niihin pääse kukaan käsiksi ilman VeraCrypt ohjelmaa ja salasanaasi.
VeraCrypt salauksen poistaminen
Salauksen kokonaan poistaminen levyltä onnistuu myös samaisen ikkunan kautta.
Ainoa asia mitä täytyy tehdä on valita salattu asema tai tiedosto samoin kuin yllä ja navigoida sitten oikeasta yläreunasta Volumes > Permanently decrypt jolloin aukeaa salauksen poistoikkuna.
Joudut tietysti kirjoittamaan purkutyökaluun salasanasi ja varmistamaan että sinulla on varmuuskopio tiedostoista ennen prosessin aloittamista jos jotain menee vikaan.
Huomaa, että VeraCrypt ei voi purkaa piilotetun osion salausta, joten jos haluat palauttaa piilotetun aseman tavalliseksi, täytyy se ensin avata normaalisti VeraCryptillä ja kopioida tiedostot talteen johonkin ’ei-piilotettuun’ sijaintiin.
Tämän jälkeen voit normaalisti purkaa levyn salauksen ja piilotettu alue yli-kirjoitetaan ja kaikki sille jääneet tiedostot poistetaan.
VeraCrypt on todella mielenkiintoinen ja monipuolinen ohjelma, mutta tämä myös tarkoittaa ettei kaikkea voi millään selittää yhdessä ohjeessa, joten suosittelemme lukemaan VeraCryptin omista ohjeista lisätietoja eri mahdollisuuksista ja riskeistä.
Useimmille BitLocker on riittävä salaus, sillä sen ollessa heikompi, se on huomattavasti kätevämpi, nopeampi ja käyttäjäystävällisempi vaihtoehto, sen ollessa osa Windows käyttöjärjestelmää.
