Szyfrowanie całego dysku systemowego
Dlaczego warto szyfrować cały dysk?
Full Disk Encryption (FDE) chroni wszystkie dane na dysku – pliki systemowe, tymczasowe, pliki stronicowania, hibernacji i usunięte pliki, które nadal mogą być odzyskane.
- Ochrona przy kradzieży laptopa – złodziej nie uzyska dostępu do danych
- Zgodność z RODO – szyfrowanie jest jednym z zalecanych środków ochrony danych osobowych
- Pre-boot authentication – hasło wymagane przed uruchomieniem systemu
Przygotowanie do szyfrowania
- Kopia zapasowa – wykonaj pełny backup wszystkich danych
- Wyłącz BitLocker – jeśli jest aktywny, odszyfruj dysk
- Naładuj laptop – podłącz do zasilania, przerwa w szyfrowania może uszkodzić dane
- Przygotuj USB/CD – potrzebny do utworzenia Rescue Disk
Proces szyfrowania krok po kroku
- VeraCrypt → System → Encrypt System Partition/Drive
- Typ szyfrowania: Normal (lub Hidden dla ukrytego OS)
- Zasięg: Encrypt the whole drive
- Liczba systemów: Single-boot (jeśli tylko Windows)
- Algorytm: AES (najszybszy dzięki AES-NI)
- Ustaw silne hasło
- Wygeneruj losowe dane (poruszaj myszką)
- Utwórz Rescue Disk – obowiązkowy krok!
- Tryb wymazywania: None (szybsze) lub 1-pass (bezpieczniejsze)
- Uruchom Pretest – restart z pre-boot authentication
- Po pomyślnym preteście: Encrypt
Rescue Disk – dysk ratunkowy
Rescue Disk jest obowiązkowy przed rozpoczęciem szyfrowania. Służy do:
- Naprawy bootloadera VeraCrypt gdy zostanie uszkodzony
- Odtworzenia nagłówka wolumenu po uszkodzeniu
- Trwałego odszyfrowania dysku w sytuacji awaryjnej
Wpływ na wydajność
Dzięki sprzętowej akceleracji AES-NI wpływ na wydajność jest minimalny:
| Operacja | Bez szyfrowania | Z szyfrowaniem AES |
|---|---|---|
| Sekwencyjny odczyt SSD | ~550 MB/s | ~520 MB/s (5% spadek) |
| Sekwencyjny zapis SSD | ~500 MB/s | ~470 MB/s (6% spadek) |
| Losowy odczyt 4K | ~50k IOPS | ~47k IOPS (6% spadek) |
Kaskada AES-Twofish-Serpent obniża wydajność o ok. 20-30%, ale zapewnia maksymalne bezpieczeństwo.
Najczęściej zadawane pytania
Czy mogę zaszyfrować dysk z UEFI i Secure Boot?
Tak, ale Secure Boot musi zostać tymczasowo wyłączony. VeraCrypt nie obsługuje Secure Boot z powodów bezpieczeństwa (nie chce zależeć od kluczy Microsoftu).
Co się stanie gdy zapomnę hasła?
Bez hasła i Rescue Disk dane są permanentnie niedostępne. VeraCrypt celowo nie ma backdoorów. Używaj menedżera haseł!
Czy aktualizacje Windows mogą uszkodzić szyfrowanie?
Drobne aktualizacje nie wpływają na szyfrowanie. Przed dużymi aktualizacjami (np. zmiana wersji Windows) zalecamy tymczasowe odszyfrowanie dysku.
Jakub Sierak jest specjalistą w zakresie informatyki stosowanej w e-commerce. Specjalizuje się w zagadnieniach prawnych e-commerce, ochronie prywatności i bezpieczeństwie danych biznesowych. Szczególnie poświęcił się zagadnieniom związanym z narzędziami do szyfrowania danych lokalnie jak i w chmurze oraz technikom trwałego usuwania danych. Absolwent informatyki Politechniki Poznańskiej – zarówno specjalizacji związanej z inteligencją biznesową, jak i systemami baz danych. Na rynku funkcjonuje od 1998 roku, prowadzi firmę konsultingową netea.pl. Przez kilkanaście lat był związany z Grupą Kapitałową Komputronik, w szczególności ze spółką integracyjną Komputronik Biznes. Dziś tworzy wiele projektów biznesowych związanych z e-commerce, wykorzystaniem AI w marketingu i sprzedaży. Jest marketerem stosującym wiedzę informatyczną w zarządzaniu, marketingu i sprzedaży.