Suojaa digitaalinen jäämistösi salasanalla

Henkilökohtainen elämä pyörii yhä enemmän tietotekniikan varassa. Silloin myös digitaalisia jälkiä ja dokumentteja jää yhä enemmän. Osa niistä halutaan jättää jälkipolville, osa pimittää ikuisesti. Lisäksi on muitakin salaisuuksia, joita työ- tai vapaa-ajan ulkopuolella ei haluta muiden silmille.

Toimistosovelluksissa, kuten Excel ja Word, on mahdollisuus tallentaa tiedostot salasanasuojattuina. Tiedosto kerrallaan tehtynä se on kuitenkin työlästä, etenkin jos salasanaa halutaan vaihtaa. Lisäksi voi olla valokuvia, ääntä ja multimediaa, jonka tiedostomuodossa ei ole valmista salausta. 

Miten siis salata tiedostoja helposti niin, että ne ovat vain omassa tai haluttujen henkilöiden käytössä?

Windowsissa on sisäänrakennettu zip-pakkaus, jonka pystyi aiemmin suojaamaan salasanalla. Ehkä salaus oli murrettavissa, mutta joka tapauksessa Microsoft poisti salausominaisuuden. 

Kiinnostavaa kyllä, aiemmin salasanasuojattuja paketteja pystyi purkamaan uudemmillakin Windowseilla, mutta uusien tekeminen ei enää onnistunut. En tiedä, onko tämä toiminto vielä voimassa. Varmuuden vuoksi pitää etsiä apua muualta. 

7-Zip on pakkausohjelmista suositeltavin. Sen kotisivu on https://www.7-zip.org/. Asennuksen jälkeen tiedostoja voi pakata salasanasuojattuina suoraan pikavalikosta. Ohjelman oma tiedostohallinta (File Manager) on jossain määrin kömpelö ja näyttää vanhahtavalta. Kokenut käyttäjä voi automatisoida rutiineja komentoriviä hyödyntämällä.

7Zip File Manager

Salausmenetelmänä on 256-bittinen AES, joka on varmasti turvallinen. Salasana määritellään tiedostoa pakettiin lisättäessä:

Tiedoston salausasetukset.

Sitten tulee kuitenkin ikäviä yllätyksiä.

• Oletusarvona tiedostonimiä ei salata, jolloin paketissa olevat nimet näkyvät ja voivat paljastaa jo liikaa. Kannattaa siis rastittaa Encrypt file names. Ellei tiedostonimiä ole salattu, ne näkyvät Windowsin omalla avaustoiminnolla, vaikkei 7-Zip-ohjelmaa olisi edes asennettu. 
• Salasanat ovat tiedostokohtaisia, eivät pakettikohtaisia. Jos pakettiin vedetään uusia tiedostoja tiedostohallinnasta, ne tallentuvat oletusarvona salaamatta.
• Onko tiedosto salattu vai ei näkyy ainoastaan + ja - merkeillä (kuva yllä, punainen kehys).

Ja tietenkin ongelmana on, että käsiteltävä tiedosto on purettava katsomista tai muokkaamista varten, minkä jälkeen se pitää pakata uudelleen ja on vaara, että pakkaamaton versio unohtuu levylle.

Macissä on valmis pakkaustoiminto, mutta siinäkään ei ole salasanasuojausta. 7-Zipillä pakatut ja salatut tiedostot se kyllä avaa, mutta uusia ei voi luoda. Ohjelmasta ei edes ole natiivia GUI-versiota, vain merkkipohjainen.

7-Zip ei selvästikään ole optimaalinen ratkaisu salaustarpeisiin. Sekä Onedrivessa että Dropboxissa on maksullisena lisätoimintona salattu holvi, jonka avaaminen vaatii vahvan tunnistamisen. Se toimii työelämässä, mutta ei ehkä henkilökohtaisessa käytössä - etenkään jos haluaa suojata jotain tiedostoja perikunnan uteliailta silmiltä.

Ratkaisu on VeraCrypt (veracrypt.io). Sillä luodaan tavallinen tiedosto (container) eli salasäiliö, joka ohjelmalla avattuna  (mount) muuttuukin levyasemaksi. Tiedostoja voidaan avata ja käsitellä suoraan salatun aseman sisällä. Käytön jälkeen asema suljetaan (unmount), jolloin se näkyy taas tavallisena (salattuna) tiedostona.

Varmuuden vuoksi salasäiliön voi perustaa pilvipalveluun, mutta jos asema on kovin iso, synkronointi hidastuu epäkäytännöllisen paljon, sillä ohjelmat eivät yleensä osaa synkronoida vain tiedoston muuttuneita kohtia.

VeraCryptissä on paljon muitakin toimintoja. Suojausta voi vahvistaa avaintiedostolla, salausalgoritmin voi itse valita lukuisista eri vaihtoehdoista, salasäiliö voidaan piilottaa ja koko levystä voidaan tehdä yksi iso salasäiliö. Ohjelma osaa hyödyntää prosessorin valmiita AES-käskyjä, mikä tekee salauksesta erittäin nopeaa. Säiliöitä voi olla useita eri tarpeita varten.

Tässä pitäisi olla ruutukuva ohjelman toiminnasta, mutta tietoturvasyistä ruutukuvia ei voi ottaa. Kuvat näkyvät vain harmaina alueina. Asennuksen yhteydessä voi sallia kuvien ottamisen, mutta sitä ei suositella, koska automaattiset ruudunkuvausohjelmat voivat kaapata näytöltä tietoja.

Oletusarvona ruutukuvat on estetty, ja sellaisena se kannattaa pitääkin.

Ainoa hankaluus on ohjelman asentamisessa, sillä ohjelma tarvitsee matalan tason pääsyn tiedostoihin ja ajurin sitä varten. Tietokone pitää yleensä käynnistää uudelleen asennuksen jälkeen. Macissä asennus osoittautui niin monivaiheiseksi, että jätin sen kesken. Ennen VeraCryptiä pitää asentaa macFUSE, joka vaatii järjestelmäoikeuksia ja koneen uudelleenkäynnistystä. 

Mac-asennus on tavallistakin työläämpi.

Nörttimäisenä yksityiskohtana sekä 7-Zpissä että VeraCryptissä on sisäinen nopeustesti, jolla voi vertailla koneiden nopeuksia. VeraCryptin tapauksessa se havainnollistaa myös eri salaus- ja tiivistefunktioiden suoritusaikojen eroa.