Oletko suojannut laitteesi salasanalla? Hyvä.

Mikrobitin oppaassa kerrotaan, miten suojaus yleisesti eri laitteilla tapahtuu.

Pelkkä salasanasuojaus ei monissa tapauksissa pitkälle riitä. Se korkeintaan hidastaa hieman tietoihin käsiksi pääsyä, jos murtautujalla on laite hallussaan.

Tavallista pc:n kiinto- tai ssd-levyä voi lukea vaivatta käyttöjärjestelmän ohi joko asentamalla massamuisti toiseen koneeseen tai käynnistämällä tietokone toiseen käyttöjärjestelmään. Puhelinten ja tablettien massamuistien lukeminen tällä tavoin on hankalampaa, mutta onnistuu oikealla osaamisella ja välineillä.

Jotta massamuistin salauksesta olisi hyötyä, on laiteessa oltava kirjautumissalasana tai pääsykoodi. IOS-laitteissa salaus on aina päällä.

Huomaa myös, että salauksen käyttöönotto tekee ajantasaisista varmuuskopioista entistä tärkeämpiä. Esimerkiksi kiintolevyrikon yhteydessä tietojen palauttaminen salatulta asemalta voi olla ammattilaisillekin tyystin mahdotonta. Salauksen käyttö hidastaa useimmissa tapauksissa hieman tiedostojen luku- ja kirjoitusnopeuksia, mutta tehokkailla nykytietokoneilla tämä on harvemmin mainittava ongelma.

Miten salataan massamuisti Windowsissa

Ei kuluttajille. Kokonaisten asemien BitLocker-salaus on tarjolla vain Windowsin ammattiversioissa.

Windowsissa mahdollisuudet salata koko tietokoneen sisältö ovat valitettavan sekavat. Windowsissa on ollut jo pitkään ollut sekä tiedosto- ja kansiokohtainen efs-salaus sekä osiokohtainen BitLocker-salaus, mutta ne ovat saatavilla ainoastaan ammattikäyttäjien versioissa. Windowsin kotikäyttäjille mahdollisuutta efs:n tai BitLockerin käyttöön ei anneta.

Ammattiversion käyttäjät voivat ottaa BitLockerin käyttöön Ohjauspaneelin kohdasta Hallitse BitLockeria. Salaus otetaan käyttöön jokaiselle asemalle erikseen, ja asemien käyttö vaatii tämän jälkeen Windows-käyttäjätilistä erillisen salasanan syöttämistä.

Efs-salaus puolestaan otetaan käyttöön klikkaamalla tiedostoa tai kansiota hiiren kakkospainikkeella ja valitsemalla Ominaisuudet, sitten Lisäasetukset ja ruksaamalla kohta Suojaa tiedot salaamalla sisältö.

Efs:llä suojattua sisältöä avatessa ei tarvita erillistä salasanaa, vaan kirjautuminen Windowsiin riittää. Jos tietoja yritetään lukea käyttöjärjestelmän ohitse, niitä ei saa auki. Kumpaakin salaustapaa käytettäessä on tärkeää varmuuskopioida käytetty salausavain varmaan paikkaan, jotta tiedot säilyvät, vaikka Windows-asennus vioittuisi. Windows muistuttaa tästä salausta käyttöönotettaessa.

Windows 10 sisältää uuden laitesalauksen (device encryption), joka on tarjolla myös kotikäyttäjille. Siihen liittyy kuitenkin liuta rajoituksia: laitteen on oltava secure boot -tilassa, sisällettävä tpm 2.0 -moduuli ja tuettava InstantGo-teknologiaa. Suuri osa uudehkoista Windows-läppäreistä ja -tableteista täyttää vaatimukset, jos secure bootia ei ole kytketty uefi-asetuksista pois päältä. Lisäksi Windowsiin on kirjauduttava Microsoft-tilillä. Tämä johtuu siitä, että käytetty salausavain voidaan laitesalausta käytettäessä varastoida vain Microsoftin OneDriveen.

Kolme vaihtoehtoa. VeraCryptillä voi salata järjestelmälevyn, ei-järjestelmälevyn tai luoda olemassa olevalle levylle salatun tiedostosäiliön.

Laitesalauksen voi kytkeä päälle Windowsin Asetukset-paneelin kohdasta Järjestelmä > Tietoja. Rullaa ikkunan alareunaan – mikäli laitteisto on salauksen kanssa yhteensopiva, salaus voidaan kytkeä päälle nappia painamalla. Monissa tapauksissa se on jo oletusarvoisesti käytössä. Mikäli ikkunassa ei näy mitään salaukseen liittyvää, laite ei tue salausta.

Mikäli salauksen tukea ei ole ja käytössä on Windowsin kotiversio, on ainoa mahdollisuus turvautua ulkopuoliseen ratkaisuun. Niistä suosituimpiin kuuluu avoimen koodin VeraCrypt. Sen avulla voi joko luoda virtuaalisen, kiintolevyllä tiedostona näkyvän salatun levyosion tai salata kokonaisen osion. Myös Windowsin sisältävän osion salaaminen onnistuu. VeraCrypt ei ole tavattoman helppokäyttöinen, mutta mitään salatiedettäkään sen hyödyntäminen ei ole. Kunhan salaus on kertaalleen saatu kuntoon, on itse salattujen osioiden käyttö vaivatonta.

Miten salataan massamuisti MacOS:issa

Simppeliä. Filevault-salaus otetaan käyttöön nappia painamalla – siinä kaikki.

MacOS:ssä FileVaultiksi nimetyn koko kiintolevyn salauksen käyttöönotto on erittäin suoraviivaista. Valitse omenavalikosta Järjestelmäasetukset, sieltä kuvake Suojaus ja yksityisyys ja välilehti FileVault. Klikkaa ikkunan alareunassa olevaa lukkoa, syötä järjestelmänvalvojan salasana ja paina nappia Laita FileVault päälle.

Tämän jälkeen valitaan vielä, tallennetaanko salausavain Applen iCloudiin vai paikallisesti. Jälkimmäisessä tapauksessa sen säilymisestä on pidettävä hyvää huolta, jottei tietoja menetetä.

Massamuistin salaaminen kestää jonkin aikaa. Kunhan se on valmis, on suojaus käytössä, eikä mitään ylimääräistä tarvitse tehdä.

Miten salataan massamuisti Linuxissa

Tuttu sovellus. VeraCrypt toimii myös Linuxissa, mutta järjestelmälevyn salaus ei sillä onnistu.

Linuxissa salauksen käyttöönoton yksityiskohdat riippuvat miltei kaiken muun tavoin käytetystä levityspaketista ja muista yksityiskohdista.

Mikäli käyttöön halutaan koko levyosion salaus, on vaivattomin vaihtoehto yleensä ottaa se käyttöön jo asennusvaiheessa – jos käytetty levityspaketti sen sallii. Muun muassa Ubuntussa ja Linux Mintissä salaus vaatii vain yhden ruksin valitsemisen asennusvaiheessa. Koko levyn salaamisen ohella voi valita myös vain käyttäjän kotikansion salauksen.

Järjestelmäosion salaaminen jälkikäteen on Linuxissa työlästä. Lisäksi se hankaloittaa myös huomattavasti Linuxin ja Windowsin käyttöä samassa koneessa.

Ruksi paikoilleen. Ubuntun asennusvaiheessa järjestelmälevyn salaus onnistuu helposti.

Usein vaivattomampi vaihtoehto onkin käyttää vain kotikansion salausta, salata erillinen levyosio tai käyttää levyllä sijaitsevia salattuja varastoja eli kontteja.

Tämä onnistuu samoin kuin Windowsissa esimerkiksi VeraCrypt-ohjelmistolla, joka toimii useimmissa suosituissa Linux-levityspaketeissa. Toisin kuin Windowsissa, Linuxissa VeraCrypt ei pysty salaamaan järjestelmäosioita.

Miten salataan massamuisti Androidissa

Tehokkaammissa Android 6:lla tai Android 7:llä varustettuina myydyissä puhelimissa ja tableteissa on käytännössä aina päällä salaus: Android 6 -laitteissa koko massamuistin salaus, Android 7 -laitteissa uudempi tiedostopohjainen salaus. Aiemmasta Android-versiosta päivitettyjä ja halpoja, heikkotehoisia laitteita asia ei kuitenkaan koske, ja niissä salaus ei useimmiten ole päällä automaattisesti. Sama pätee Android 6:tta eli Marshmallow’ta varhaisempia käyttöjärjestelmiä pyörittäviin laitteisiin.

Android-puhelimen salaus aloitetaan asetusvalikosta. Toimenpiteen peruuttaminen onkin sitten hankalampaa.

Oman laitteen salaustilanteen voi tarkistaa Androidin asetusvalikon kohdasta Suojaus tai Turvallisuus. Sivun kohdassa Salaus lukee ”Salattu”, mikäli jokin salaustapa on jo käytössä.

Muussa tapauksessa kyseisessä kohdassa lukee Salaa puhelin, ja tätä painamalla massamuistin salaus voidaan käynnistää. Salausprosessi voi kestää laitteen suorituskyvystä riippuen jopa tunteja, ja laitteen on sen aikana oltava kytkettynä verkkovirtaan.

Etenkin vanhemmissa, halvemmissa tai muuten heikkotehoisissa Android-laitteissa salauksen käyttöönotto voi hidastaa toimintaa huomattavasti. Pahimmillaan hidastava vaikutus on turhauttavan suuri. Valitettavasti hidastumisen astetta ei voi helposti kokeilla, sillä mikäli salaus halutaan poistaa käytöstä on koko massamuisti tyhjennettävä.

Käytännössä vanhan Android-laitteen käyttäjän on siis valittava kahdesta huonosta vaihtoehdosta. Puhelin on joko turvaton tietovarkauksilta tai tuskastuttavan hidas.

Vanhan Android-laitteen tietoturva on tosin muutenkin kyseenalainen vanhentuneen käyttöjärjestelmän takia, joten arkaluontoinen tieto kannattaa joka tapauksessa käsitellä turvallisemmilla laitteilla.

Juttu julkaistu Mikrobitin heinäkuun numerossa. Bitti on saatavilla sekä paperilehtenä että digiversiona.