Szyfrowanie dysku — BitLocker vs VeraCrypt

Twój laptop siedzi w kawiarni, gdy wychodzisz do toalety. Oddajesz stary komputer do skupu. Zostawiasz pendrive w kieszeni kurtki, która trafia do prania. W każdym z tych scenariuszy ktoś, kto wejdzie w fizyczny posiadanie twojego nośnika, może odczytać z niego dane — chyba że dysk jest zaszyfrowany.

Szyfrowanie dysku to jedna z tych rzeczy, która kosztuje cię 30 minut konfiguracji raz i potem działa w tle niewidocznie. Dla pracowników z dostępem do danych firmowych lub po prostu osób z prywatnymi dokumentami na laptopie to nie opcja, lecz standard.

Jak działa szyfrowanie dysku

Szyfrowanie dysku szyfruje wszystkie dane na nośniku przy użyciu klucza kryptograficznego. Bez tego klucza dane wyglądają jak losowy szum — nie można ich odczytać ani uruchomić systemu operacyjnego. Klucz jest odblokowywany przez hasło, PIN, lub moduł TPM (Trusted Platform Module) — chip bezpieczeństwa wbudowany w większość nowoczesnych płyt głównych.

Dwa najpopularniejsze narzędzia na Windows to BitLocker (wbudowany w system) i VeraCrypt (darmowy, open source). Na macOS jest FileVault — odpowiednik BitLockera.

---

BitLocker — dla większości użytkowników Windows

Wymagania

• Windows 10 lub 11 w wersji Pro, Enterprise lub Education (wersja Home nie ma BitLockera)
• Procesor z modułem TPM 2.0 (większość laptopów wyprodukowanych po 2016 roku)

Wersja Home Windows ma uproszczone szyfrowanie urządzenia — włącza się automatycznie po zalogowaniu na konto Microsoft, ale bez pełnych opcji konfiguracji.

Jak włączyć BitLocker

1. Otwórz Eksplorator plików, kliknij prawym przyciskiem na dysk C: → Włącz funkcję BitLocker
2. Wybierz metodę odblokowania: PIN (zalecane) lub automatyczne przez TPM
3. ZAPISZ KLUCZ ODZYSKIWANIA — to najważniejszy krok. Masz opcje:
   • Zapisz na konto Microsoft (łatwe, ale zaufasz Microsoftowi)
   • Zapisz do pliku (kopiuj na pendrive trzymany osobno)
   • Wydrukuj
4. Wybierz, co szyfrować: Szyfruj cały dysk (bezpieczniejsze, wolniejsze dla nowych dysków) lub tylko zajęte miejsce (szybsze, wystarczy dla nowych komputerów)
5. Wybierz tryb szyfrowania: Nowy tryb szyfrowania (XTS-AES, dla dysków stacjonarnych) lub Tryb zgodności (dla wymiennych dysków, które będą używane na starszych Windows)
6. Kliknij Uruchom szyfrowanie — dla 500 GB dysku zajmuje ok. 1-2 godziny

Jak ustawić PIN do BitLockera

Domyślnie BitLocker może odblokowywać się automatycznie przez TPM bez pytania o hasło. To wygodne, ale nie chroni przed atakami, gdy komputer jest uruchomiony. Zalecam ustawienie PIN-u:

1. Wejdź w Zarządzanie funkcją BitLocker (wyszukaj w Start)
2. Przy dysku C: kliknij Zmień sposób odblokowywania dysku przy uruchomieniu
3. Wybierz Wprowadź kod PIN

Pamiętaj: jeśli zapomnisz PIN, możesz odblokować dysk kluczem odzyskiwania. Jeśli zapomnisz i PIN, i nie masz klucza — danych nie odzyskasz.

Klucz odzyskiwania — gdzie go przechowywać

To 48-cyfrowy kod numeryczny. Zapisz go w minimum dwóch miejscach poza komputerem:

• Wydrukowany i trzymany w domu (np. w dokumentach)
• W menedżerze haseł → Co to jest menedżer haseł? Jak działa i czy warto?
• Na pendrive przechowywanym oddzielnie od laptopa
• Na koncie Microsoft (jeśli ci ufasz)

Nigdy nie zapisuj klucza odzyskiwania na tym samym dysku, który jest zaszyfrowany.

---

VeraCrypt — dla zaawansowanych i użytkowników Windows Home

VeraCrypt to następca popularnego TrueCrypt. Jest darmowy, open source, działa na Windows, macOS i Linux. Nadaje się dla:

• użytkowników Windows Home (bez BitLockera)
• osób, które nie ufają zamkniętemu oprogramowaniu
• tych, którzy chcą szyfrować pojedyncze foldery lub kontenery zamiast całego dysku
• użytkowników Linuksa i macOS szukających alternatywy dla FileVault

Trzy tryby użycia VeraCrypt

1. Zaszyfrowany kontener (plik-sejf)

Tworzysz jeden duży plik (np. 50 GB) — „kontener” — który po zamontowaniu w VeraCrypt wygląda jak zwykły dysk. Wkładasz do niego tajne dokumenty, odmontowujesz, plik wygląda jak losowe dane.

To najbezpieczniejsza opcja, jeśli chcesz chronić tylko część danych, nie cały dysk.

2. Szyfrowanie partycji lub dysku zewnętrznego

VeraCrypt może zaszyfrować cały dysk zewnętrzny lub pendrive. Przydatne, gdy chcesz mieć zaszyfrowany nośnik przenośny.

3. Szyfrowanie partycji systemowej (dysk C)

Najbardziej zaawansowana opcja — szyfruje dysk systemowy Windows. Przy uruchomieniu komputera VeraCrypt pyta o hasło przed wczytaniem systemu. Wymaga więcej wiedzy technicznej.

Jak stworzyć zaszyfrowany kontener w VeraCrypt

1. Pobierz VeraCrypt z veracrypt.fr (sprawdź podpis cyfrowy!)
2. Uruchom, kliknij Create Volume → Create an encrypted file container → Standard VeraCrypt volume
3. Wybierz lokalizację i nazwę pliku kontenera
4. Wybierz algorytm szyfrowania: domyślny AES z SHA-512 jest w porządku
5. Ustaw rozmiar kontenera (np. 20 GB)
6. Ustaw hasło — minimum 20 znaków, najlepiej passphrase → Jak stworzyć bezpieczne hasło? Praktyczny poradnik
7. Poruszaj myszą losowo przez 30 sekund (generuje entropię do klucza)
8. Kliknij Format

Żeby otworzyć kontener: w głównym oknie VeraCrypt wybierz wolną literę dysku, kliknij Select File, wskaż plik kontenera, kliknij Mount, wpisz hasło. Kontener pojawi się jako normalny dysk w Eksploratorze.

Ukryty wolumen — zaawansowana ochrona

VeraCrypt oferuje unikalną funkcję: ukryty wolumen. Jeden kontener ma dwa hasła — jedno otwiera „oficjalną” partycję z niegroźnymi danymi, drugie otwiera ukrytą partycję z prawdziwymi danymi. Jeśli ktoś cię zmusi do podania hasła, dajesz hasło do fałszywej partycji — i nie ma możliwości udowodnienia, że istnieje ukryta.

---

BitLocker vs VeraCrypt — porównanie

	BitLocker	VeraCrypt
Cena	bezpłatny (w Windows Pro)	bezpłatny
System	Windows Pro/Enterprise	Windows, macOS, Linux
Konfiguracja	prosta (kilka kliknięć)	bardziej złożona
Zaufanie	zamknięte źródło (Microsoft)	open source, audytowany
Odzyskiwanie	klucz 48-cyfrowy	brak centralnego odzyskiwania
Ukryty wolumen	nie	tak
Dyski wymienne	tak	tak
Audyt kryptograficzny	brak publicznego	tak (2016, 2017)

Kiedy BitLocker: masz Windows Pro, chcesz prostotę, szyfrowanie całego dysku systemowego.

Kiedy VeraCrypt: masz Windows Home, używasz Linuksa/Mac, chcesz open source, potrzebujesz ukrytego wolumenu, albo chcesz szyfrować tylko wybrane pliki/kontenery.

---

FileVault na macOS

Na macOS odpowiednikiem BitLockera jest FileVault. Włączysz go w Ustawieniach systemowych → Prywatność i bezpieczeństwo → FileVault. Apple domyślnie pyta czy klucz odzyskiwania ma być powiązany z Apple ID — możesz też wybrać lokalny klucz. Przechowaj go tak samo jak klucz BitLockera.

---

Szyfrowanie pendrive’ów

Zaszyfrowany dysk główny to jedno, ale dane wyciekają też przez niezaszyfrowane pendrive’y. Opcje:

• BitLocker To Go (Windows Pro) — kliknij prawym na pendrive w Eksploratorze → Włącz BitLocker
• VeraCrypt na pendrivie — szyfruje partycję, działa na każdym systemie
• Kingston IronKey — pendrive ze sprzętowym szyfrowaniem AES-256 i mechanizmem autodestrukcji po 10 błędnych próbach PIN. Kosztuje ok. 200-400 zł za 16-32 GB, ale to jedyne rozwiązanie, które działa bez instalowania oprogramowania.

Więcej o bezpieczeństwie danych przeczytasz w → Kopie zapasowe danych — reguła 3-2-1 dla domu i → Bezpieczne korzystanie z internetu — kompletny przewodnik

---

Co zrobić teraz?

1. Sprawdź czy masz Windows Pro: Start → Ustawienia → System → Informacje → Wersja systemu Windows. Jeśli Pro — możesz włączyć BitLocker.
2. Włącz BitLocker na dysku C: jeśli masz Windows Pro, zrób to dziś. Zajmie 30 minut konfiguracji + czas szyfrowania dysku.
3. Zapisz klucz odzyskiwania w minimum dwóch miejscach poza komputerem — wydrukuj i włóż do dokumentów, zapisz też w menedżerze haseł.
4. Zaszyfruj dyski zewnętrzne i pendrive’y — szczególnie te, na których masz dokumenty i zdjęcia.
5. Jeśli masz Windows Home: pobierz VeraCrypt i stwórz zaszyfrowany kontener dla najważniejszych dokumentów.