Wındows için Dosya ve Klasör Şifreleme yöntemleri

Windows 10 işletim sisteminde dahili ve harici disklerin şifrelenmesi veya dosya ve klasör şifreleme işlemi için kullanabileceğiniz farklı araçlar bulunmaktadır. Bitlocker , WinRar, Windows Dosya Sistemi Şifrelemesi, VeraCrypt, Microsoft Office bu amaç için yaygın olarak kullanılan araçlardandır. Genel olarak, bu şifreleme araçlarının diğer Windows işletim sistemi sürümlerinde de kullanılabileceğini söyleyebiliriz. Bu araçları kullanarak önemli ve özel verilerinizi şifreleyebilirsiniz. Bu verilerin neden şifrelenmesi gerektiğiyle ilgili detaylı bilgiyi siber güvenlik kavuzumuzun 7.2.1 maddesi olan Veri Şifreleme başlığından öğrenebilirsiniz. Bu yazımızda ise yukarıda belirtilen şifreleme araçlarının genel kullanımı ele alınmıştır.

1. BITLOCKER

Windows işletim sisteminin yerel şifreleme aracı olan Bitlocker AES şifreleme algoritmasını kullanmaktadır. Kullanıcılar 128 ya da 256 bit uzunluğunda anahtar seçebilirler. Sabit diskteki ya da harici sabit diskteki bütün bir sürücü bölümünü şifreleyebilir ve hangi kullanıcının sisteme giriş yaptığı önemsizdir. Çoğunlukla da bütün diski şifreleme amacıyla kullanılır ve şifreyi açmak isteyen kullanıcı ya parolayı girmek ya da şifreyi açmak üzere oluşturulmuş USB flash belleği kullanmak durumundadır. Bitlocker, TPM (Trusted Platform Module – Güvenilen Platform Modülü) denilen fiziksel bir donanım kullanır ve bu yönüyle yazılım tabanlı şifrelemeden ayrılır. TPM sizin disk şifreleme anahtarınızı saklayan donanımsal bir yongadır aslında ve size daha yüksek güvenlik sunar çünkü şifreleme yalnızca yazılım seviyesinde kaldığında sözlük ya da deneme yanılma saldırılarına karşı zaman zaman savunmasız kalabilmektedir ancak donanım tabanlı TPM tahmin ya da otomatize sözlük saldırılarına karşı dirençlidir. Tabii ki Bitlocker’ı TPM parçası olmadan yalnızca yazılım tabanlı şifreleme için de kullanabilirsiniz ancak bu ek kimlik doğrulaması için bazı ekstra adımlar gerektirmektedir. Özellikle amacınız bütün bir disk şifrelemesi olduğunda Bitlocker sizin için biçilmiş kaftandır ancak ne yazık ki Windows 10’un Home sürümünde bulunmamaktadır. Ayrıca bu yöntemde parolanızı unutmanız ve kurtarma anahtarını kaybetmeniz durumunda verilerinizin geri dönüşü mümkün olmamaktadır.

Bilgisayarınızda TPM bulunup bulunmadığını anlamak için çalıştır kutusuna (Windows tuşu+R – Windows Run) tpm.msc yazdığınızda işletim sistemi bunun yanıtını size verecektir. Aşağıda örnek ekran görüntüsü paylaşılmıştır.

Görüldüğü gibi bu bilgisayarın ana kartında TPM yongası yok. Ayrıca TPM yongası bazı ülkelerde yasaklanmıştır.

Aygıt yöneticisinden de bunu öğrenebilirsiniz. Eğer ki güvenlik cihazları sekmesi listede mevcut ve sekme genişletildiğinde altında TPM gözüküyorsa ana kartınızda bu yonga var demektir.

Bitlocker’ı işletim sisteminin kurulu olduğu disk sürücüsüne, depolama amacıyla kullandığınız disk sürücüsüne (D: sürücüsü gibi) ya da çıkarılabilir bir depolama aygıtı sürücüne uygulayabilirsiniz. İşletim sistemi sürücüsüne uyguladığınızda bilgisayarınız açılırken Bitlocker ekranı devreye girecek ve sizden açılış anahtarını isteyecektir (parola ya da USB açılış belleği) diğer iki seçenekte ise yalnızca o birime erişmek istediğinizde sizden şifre (ya da akıllı kart) isteyecektir. Aşağıda Bitlocker’ın çalıştırılması adım adım ekran görüntüleriyle gösterilmiş ve açıklanmıştır.

Şifrelemek istediğiniz disk sürücüsünün üzerine sağ tuşla tıklayarak açılan pencereden “BitLocker’ı Aç” seçeneğiyle BitLocker yönetim paneline ulaşılabilir.

Ya da denetim masasında “Sistem ve Güvenlik” üzerinden ulaşabilirsiniz.

BitLocker’ın uygulanabileceği mevcut birimler listeleniyor.

Ancak BitLocker’ı çalıştırmak istediğimizde bizde TPM yongası bulunmadığı için böyle bir hata alıyoruz. Biz de TPM’den vazgeçip donanım tabanlı şifrelemeden yazılım tabanlı şifrelemeye transfer oluyoruz. Yukarıda da belirtildiği gibi bunun için birkaç ek ayar gerekiyor.

Çalıştır kutusuna gpedit.msc yazarak Yerel Grup İlkesi Düzenleyicisini açıyoruz ve burada Bilgisayar Yapılandırması->Yönetim Şablonları->Windows Bileşenleri->Bitlocker Drive Encrtption->İşletim Sistemi Sürücüleri yolunu izleyerek “Başlangıçta ek kimlik doğrulama iste” anahtarını açarak aktif hale getiriyoruz.

Bu anahtarı etkinleştirdikten sonra “Uyumlu bir TPM olmadan BitLocker’a izin ver” seçeneğinin de işaretli olduğundan emin olun.

Gerekli ayarlamaları yaptıktan sonra tekrar deniyoruz ve çalıştığını görüyoruz. Eğer sizde çalışmazsa komut satırı üzerinden gpupdate ya da gpupdate /force komutlarını çalıştırarak yeni ilkenin işletim sisteminde yürürlüğe girmesini sağlayabilirsiniz. Bu da olmazsa bilgisayarınızı yeniden başlatmayı deneyebilirsiniz.

Sürücü kilitlendiğinde kilidi nasıl açmak istediğiniz soruluyor işletim sisteminin yüklü bulunduğu sürücü için parola ya da anahtar görevi gören USB flash bellek kullanabilirsiniz ancak tabii ki bunun için BIOS yonganızın, bilgisayarın açılışında USB portlarınızı görüyor olması gerekir eğer görmüyorsa bunu BIOS ayarlarınızdan değiştirebilirsiniz.

Parolamızı giriyoruz. Zayıf bir parola girerseniz sistem bunu kabul etmeyebilir.

Kurtarma anahtarınızı oluşturmak için size dört farklı seçenek sunuyor. Size uygun olanı seçebilirsiniz ancak bilin ki dosyaya kaydetmeyi seçerseniz şifrelediğiniz yere kaydetmenize izin vermeyip şifresiz kolayca ulaşabileceğiniz bir yedek birime kaydetmenizi isteyecektir. Ben içeriğini çok merak edip hemen görmek istediğim için “Kurtarma anahtarını yazdır” seçeneğini seçiyorum.

Ve çıktıyı PDF olarak masaüstüne yönlendiriyorum. Elbette yazıcınızdan çıktısını alıp basılı olarak belgeyi sakladığınızdan emin olun. Ayrıca bu PDF dosyasını saklayacaksanız şifrelediğiniz disk alanı dışında başka bir yerde sakladığınızı doğrulayın.

Kurtarma belgesinin içeriği bu şekilde.

İlerlediğimizde diskin ne kadarını şifrelemek istediğimiz soruluyor. Eğer yeni aldığınız bir bilgisayarsa yalnızca kullanılan disk alanını şifrelemeyi tercih edebilirsiniz. Bu işlem çok daha hızlı tamamlanacaktır ancak eğer uzun bir süredir kullandığınız bilgisayarda bu seçeneği uygularsanız mevcut verileriniz şifrelenecektir ama daha önceden sildiğiniz ve fakat diskinizde hâlâ fiziksel olarak bulunmakta olan eski verileriniz kurtarma işlemleriyle şifresiz olarak geri getirilebilir.

Hangi algoritma ile şifrelemek istediğimiz soruluyor. Biz sabit bir disk sürücüsünü şifreleyeceğimiz için ve işletim sistemimizin sürümü de uygun olduğu için önerileni seçip devam ediyoruz.

Kontrol amacıyla sistem denetlemesi de isteyip istemediğimiz soruluyor. İşimizi garantiye almak adına onaylayıp devam ediyoruz

.

Şifreleme tamamlandıktan sonra bilgisayarımızı yeniden başlatmamız isteniyor.

İşlem başarılı. Bilgisayarımızı yeniden başlattığımızda artık bizi BitLocker açılış ekranı karşılıyor. Parolamızı yazıp devam ediyoruz

.

Bilgisayarımız açıldığında şifrelenen disk bölümünün artık kilit resimlemesiyle simgelendiğini görüyoruz. Girişte parolamızı yazıp kimlik doğrulamamızı tamamladığımız için açık kilit simgesi gözükmektedir.

Süreci tersine döndürmek istediğimizde denetim masasından ya da kestirme olarak ilgili sürücüye sağ tuşla tıklayıp “BitLocker’ı Yönet” diyerek BitLocker yönetim paneline ulaşabiliriz.

“BitLocker’ı kapat” seçeneğini tıklıyoruz ve tersine süreç başlıyor.

Ancak bilin ki şifre çözme işlemi şifreleme işleminden çok daha uzun sürmektedir.

2. WINDOWS DOSYA ŞİFRELEME SİSTEMİ – EFS

Şifrelenmiş dosya sistemi (EFS), bilgisayarınızda dosya ve klasörlerinizi şifreli biçimde tutmanızı sağlayan “native” (yerleşik-tümleşik) bir Windows hizmetidir. Eğer amacınız tüm sürücü bazında değil de tekil unsurlar bazında şifrelemeyse Bitlocker yerine bu yöntemi kullanmayı deneyebilirsiniz. Bu yaklaşımla verilerinizi, yalnızca bulundukları bilgisayarda şifrelemiş olursunuz. Verilerin bulunduğu bilgisayardaki herhangi başka bir kullanıcı, yetkisinden bağımsız olarak bu verilere erişemez. Dosyaları e-posta ya da herhangi başka bir haberleşme aracıyla başka birine gönderdiğiniz zaman ise dosyalar şifresiz olarak gönderilir ve bu dosyalar erişilebilir olur. Yani bu yöntem dosyayı başkasına gönderip, parola paylaşımıyla şifreli dosya alış verişine olanak tanımaz. Bitlocker’a göre kullanımı daha kolaydır ancak ne yazık ki bu özellik de Windows 10 Home’da bulunmamaktadır. Bu yöntemi kullanabilmeniz için dosya biçimlendirme sisteminizin NTFS olması gerekir. FAT32 gibi diğer biçimlendirme sistemlerinde bu yöntem işlemez. Yalnızca yetkisi olan kullanıcı sisteme giriş yaptığında dosya erişilebilir olacaktır. Üstelik BitLocker’daki gibi bütün bir sürücü şifreli olmadığı için geçici dosya günlükleri üzerinden sızıntı olasılığı da vardır.

İlgili disk sürücüsünün üzerine sağ tıklayıp özellikler dediğinizde açılan pencerede dosyalama sistemindeki biçimlendirme türünü görebilirsiniz.

Şifreleme adımları kademe kademe aşağıda anlatılmıştır.

Şifrelemek istediğimiz dosya ya da klasöre sağ tuşla tıklayıp dökülen kutudan özellikleri seçip özellikler penceresini açıyoruz. Buradan Gelişmiş butonunu tıklıyoruz.

Gelişmiş penceresinde Veriyi korumak için içeriği şifrele kutusunu işaretliyoruz.

Eğer bu kutucuk sizde aktif değilse ya Windows 10’un Home sürümünü kullanıyorsunuz ya da bir hizmet ayarına müdahale etmeniz gerekiyor demektir. Aşağıda çözümü gösterilmiştir.

Çalıştır kutusuna services.msc yazarak Hizmetleri açıyoruz ve Şifreleme Dosya Sistemi (EFS)’nin özelliklerine giriyoruz.

Başlangıç türünü otomatiğe alıp uygula diyoruz

.

Şifreleme kutucuğunu işaretledikten sonra uygula diyoruz.

Bize işlemi yalnızca bu klasöre mi yoksa bu klasöre bağlı olan alt klasörler ve içeriğindeki dosyalara da uygulanıp uygulanmayacağını soruyor. Size uygun olan seçeneği seçip devam edin.

Bu özelliği ilk kez kullananlarda sağ alt köşede görev çubuğunun hemen üzerinde aşağıdaki bildirim paneli belirecektir. Buna tıklayarak EFS anahtarınızı yedekleyebilirsiniz. Bunu kaçıranlar bu işlemi daha sonra Sertifika Yöneticisinden (çalıştır->certmgr.msc -certificate manager-) Kişisel – Sertifikalar yolunu izleyerek yapabilirler.

EFS anahtarını yedeklemek isteyenler için açılan bildirim kutusu. Flash bellek ya da CD gibi harici bir ortama yedeklemeniz önerilir.

Bu süreci başlattığımızda farklı seçenekler sunuyor biz önerilen ilk seçenekle devam ediyoruz.

Açıklamayı okuduktan sonra ileri deyip devam edin.

Burada özel bir yaklaşımınız yoksa varsayılan ayarlarla devam edin.

Parolamızı girdikten sonra şifreleme algoritması olarak daha güçlü olan SHA256’yı seçiyoruz ve devam ediyoruz.

Kaydetmek istediğimiz yolu ve dosya adını yazdıktan sonra devam ediyoruz.

Özeti kontrol ettikten sonra son butonuna tıklıyoruz ve anahtarımız sonrası için yedekleniyor.

Şifreleme tamamlandıktan sonra klasör ikonunda kilit simgesi beliriyor.

Değişikliklerin tüm alt klasörlere ve içerikteki dosyalara uygulanmasını seçtiğimiz için içerisindeki belgeler de ayrı ayrı şifreleniyor.

İşletim sistemindeki mevcut kullanıcının hesabından çıkış yapıp farklı bir kullanıcıyla sisteme dâhil oluyoruz ve bu klasöre erişmek istediğimizde aşağıdaki görüntü karşımıza çıkıyor:

Yetkisiz kullanıcının erişim denemesi

Yetkisiz kullanıcı klasör içerisindeki herhangi bir fotoğrafı açınca karşısına çıkan ekran

Şifrelenmiş txt dosyasına yetkisiz erişim denemesi. Denemeyi yapan kullanıcının hesabının yönetici statüsünde olması sonucu değiştirmez.

Ancak bu metin dosyasını örneğin Whatsapp üzerinden başkasına gönderdiğimizde ve bu kişi de akıllı telefonundan bu dosyayı açmaya çalışınca başarılı oluyor. Bunu aklınızda bulundurun. Ekran görüntüsü aşağıda paylaşılmıştır.

Aynı dosyayı yetkisiz bir başka kullanıcı telefonundan açmaya çalışınca denemesi başarılı oluyor ve txt dosyasının içeriği görünüyor.

3. WINRAR

Winrar, 1995’ten beri tüm dünyada kullanılan oldukça popüler bir arşivleme ve veri sıkıştırma yazılımıdır. Veri sıkıştırma yaparken arzu edilirse 128 bitlik AES şifrelemesi de yapabilir. Bu şifreli arşiv dosyası kolaylıkla başkasına gönderilebilir, genele açık bir platformda (e-posta, mesajlaşma ve diğer ortamlarda) paylaşılabilir ve parolayı bilmeyen kişi asla dosya içeriğine erişemez. Kullanıcı ve kullanıcı haklarıyla hiçbir ilgisi yoktur, parola tabanlı şifreleme yapar. Tıpkı parola konulmuş bir James Bond çanta gibi düşünülebilir. Daha önceki iki yöntem Windows’la birlikte tümleşik olarak gelen “native” (yerleşik) uygulamalardı ancak Winrar sonradan kullanıcı tarafından yüklenmesi gereken üçüncü parti özel bir yazılımdır. Önceki uygulamalara göre çok daha kullanıcı dostudur ancak ücretli uygulama olduğu için kısıtlı yazılım (shareware ya da nagware) olarak literatürde geçmektedir. Burada ücretsiz olarak kullanılamayacağı yönünde bir düşünce aklınıza gelmesin. Winrar’ı kendi resmî internet sitesinden ücretsiz bir şekilde indirip süre ve özellik kısıtlaması olmadan gönül rahatlığıyla kullanabilirsiniz ancak kırk günlük deneme süresi dolduktan sonra programı her açışınızda kullandığınız sürümün bir deneme kopyası olduğunu ve satın almanız gerektiğini belirten bir bildirimle karşılaşacaksınız. Bir de Winrar penceresinde sabit bir şekilde parantez içerisinde “deneme kopyası” yazacaktır. Dikkatli bakarsanız aşağıdaki ekran görüntüsünde de bunu fark edebilirsiniz. Bir de Winrar, ara sıra karşınıza çıkardığı reklam panolarından da maddi kazanç elde etmektedir.

Winrar’ın yüklü olduğu bir bilgisayarda arşivlemek istediğimiz dosyanın üzerine sağ tıklayıp Arşive ekle diyoruz.

İstediğimiz parametreleri soran bir pencere açılıyor buradan “arşivi kilitle” kutucuğunu işaretleyip “parola seç” butonuna tıklıyoruz.

Parolayı girerek “tamam” diyoruz daha sonra süreci sonlandırıyoruz.

Paketlenmiş dosyayı herhangi biri açmaya ya da dışarı çıkartmaya çalıştığında parola koruması karşısına çıkıyor.

4. VERACRYPT

            Tıpkı Winrar gibi bir üçüncü parti şifreleme yazılımıdır. Truecrypt yazılımının ardılı niteliğindedir. Çok güçlü algoritmalarla veri şifrelemesi yapar ve ayrıca flash bellek gibi harici ortamlarda da uygulama olanağı vardır. Ücretsiz ve açık kaynak kodludur. Gönüllülerin yaptığı bağışlar sayesinde geliştirilmektedir. Tıpkı BitLocker gibi bütün bir birimi de şifreleyebilir. Veracrypt’ın pek çok farklı özelliği ve kullanım modu vardır bunların yalnızca bir tanesi anlatılacaktır.

Bu senaryoda Veracrypt çelik kasa gibi bir korumalı alan oluşturur ve bu alana ulaşmak istediğinizde uygun parolayı girmeniz durumunda anlık olarak bir sanal disk sürücüsü (F: gibi, J: gibi) oluşturur ve korunaklı alana giriş bu geçici sanal disk sürücüsü üzerinden olur. Parolanızı unutmanız durumunda kasa içerisindeki verilerinize ulaşmanız mümkün olmaz. Kaybedilmiş parolayı kurtarmanın bir yolu henüz yoktur.

Senaryomuzu gerçekleştirelim.

Veracrypt’ın tam kapsamlı bir Türkçe dil desteği bulunmamaktadır. Yarım Türkçe paketini “settings-languages” yolunu izleyerek uygulamaya koyabilirsiniz.

İlk olarak birim oluşturuyoruz. Veracrypt iki çeşit birim oluşturmayı destekler: normal birim ve gizli birim. Biz parolayla erişeceğimiz normal birim oluşturacağız.

Create an encrypted file container yani “şifreli dosya taşıyıcısı oluştur” seçeneğini seçiyoruz.

Standart yani normal birim oluşturmayı seçiyoruz. Alttaki seçenek gizli birim oluşturur.

Oluşturacağımız birimin konumunu seçip adını vermemiz isteniyor

Adını ve yolunu belirledikten sonra devam ediyoruz

İstediğimiz şifreleme algoritması soruluyor. Varsayılan değerler zaten yeterince güçlü olduğu için değiştirmeden devam ediyoruz.

Oluşturacağımız çelik kasanın boyutunu soruyor. Ben 50 MB girdim siz ihtiyacınız ne kadarsa o kadarlık bir alan tahsis edin.

Burada güçlü ve asla unutmayacağınız bir parola belirleyin

Burada maviyle işaretlenen yerde dosyalama sistemi görünmektedir. Eğer 4 GB’tan daha büyük bir alan ayırdıysanız FAT yerine NTFS seçmeniz daha uygundur. Kırmızıyla işaretlenen yerde şu uyarı yazmakta: “ÖNEMLİ: Farenizi bu pencere içerisinde mümkün olduğunca gelişigüzel biçimde hareket ettirin. Daha uzun oynatmanız daha iyidir. Bu, şifreleme anahtarının kriptografik gücünü kayda değer ölçüde artırır. Sonra birimi oluşturmak için biçimlendir butonuna tıklayın.” Siyahla işaretlenen yerde de fare hareketlerinden toplanan gelişigüzellik yazmaktadır. Biz fare ikonumuzu pencere içerisinde oynattıkça bu tüpün içerisi zamanla kırmızıdan sarıya ve daha sonra yeşile dönmekte ve bir taraftan da dolmaktadır.

Zamanla tüpün içi yeşil olup tüp doluyor ve biz de biçimlendir diyerek devam ediyoruz.

Birimimiz başarılı bir şekilde oluşturuluyor.

Burada başka bir birim oluşturacaksanız sonraki diyerek devam edebilirsiniz aksi takdirde çıkış yapın.

Masaüstünde yeni birimimiz görünmeye başladı.

Şimdi bu birimimizi bağlamaya ya da diğer bir adıyla monte etmeye (mount) sıra geldi. Önce kullanımda olmayan boştaki bir sürücü etiketi seçiyoruz. (Örneğin J: gibi) sonra dosya seç butonundan masaüstündeki birim dosyamızı seçiyoruz ve ardından bağla diyoruz. Bu şekilde yazılım bize çelik kasamıza yani birimimize ulaşmak için geçici bir kasa kapısı oluşturuyor. Bunu da anlık bir disk sürücüsü yaratarak yapıyor. İşimiz bittiğinde bu geçici sanal disk sürücüsünü kapatacağız. Tıpkı bir flash belleğin takılıp, kullanılıp, çıkarılması gibi düşünebilirsiniz.

Birimi oluştururken belirlediğimiz parolayı giriyoruz.

Birimimiz başarılı bir şekilde bağlanıyor.

Artık bu bilgisayara gittiğimizde yeni bir J: sürücüsünün aktif olduğunu görüyoruz. Burası bizim çelik kasamıza ulaşmak için kullanacağımız yol. Korumak istediğimiz verilerimizi buraya atıp daha sonra bu sürücünün bağlantısını keseceğiz ve ihtiyaç duyduğumuzda yeniden bağlayacağız.

Korumak istediğimiz gizli verilerimizi J: sürücüsü üzerinden çelik kasamıza attık ve işimiz bitti. Şimdi bağlı olan J: sürücüsünün üzerine tıklayıp bağlantıyı kes diyerek kapıları kapatıyor ve kontrol ediyoruz.

Kasamız kilitlendi ve görünmez oldu.

5. MICROSOFT  OFFICE  ŞİFRELEMESİ

            Word, Excel, PowerPoint gibi ofis belgelerinizi başka bir yan hizmet ya da uygulama kullanmadan yalnızca bu belge özelinde şifrelemek isteyebilirsiniz. Microsoft Office size bu hizmeti kendi içerisinde sunmaktadır ve işlem son derece kolaydır.

Herhangi bir ofis belgesinde sol üst köşedeki dosya sekmesine tıklayın.

Açılan pencerede orta paneldeki izinler kısmında belgeyi koru butonuna tıkladığınızda aşağı doğru dökülen pencerede parola ile şifrele seçeneğini tıkladığınızda sizden parola istenecektir.

Parolamızı girip onayladıktan sonra belgeyi kaydediyoruz.

Artık belgeyi açmak istediğimizde bizden parola isteniyor. İşlem bu kadar kolaydır.

6. MOBİL CİHAZLAR

Mobil cihazlar kaybolmaya daha müsait cihazlardır ve kaybolduğunda cihazla birlikte değerli verileriniz de başkalarının eline geçiyor olabilir. Bunu önlemek için kullanabileceğiniz mobil şifreleme uygulamalarından bazıları FolderLock , GalleryVault , LockMyPix uygulamalarıdır.