Szyfrowanie dysku zewnętrznego – jak zabezpieczyć pendrive i dysk przenośny

Redakcja Aktualizacja: 5 minut czytania
Szyfrowanie dysku zewnętrznego

Pendrive w kieszeni kurtki, dysk przenośny w plecaku, karta SD w portfelu – nośniki zewnętrzne łatwo zgubić, zostawić w pociągu albo mieć ukradzione razem z torbą. Szyfrowanie sprawia, że dane na zgubionym nośniku pozostają zablokowane i nieczytelne bez podania hasła. Poniżej opisuję, jak zaszyfrować dysk zewnętrzny na Windows, macOS i za pomocą VeraCrypt. Jeśli interesuje Cię szyfrowanie dysku wewnętrznego komputera, przeczytaj osobny artykuł o szyfrowaniu dysku komputera.

Dlaczego warto zaszyfrować dysk zewnętrzny

Dysk wewnętrzny komputera jest chroniony fizycznie – żeby się do niego dostać, trzeba otworzyć obudowę albo uruchomić system. Dysk zewnętrzny lub pendrive wystarczy podłączyć do dowolnego komputera i od razu widać wszystkie pliki. Hasło do systemu operacyjnego tu nie pomaga, bo nośnik działa niezależnie od systemu.

Po podłączeniu zaszyfrowanego dysku system prosi o hasło. Bez niego nośnik wygląda jak pusty lub nieczytelny.

Kilka scenariuszy, w których szyfrowanie nośnika zewnętrznego jest szczególnie ważne:

  • Pendrive z danymi firmowymi lub klientów. Zgubiony niezaszyfrowany nośnik z danymi osobowymi to naruszenie RODO, które może wymagać zgłoszenia do UODO. Zaszyfrowany pendrive – nie, bo dane pozostają chronione.
  • Dysk do kopii zapasowych. Backup zawiera wszystko: dokumenty, zdjęcia, hasła zapisane w przeglądarce. Zaszyfrowany dysk do backupu chroni te dane nawet w razie włamania do domu czy kradzieży.
  • Nośnik współdzielony lub pożyczany. Jeśli pożyczasz pendrive komuś ze starymi plikami „skasowanymi” z nośnika, odzyskanie ich zajmuje kilka minut. Szyfrowanie sprawia, że nawet odzyskane dane będą nieczytelne.

Jest też powód czysto techniczny. Pamięci flash (pendrive, SSD, karty SD) korzystają z mechanizmu równoważenia zużycia (wear leveling), który rozkłada zapisy równomiernie na wszystkie komórki pamięci. Przez to bezpieczne usunięcie pojedynczych plików z nośnika flash jest bardzo trudne – fragmenty danych mogą pozostać w komórkach, do których standardowe narzędzia do kasowania nie docierają. Szyfrowanie całego nośnika rozwiązuje ten problem, bo nawet pozostałości danych są zaszyfrowane.

Jak zaszyfrować dysk zewnętrzny w Windows (BitLocker To Go)

BitLocker To Go to wersja BitLockera przeznaczona do szyfrowania dysków wymiennych: pendrive’ów, dysków zewnętrznych USB i kart pamięci. Działa na Windows 10 i 11 w wersjach Pro, Enterprise i Education. Windows Home nie pozwala szyfrować nośników BitLockerem To Go, ale potrafi odczytywać dyski zaszyfrowane na innym komputerze – po podaniu hasła.

Instrukcja:

  1. Podłącz dysk zewnętrzny lub pendrive do komputera.
  2. Otwórz Eksplorator plików, kliknij prawym przyciskiem na nośnik i wybierz „Włącz funkcję BitLocker”.
  3. Zaznacz „Użyj hasła w celu odblokowania dysku” i ustaw hasło (minimum 8 znaków, ale im dłuższe, tym lepiej).
  4. Zapisz klucz odzyskiwania – na koncie Microsoft, w pliku lub wydrukuj. Klucz będzie potrzebny, jeśli zapomnisz hasła.
  5. Wybierz zakres szyfrowania: „Szyfruj tylko zajęte miejsce” (szybciej, wystarczy na nowym lub pustym nośniku) lub „Szyfruj cały dysk” (bezpieczniej, bo obejmuje też wcześniej usunięte dane).
  6. Wybierz tryb szyfrowania: „Tryb zgodności” – jeśli nośnik ma działać na starszych wersjach Windows (przed 10 v1511). Dla nowszych systemów wybierz „Nowy tryb szyfrowania”.
  7. Kliknij „Rozpocznij szyfrowanie”.

Po zaszyfrowaniu przy każdym podłączeniu nośnika do komputera system poprosi o hasło. Na komputerze, na którym szyfrowałeś, możesz zaznaczyć opcję „Automatycznie odblokowuj na tym komputerze” – wtedy hasło będzie wymagane tylko na innych maszynach.

Jak zaszyfrować dysk zewnętrzny na macOS (Finder)

Na macOS szyfrowanie dysku zewnętrznego nie wymaga osobnego programu. Wystarczy Finder i dysk sformatowany w systemie plików APFS (domyślny format dla macOS od High Sierra).

Instrukcja:

  1. Podłącz dysk zewnętrzny do Maca.
  2. Otwórz Finder i w pasku bocznym znajdź podłączony dysk.
  3. Kliknij na niego prawym przyciskiem (lub Control + klik) i wybierz „Zaszyfruj [nazwa dysku]”.
  4. Ustaw hasło i podpowiedź do hasła. macOS nie daje opcji zapisania klucza odzyskiwania osobno – hasło to jedyny sposób na dostęp do danych. Nie zgub go.
  5. Szyfrowanie rozpocznie się automatycznie. Trwa od kilku minut do kilku godzin, zależnie od pojemności dysku.

Jeśli opcja „Zaszyfruj” nie pojawia się w menu, dysk jest prawdopodobnie sformatowany w formacie innym niż APFS (np. FAT32 lub exFAT). W takim przypadku trzeba najpierw sformatować dysk w Narzędziu dyskowym jako APFS – uwaga, formatowanie usuwa wszystkie dane z nośnika.

Jak zaszyfrować dysk zewnętrzny programem VeraCrypt

VeraCrypt to jedyne popularne rozwiązanie, które działa na Windows, macOS i Linux jednocześnie. Jest darmowe i open-source. Szczególnie przydaje się na Windows Home (gdzie nie ma BitLockera To Go) i wtedy, gdy nośnik musi być czytelny na różnych systemach operacyjnych.

VeraCrypt szyfruje dysk zewnętrzny na dwa sposoby:

Zaszyfrowany kontener (plik-magazyn) – VeraCrypt tworzy na dysku zaszyfrowany plik o wybranym rozmiarze, który po zamontowaniu zachowuje się jak osobny dysk. Reszta nośnika pozostaje niezaszyfrowana. Sprawdza się, gdy chcesz szyfrować tylko część danych.

Szyfrowanie całej partycji – VeraCrypt szyfruje cały nośnik. Bezpieczniejsze, ale wymaga sformatowania dysku (dane trzeba wcześniej skopiować z niego dane). Po podłączeniu dysk wygląda na „niesformatowany” do momentu zamontowania go w VeraCrypt i podania hasła.

W obu przypadkach do odczytu danych na innym komputerze potrzebny jest zainstalowany VeraCrypt. Szczegółowe porównanie VeraCrypt z innymi rozwiązaniami opisujemy w artykule o programach do szyfrowania dysku.

Kompatybilność między systemami – który sposób wybrać

Nośnik zaszyfrowany jedną metodą nie zawsze da się odczytać na innym systemie operacyjnym. To najczęstsza pułapka przy szyfrowaniu dysków zewnętrznych:

BitLocker To Go szyfruje dyski w formacie NTFS lub exFAT. Odczytasz je na każdym komputerze z Windows (nawet Home – po podaniu hasła). Na macOS i Linux bez dodatkowego oprogramowania nie da się otworzyć dysku zaszyfrowanego BitLockerem.

Szyfrowanie macOS (APFS encrypted) działa wyłącznie na komputerach Mac. Windows i Linux nie obsługują tego formatu.

VeraCrypt działa na Windows, macOS i Linux, ale na każdym komputerze musi być zainstalowany program VeraCrypt. Nie podłączysz takiego dysku do komputera w pracy czy u znajomego bez instalowania oprogramowania.

W skrócie: nośnik tylko między Windowsami – BitLocker To Go (najprostszy). Tylko między Makami – szyfrowanie przez Finder. Nośnik na różnych systemach albo Windows Home – VeraCrypt.

FAQ

Czy mogę zaszyfrować pendrive na Windows Home?

Wbudowanym BitLockerem To Go – nie, ta funkcja wymaga Windows Pro lub wyżej. Alternatywą jest VeraCrypt, który działa na każdej wersji Windows. Pendrive zaszyfrowany BitLockerem na innym komputerze (z Windows Pro) da się natomiast odczytać na Windows Home po podaniu hasła.

Czy zaszyfrowany dysk działa jednocześnie na Windows i macOS?

Nie, jeśli użyjesz BitLockera lub szyfrowania macOS – oba są ograniczone do jednego systemu. Jedynym rozwiązaniem wieloplatformowym jest VeraCrypt, ale wymaga zainstalowania programu na każdym komputerze.

Czy szyfrowanie dysku zewnętrznego spowalnia kopiowanie plików?

Na nowoczesnych komputerach z akceleratorem AES-NI różnica jest minimalna – kopiowanie plików na zaszyfrowany nośnik trwa niewiele dłużej niż na niezaszyfrowany. Wąskim gardłem jest zwykle sam interfejs USB, nie szyfrowanie.

Ile trwa szyfrowanie pendrive’a 64 GB?

Przy szyfrowaniu samego zajętego miejsca (na prawie pustym nośniku): kilka minut. Przy szyfrowaniu całego dysku: od kilkunastu minut do godziny, zależnie od szybkości nośnika i portu USB.

Przeczytaj również
Szyfrowanie dysku komputera – jak działa i jak je włączyć
Bezpieczeństwo

Szyfrowanie dysku komputera – jak działa i jak je włączyć
Programy do szyfrowania dysku – porównanie
Bezpieczeństwo

Programy do szyfrowania dysku – porównanie
Jak sprawdzić czy link jest bezpieczny?
Bezpieczeństwo

Jak sprawdzić czy link jest bezpieczny?