Šifrované SSD: Kdy lze a kdy nelze zachránit data
Většina moderních SSD disků je šifrována – možná i váš, aniž byste o tom věděli. Hardwarové šifrování běží na pozadí automaticky u mnoha modelů Samsung, Crucial nebo Intel.
Šifrování chrání vaše data před neoprávněným přístupem. Má ale i stinnou stránku: Pokud disk selže a nemáte recovery key, vaše data mohou být ztracena navždy.
Typy šifrování u SSD
Hardware encryption (SED – Self-Encrypting Drive)
Co to je: SSD disk šifruje všechna data automaticky přímo v controlleru pomocí AES-256. Funguje vždy, i když jste šifrování nezapínali.
Jak to funguje:
- Data jsou šifrována při zápisu, dešifrována při čtení
- Šifrovací klíč je uložen v controlleru
- Pro uživatele je to transparentní (nevidí ho)
Běžné u:
- Samsung (EVO, PRO řady)
- Crucial (MX řada)
- Intel enterprise SSD
- Většina NVMe disků
Důsledek pro záchranu: Pokud controller selže, šifrovací klíč může být ztracen. I když data fyzicky existují na NAND čipech, bez klíče jsou nečitelná.
Software encryption
BitLocker (Windows 10/11 Pro, Enterprise)
- Šifrování na úrovni operačního systému
- Klíč vázán na TPM (Trusted Platform Module) nebo heslo
- Recovery key lze uložit do Microsoft účtu
FileVault (macOS)
- Výchozí šifrování na Mac počítačích
- Klíč vázán na Apple ID nebo lokální recovery key
- Automaticky zapnut na novějších Mac
VeraCrypt (cross-platform)
- Open source, následník TrueCrypt
- Plná kontrola uživatele
- Rescue disk pro případ problémů
LUKS (Linux)
- Standard pro Linux systémy
- Šifrování celého disku nebo oddílů
Kombinace hardware + software
Některé systémy používají obojí:
- SSD má hardwarové šifrování
- Na to je přidán BitLocker nebo FileVault
Důsledek: Dvojité šifrování = dvojité problémy při záchraně. Potřebujete oba klíče.
Nevíte, jestli máte šifrování?
Mnoho uživatelů netuší, že jejich disk je šifrovaný. Zde je návod, jak to zjistit.
Windows – BitLocker
- Otevřete Ovládací panely → Systém a zabezpečení → Šifrování jednotky nástrojem BitLocker
- Nebo ve vyhledávání napište "BitLocker"
- Uvidíte stav pro každý disk
Alternativně příkazem:
manage-bde -status
macOS – FileVault
- Předvolby systému → Zabezpečení a soukromí → FileVault
- Uvidíte, zda je FileVault zapnutý
Alternativně v Terminálu:
fdesetup status
Hardware encryption
Zjistit hardwarové šifrování je složitější:
- Podívejte se do specifikací vašeho SSD modelu
- Většina moderních SSD ho má automaticky
Praktický test: Pokud váš SSD nemá viditelné šifrování (BitLocker/FileVault vypnutý), ale výrobce uvádí "hardware encryption" nebo "SED" – máte ho zapnuté.
Kdy je záchrana dat MOŽNÁ
Scénář 1: Controller funguje, máte heslo
Situace: SSD funguje, můžete zadat heslo nebo PIN.
Řešení: Standardní záchrana jako u nešifrovaného disku. Šifrování není překážkou.
Úspěšnost: Vysoká (záleží na jiných faktorech)
Scénář 2: Firmware problém + máte recovery key
Situace: Disk není vidět kvůli firmware problému. Máte uložený recovery key.
Postup:
- Opravíme firmware specializovanými nástroji
- Po opravě zadáte recovery key
- Data jsou přístupná
Úspěšnost: Vysoká (70-90%)
Scénář 3: Software encryption + disk čitelný
Situace: Disk fyzicky funguje, ale systém nenaběhne. Máte recovery key.
Postup:
- Připojíme disk jako sekundární
- Zadáte recovery key pro odemčení
- Zkopírujeme data
Úspěšnost: Velmi vysoká
Kdy je záchrana dat NEMOŽNÁ
Hardware encryption + mrtvý controller + bez klíče
Situace: Controller je mrtvý. Hardwarové šifrování bylo aktivní. Klíč byl uložen v controlleru.
Problém:
- Klíč byl pouze v controlleru
- Controller mrtvý = klíč ztracen
- Chip-off získá pouze šifrovaná (nečitelná) data
Výsledek: Data existují, ale jsou bez klíče permanentně nečitelná.
NELZE OBEJÍT – AES-256 je matematicky neprolomitelné.
BitLocker/FileVault + ztracený recovery key
Situace: Systém požaduje recovery key, ale nemáte ho.
Problém:
- Recovery key je jediný způsob, jak data odemknout
- Microsoft ani Apple ho nemůže obnovit
- Neexistuje "zadní vrátka"
Výsledek: Data jsou trvale nepřístupná.
NELZE OBEJÍT – Šifrování funguje přesně tak, jak má.
TPM-bound encryption + vadný TPM
Situace: BitLocker klíč byl vázán na TPM čip. TPM je vadný nebo byl vymazán.
Problém:
- Klíč existoval pouze v TPM
- TPM vadný = klíč ztracen
- Bez klíče nelze dešifrovat
NELZE OBEJÍT
Recovery keys – KRITICKY DŮLEŽITÉ
Recovery key je jediná záchrana při problémech se šifrovaným diskem. Bez něj jsou data ztracena.
BitLocker Recovery Key
Kde ho najít:
Microsoft účet – pokud jste byli přihlášeni
- Navštivte: account.microsoft.com/devices/recoverykey
Azure AD – firemní počítače
- Kontaktujte IT oddělení
USB flash disk – pokud jste ho tam uložili
- Hledejte soubor s příponou .BEK
Vytištěný – pokud jste ho vytiskli
- 48místný numerický kód
Active Directory – doménové prostředí
- IT administrátor má přístup
FileVault Recovery Key
Kde ho najít:
iCloud – pokud jste povolili ukládání
- appleid.apple.com → Přihlásit → Zařízení
Vytištěný – pokud jste ho vytiskli při zapnutí FileVault
MDM systém – firemní Mac
- Kontaktujte IT oddělení
VeraCrypt
Kde ho najít:
Rescue disk – vytvořili jste ho při šifrování?
- Uložený jako ISO nebo vypálený na CD
Header backup – pokud jste vytvořili zálohu hlavičky
Co dělat TEĎ (prevence)
Pokud právě čtete tento článek bez akutního problému, máte šanci se připravit.
1. Zjistěte, zda máte šifrování
Použijte návody výše. Zjistěte, co je aktivní na vašem počítači.
2. Najděte svůj recovery key
- Přihlaste se do Microsoft/Apple účtu
- Zkontrolujte, zda tam klíč je
- Pokud ne, zjistěte kde je
3. Uložte recovery key na více míst
Doporučujeme:
- Cloud (Microsoft/Apple účet)
- Vytištěný v trezoru
- USB disk na bezpečném místě
- Password manager
NIKDY:
- Pouze na šifrovaném disku (slepá ulička)
- Pouze v jedné kopii
4. Otestujte recovery key
Ujistěte se, že klíč funguje:
- Zkuste odemknout disk pomocí recovery key (ne hesla)
- Ověříte, že máte správný klíč
5. Zdokumentujte
Vytvořte si záznam:
- Jaké šifrování používáte
- Kde jsou recovery keys
- Datum poslední kontroly
Firemní prostředí
Ve firmách je správa šifrovacích klíčů kritická. Doporučení:
Centrální správa klíčů
- Azure AD pro BitLocker
- Jamf pro FileVault
- Automatický escrow klíčů při aktivaci
Escrow policies
Nastavte politiky, aby recovery keys byly automaticky ukládány na centrální místo.
MDM řešení
Mobile Device Management systémy (Intune, Jamf, Kandji) umožňují:
- Vzdálenou správu šifrování
- Centrální úložiště klíčů
- Auditní záznamy
IT oddělení by mělo mít přístup
Zajistěte, aby IT mělo možnost získat recovery key pro jakékoli firemní zařízení. Jinak odchod zaměstnance = ztracená data.
FAQ
Lze šifrování "obejít" nebo "prolomit"?
Ne. Moderní šifrování (AES-256) je matematicky neprolomitelné s dnešní technologií. Neexistují "zadní vrátka" ani pro výrobce, ani pro policii, ani pro nás.
Je hardware encryption bezpečnější?
Z hlediska bezpečnosti ano – klíč nikdy neopustí controller. Z hlediska záchrany dat je to horší – pokud controller selže, klíč může být ztracen.
Co když nevím heslo, ale mám recovery key?
Recovery key je nadřazený heslu. S recovery key můžete disk odemknout i bez znalosti hesla.
Může DataHelp zjistit můj recovery key?
Ne. Recovery key zná pouze ten, kdo ho má uložený. Microsoft, Apple ani my ho nemůžeme "najít" nebo "obnovit".
Měl bych vypnout šifrování kvůli riziku?
Ne. Šifrování chrání vaše data při krádeži nebo ztrátě. Správné řešení je:
- Mít recovery key bezpečně uložený
- Pravidelně zálohovat
Potřebujete zachránit data ze šifrovaného SSD?
Pokud máte recovery key, situace je řešitelná. Pokud ne, můžeme alespoň zjistit, zda existuje jiná cesta.
Diagnostika je zdarma.
Nonstop linka: 775 220 440
[Objednat diagnostiku →]