A ferramenta de criptografia Truecrypt é distribuída gratuitamente sob licença própria compatível com a GPL e que tem como uma de suas maiores vantagens em relação aos demais sistemas o fato de ser portável entre os três maiores sistemas operacionais da atualidade (Windows, Linux e Mac OS). Após vários anos utilizando esta ferramenta para proteger meus dados em discos externos e pendrives, objetos que preciso transportar de um lado para outro com informações sensíveis, resolvi escrever um [não muito pequeno] texto sobre esta utilíssima ferramenta de forma a inspirar o uso desta técnica de segurança para aumentar a segurança dos dados em seu computador.
Por que eu quereria criptografar meus dados?
A razão mais comum para se querer criptografar os dados é se você frequentemente transporta dados sensíveis (dados contábeis, dados bancários, senhas de sites e softwares diversos) seja em pendrive, disco externo, notebook, netbook, tablet, celular, smartphone etc. Nestes casos, se estes equipamentos forem extraviados você não perderá apenas o equipamento mas também todos os dados que não deveriam cair em mãos erradas.
Mesmo aquele seu computador trambolho que ocupa espaço útil na sua escrivaninha possui dados que devem ser escondidos e protegidos, pois em uma situação extrema em que sua casa seja arrombada e seu equipamento levado, bandidos com um pouco de experiencia em informática saberão bisbilhotar a bagulhada que você mantém ali e conseguirão dados para outros ataques, como sequestro relâmpago, ameaças via e-mail, telefone entre outras maldades, ou até mesmo para conseguir fazer compras com seu cartão de crédito, débito, saques etc.
Se estas informações estiverem protegidas com criptografia, em caso de perda ou roubo do equipamento você poderá dormir tranquilo porque ninguém poderá acessar seus dados. O equipamento poderá até nunca mais ser recuperado, mas o criminoso não terá nada mais além do equipamento.
Não são raros os casos em que alguém teve a sua vida destruída porque perdeu dados sensíveis. Livros sobre o assunto são vendidos feito água mundo a fora simplesmente porque as pessoas ditas “comuns” não se preocupam com a segurança de sua vida digital dizendo que não tem nada de importante a esconder em seus computadores.
A verdade é que atualmente não há ninguém neste mundo que use computador e não possua alguma informação que não possa violada. Todo mundo tem informações a esconder. Das tarefas a seguir, sem exceção, todo e qualquer usuário de computador faz ao menos duas ou três delas: acessar o homebanking, manter a senha do MSN, Orkut, Facebook, e outros sistemas, tem o seu currículo salvo, agenda de telefones, endereços de e-mail, fotos de família e amigos, vídeos diversos e outros documentos.
Por mais irrelevantes e inocentes que cada informação possa ser individualmente quando juntas nas mãos de uma pessoa mal intencionada revelam informações interessantes sobre a vida de uma possível vítima para um golpe. Só o fato de você ter acesso a uma rede social (Facebook, Orkut, Twitter, Linked In etc), ou uma conta de e-mail você já se torna responsável por garantir a sua segurança.
Se um criminoso obtiver acesso ao seu perfil nestas redes sociais ele poderá disseminar vírus, cavalos de tróia, phishing e outros tipos de malware a partir da sua conta, o que levará a contaminação dos computadores dos seus amigos, do computadores dos amigos dos seus amigos e assim sucessivamente. No final, você poderá até não ter nada valioso para ser roubado, mas graças a sua imprudência muitas pessoas seriam prejudicadas.
A criptografia
Esta é uma técnica quase tão antiga quanto a própria história da humanidade. O método mais antigo de criptografia registrado na história é datado por volta dos anos de 1900ac, quando os escribas egípcios usavam hieróglifos fora do padrão normal.
Alguns livros bíblicos como o livro de Jeremias, por exemplo, escrito por volta de 600ac/500ac foi originalmente escrito usando um sistema de substituição de caracteres o que dificultava a compreensão do texto por quem não deveria lê-lo na época.
O império romano usava um sistema similar para troca de mensagens entre as suas tropas militares entre outros exemplos registrados na história. O texto sobre o Criptografia na Wikipédia[1], possui detalhes interessantes que se o prezado leitor tiver interesse poderá ler com mais calma depois.
Hoje em dia os sistemas criptográficos são tão avançados que alguns deles são impossíveis de serem quebrados com a tecnologia atual (especula-se que em um futuro não tão longínquo será possível quebrar estes métodos usando computação quântica), mas até lá novas técnicas surgirão e então bastará passar a usar a nova técnica para que se continue protegido por mais algumas décadas.
A ferramenta Truecrypt
O Truecrypt é uma das mais completas ferramentas para criptografia de disco da atualidade e que é distribuída gratuitamente tendo o seu código fonte disponível podendo ser auditado e melhorado a cada dia, garantindo assim o sigilo dos dados protegidos por ele.
Atualmente existem versões disponíveis para Windows XP, Vista, Seven e Server, bem como Linux (32bits ou 64bits) e Mac OS X e dentre os seus recursos principais temos a possibilidade de:
- Criar discos virtuais criptografados dentro de arquivos e depois usá-los como discos reais;
- Criptografar discos ou dispositivos USB inteiros ou apenas uma partição deles;
- Encriptação em tempo real, transparente e automática;
- O disco (ou partição) do seu sistema operacional pode ser inteiramente criptografada (disponível apenas para Windows);
- Uso de arquivos-senha (mesmo sabendo a senha a ser digitada, sem saber qual é e ter o arquivo senha é impossível acessar os dados);
- Uso de volumes ocultos e sistema operacional oculto (onde um disco criptografado reside dentro de outro);
- Uso pela interface gráfica e pela linha de comandos;
- muito mais
O processo de instalação do Truecrypt é similar ao de qualquer ferramenta que você já tenha instalado em seu computador então não vou abordar este tópico, visto que este é o requisito mínimo que se espera de quem pretende instalar uma aplicação nova seu computador. A única consideração a ser levada em conta é que você deverá instala-lo como administrador do sistema. Uma vez instalado você poderá usá-lo a partir de qualquer conta de usuário no seu sistema.
Como se pode ver na figura abaixo, a interface de uso dele é bastante espartana o que não é demérito, visto que não há muito o que se enfeitar na tela de uso de uma ferramenta como esta onde no dia-a-dia o uso se resume a escolher o volume e local a ser montado, digitar a senha e depois fechar e esquecer pra lá.
Criando um volume criptografado pela interface gráfica
- Inicie o Truecrypt a partir do menus de aplicativos do seu sistema;
- Inicie o assistente de criação de volumes a partir do menu Volumes > Create New Volume…
- [Truecrypt Volume Creation Wizard]
Você deverá decidir se deseja criar um arquivo conteiner criptografado (Create an encrypted file conteiner) ou se deseja encriptar um disco/partição (Create a volume within a partition/drive). Caso você saiba qual escolher sugiro dar uma lida rápida na sessão seguinte (“Dúvidas que poderão surgir durante a criação do volume”) e depois que tirar a sua dúvida retorne a este ponto. Só lembre-se que criptografar um disco/partição inteira implica em destruir dos os seus dados atuais durante este processo, portanto cuidado para não selecionar o dispositivo errado; - [Volume Type]
Uma vez escolhida a melhor opção para o seu caso o próximo passo é escolher o tipo de volume, que poderá ser “Standard Truecrypt Volume” ou “Hidden Truecrypt Volume“. Novamente, caso não saiba a diferença, recomendo dar uma lida na seção seguinte para tirar a dúvida. Se você não quiser se preocupar comisso agora simplesmente escolha Standard e passe adiante; - [Volume Locations]
Agora você deve informar o caminho e o nome para o arquivo conteiner, ou se você escolheu encriptar uma unidade de disco/partição inteira escolha a unidade de disco/partição desejada. Novamente: Cuidado para não escolher a partição/disco errado e causar destruição dos seus dados, o utilitário irá questioná-lo se você tem certeza que escolheu o dispositivo certo; - [Encryption Options]
Se você é perito em sistemas de criptografia nesta próxima etapa você poderá escolher o algoritmo de criptografia e de criação de hashs. Se você não entende, ou não quer saber disso as opções padrões (respectivamente AES e RIPEMD-160) devem ser as adequadas pra você. A escolha do algoritmo determina o quão seguro será o seu disco (embora não seja o único item que determina o nível de segurança) bem como o tempo que será gasto criando o volume; - [Volume Size]
Caso você tenha optado por criar um arquivo contêiner, a etapa seguinte permitirá determinar o tamanho do volume dependerá de dois fatores: O espaço necessário para armazenar os seus dados criptografados e espaço disponível em disco. Caso você tenha optado por encriptar um disco/partição você não verá esta opção e será levado diretamente para seguinte; - [Volume Password]
Neste passo você deverá informar uma senhapara o seu volume. Este é um ponto crucial, pois de nada adianta você escolher um algoritmo altamente seguro e escolher uma senha que possa ser facilmente descoberta. Boas senhas não devem ser palavras de dicionário, datas ou nomes.Uma boa senha possui caracteres correspondentes a cada grupo de caracteres do seu teclado (letras minúsculas, letras maiúsculas, números, símbolos) e deve ser bem longa. O assistente sugere por volta dos 20 caracteres, mas lembre-se que o máximo é de 64 caracteres.- Para saber mais sobre criação de senhas seguras recomendo a leitura de alguns textos que já escrevi aqui no blog [2,3,4,5] bem como as referências citadas em cada um deles e ainda confira a ferramenta para gerar senhas aleatórias [6] na seção de ferramentas aqui do site. Para aumentar a segurança, confira na seção seguinte a dica de uso de Keyfiles “arquivos-senha” (em tradução livre) e que poderão aumentar ainda mais a segurança dos seus dados;
- [Format Options]
O próximo passo é para escolha do sistema de arquivos que o seu novo disco usará. Aqui devo dar um lembrete importante. Os sistemas de arquivos EXT2, EXT3 e EXT4 são reconhecidos apenas pelo Linux, então se você precisará acessar este disco criptografado a partir do outros sistemas operacionais a única opção disponível para garantir esta portabilidade é o formato FAT e o NTFS(caso esta opção esteja disponível para o seu sistema).- Você também pode escolher a opção “None” e evitar assim que o Truecrypt formate o volume. Isso o permitirá formatar o novo disco com as ferramentas padrões do seu sistema e inclusive usando outros formatos suportados, se houver necessidade;
- A opção “Quick format” que permite a formatação rápida só estará disponível se você escolheu criptografar todo o disco ou partição. Para arquivos contêiner não é possível usar esta opção;
- [Cross-Platform Support]
Caso você não tenha escolhido as opções None ou FAT, você terá um passo adicional (inútil, no meu ponto de vista) onde você deverá dizer se usará este disco a partir de outros sistemas operacionais ou apenas a partir do sistema em uso no momento (no meu caso a partir do Linux). Você tem duas opções a escolher “I will mount the volume on other platforms” (usará em outras plataformas/sistemas operacionais) e “I will mount the volume only on Linux” (somente no Linux). A única diferença entre elas será que caso escolha a primeira opção você verá mais uma mensagem avisando sobre a possível inviabilidade de acessar seus dados a partir de outros sistemas operacionais e de qualquer forma será levado de ao próximo passo, ou seja tanto faz a opção que você escolher aqui; - [Volume Format]
Finalmente neste último passo o Truecrypt formatará o disco/partição/arquivo conteiner e então teremos o disco criptografado e pronto para uso. Mova o mouse algumas vezes sobre a janela para melhorar a entropia de geração de números aleatórios e então clique no botão “Format“. Ao receber o aviso de que o volume foi criado apenas clique OK. - [Volume Created]
Ao termino da formatação você poderá ser requisitado a informar a senha do administrador do sistema para que o Truecrypt possa fazer um teste de montagem do volume. Clicar no botão NEXT o levará novamente ao início do assistente para criar outro volume, então clique no botão EXIT para finalizar o assistente.
Dúvidas que poderão surgir durante a criação do volume
Nesta seção eu compilei algumas orientações e dicas que poderão ser úteis para tirar dúvidas que surjam durante o processo de criação de volumes.
Arquivo conteiner ou partição?
Um recurso que existe nos sistemas operacionais modernos (O Linux que herdou da “sabedoria Unix” já faz isso desde sempre) é a capacidade de usar um arquivo como se fosse uma unidade de disco. O Truecrypt abraça esta tecnologia de forma bastante integrada permitindo assim que você tenha um certo conforto e segurança, caso não se sinta seguro a lidar com partições e formatações de disco.
Um arquivo conteiner, nada mais é do que um arquivo que o truecrypt o permitirá ser usado como se fosse um disco. Depois de criado, este arquivo pode ser transferido para um pendrive, HD etc e será tratado pelo seu sistema operacional como qualquer outro arquivo entretanto a partir do Truecrypt você poderá montá-lo e fazer com que o sistema operacional o entenda como mais um disco no seu computador inclusive definindo o seu ponto de montagem, ou letra de unidade (no caso do Windows).
Se você não tiver problemas para reparticionar/formatar seu disco ou pendrive a opção de criptografar uma partição/disco é a sua melhor escolha. Caso sinta-se receoso com este tipo de operação, opte pelo arquivo conteiner, ele é tão seguro quanto criptografar o disco todo, desde que você tome o cuidado de não excluí-lo.
Tipos de volumes que o Truecrypt trabalha
O Truecrypt trabalha com dois tipos de volumes. A opção “Standard Truecrypt Volume” é usada para criar um arquivo/disco criptografado normal (esta é a opção básica para quem está começando agora). A opção “Hidden Truecrypt Volume” permite criar um volume encriptado e oculto dentro de um outro volume também encriptado e chamado de externo.
Esta segunda opção é útil para que em casos extremos em que você seja obrigado a informar a sua senha (como em casos de extorção), sem saber da existência do volume oculto é impossível adivinhar ou inferir a sua existência. O criminoso que tiver a sua senha montará apenas o volume externo e verá alguns dados criptografados propositalmente deixados neste volume, mas os dados realmente sigilosos estariam no volume oculto do qual você jamais informaria da sua existência a ninguém.
Esta uma técnica avançada de criptografia, porém muito sensível e que deve ser usada com cuidado pois do contrário você poderá corromper facilmente os seus dados caso monte apenas o volume externo e não informe ao Truecrypt da existência de um volume oculto. Antes de usá-la em produção sugiro criar um arquivo conteiner de testes e experimentar montar e gravar dados só no volume interno, só no externo, em ambos etc. Quando você se sentir seguro com a maneira de lidar com eles, ai sim você passe a usá-lo.
Usando arquivos-senha
Além da senha de segurança, você também poderá usar um ou vários “arquivos-senha” (Keyfiles). Para tal,durante a criação do seu volume no passo 8, clique no botão “Keyfiles…” e os escolha clicando em “Add Files…“, ou “Add path…” (para usar todos os arquivos de um diretório) você pode escolher quaisquer arquivos que desejar, por exemplo .mp3, .avi, .jpg, .zip etc. Embora o Truecrypt não altere estes arquivos, tome cuidado ao escolhê-los pois se você modifica-los futuramente, nunca mais será possível montar o volume criptografado.
Caso não tenha certeza sobre qual/quais escolher você poderá criar um arquivo aleatório para este fim, clicando no botão “Generate Random Keyfile…” Ao clicar neste botão você deverá mover o mouse sobre a janela por algum tempo para garantir que o conteúdo seja realmente aleatório e então clicar no botão “Generate and Save keyfile…” Este recurso dá uma turbinada na segurança do seu volume, pois mesmo que alguém descubra a sua senha, sem saber qual é o arquivo-senha correto não será possível montar o volume.
Montando o novo volume criptografado
Uma vez que você já tenha o seu volume criado e criptografado você deverá montá-lo para que ele seja visto como um disco normal em seu computador. Observe na tela principal que a sua parte superior apresenta uma tabela contendo uma relação de “Slots” (no Windows seria Drive), Volume, Tamanho, Ponto de montagem (no Windows esta coluna é substituída pela coluna “Algorítmo criptográfico”, e Tipo do volume.
- A primeira coisa a se fazer para montar o volume é escolher o Slot (ou Drive no Windows), para isso apenas dê um clique sobre a linha desejada. No caso do Linux, seu disco seria montado em /media/truecryptN onde N corresponde ao número do slot selecionado. No Windows Ele será reconhecido pela letra de unidade escolhida (D: E: F: N: Y:) etc. Você pode escolher o slot/drive que desejar;
- Observe no canto direito da janela (pouco acima do botão Exit) há dois botões um acima do outro: Select File (Escolher Arquivo) e Select Device (Escolher Dispositivo). Imagino que os nomes sejam bastantes elucidativos mas em todo caso, ao clicar no primeiro você poderá escolher o arquivo contêiner a ser montado enquanto o segundo permitirá escolher o disco/partição a ser montada. Clique no botão correspondente ao seu caso e escolha o dispositivo/arquivo;
- Clique no botão Mount no canto inferior esquerdo da janela;
- Informe a senha de acesso ao seu volume criptografado;
- Caso você tenha optado por usar “arquivo-senha” clique no botão “Key files…” ou no botão “Add Path…” conforme o caso e selecione o(s) arquivo(s);
- Clique em OK e aguarde o dispositivo ser mapeado e montado para acesso. Pode ser pedido para você informar a senha administrativa da máquina, sem a qual não será possível montar o volume.
Considerações finais
Este é o básico do Truecrypt, como este texto já ficou bem extenso eu o encerro por aqui, mas prometo um próximo texto mostrando o uso dos volumes ocultos e também da linha de comandos que permitirá aos usuários mais avançados a aproveitar dos recursos do truecrypt em scripts de automatização de backup.
Embora a explicação escrita do passo a passo seja longo, na prática você não levará nem um minuto para executá-lo. Uma vez que o dispositivo esteja montado, você o usará como qualquer outro disco de seu computador para copiar, salvar, excluir arquivos etc. E uma útima consideração: Esteja atento para desmontar os volumes criptografados o que pode ser feito clicando nos botões Dismount ou Dismount All que desativarão a criptografia e bloquearão o acesso ao disco, respectivamente só do disco selecionado, ou de todos os que estiverem listados.
Referências
[1] Wikipédia. Criptografia. Disponível em http://pt.wikipedia.org/wiki/Criptografia. Acessado em 19-06-2011
[2] Wel. R. Braga. Como criar uma senha segura e fácil de lembrar. Disponível em https://blog.welrbraga.eti.br/?p=88
[3] Wel. R. Braga. Corrigindo as senhas fracas. Disponível em https://blog.welrbraga.eti.br/?p=1107
[4] Wel. R. Braga. Aprenda a criar e decorar senhas seguras sem ‘gastar’ o cérebro. https://blog.welrbraga.eti.br/?p=453
[5] Wel. R. Braga. O lado analógico da segurança digital. https://blog.welrbraga.eti.br/?p=442
[6] Wel. R. Braga. Password Generator. http://www.welrbraga.eti.br/tools/passgen.php
alguem pode me ajudar numa duvida? quando encripto varios computadores em rede, é necessario criar varios discos de recuperacao para cada pc encriptado?
@Rodolfo , não está muito claro o que você pretende fazer, já que o Truecrypt destina-se a criptografar discos locais apenas e não tem qualquer relação com a rede em que eles estejam conectados. Mas se entendi bem, o que você quer é criptografar os discos de vários computadores e usar somente um disco de recuperação para todos eles.
Receio que isso não seja possível visto que cada processo de criptografia produzirá uma chave distinta das demais, de maneira que para cada computador você precisará sim de um disco de recuperação. Claro que isso vai depender do mecanismo usado para criptografar os discos, talvez haja algum programa que permita criar um disco de “recuperação universal” para todos os computadores, mas desconheço.
Uma sugestão (nunca testei mas pode ser que funcione) seria você preparar um computador do jeito que você precisa, incluindo ai a instalação dos programas, criptografia dos discos etc e quando ele estiver ok, você clona o disco desde computador e replica nos demais. A partir dai todos os computadores serão a réplica um-do-outro usando inclusive a mesma chave de criptografia. Desta forma o disco de recuperação de um deles POSSIVELMENTE poderá ser usado nos demais. Na teoria parece que isso atende suas necessidades mas como eu disse nunca testei.
abç