No artigo anterior sobre o Truecrypt eu comentei sobre o seu funcionamento básico que seria a criação de um volume encriptado normal e a sua montagem. Esta é abordagem padrão de qualquer sistema de criptografia de discos e é muito boa para manter o sigilo dos seus dados. O seu único problema – e também de todos demais utilitários para este fim – é que se o criminoso sabe que seu disco está encriptado, você poderá sofrer de extorsão até que revele a senha. O truecrypt consegue dar uma segurança a mais com relação a este problema usando o chamado volume oculto.
Extorsão, em poucas palavras, é o crime (art 158 do código penal brasileiro) em que o o individuo é ameaçado a sofrer alguma punição caso não atenda as chantagens do criminoso. Imagine a situação em que alguém o está chantageando a fornecer a senha do seu volume encriptado. Como o indivíduo sabe da existência do volume encriptado é quase impossível que você não seda a extorsão e forneça a senha.
Pensando nisso, a equipe de desenvolvimento do Truecrypt criou o recurso de volume oculto que nada mais é do que uma parte deste volume que para ser acessada depende de outra senha. A menos que você quem criou o volume oculto conte pra alguém sobre a sua existência é tecnicamente impossível até mesmo para um perito em criptografia descobrir que existe este volume lá.
Criando um volume oculto criptografado
O seu processo de criação e uso destes volumes é sensivelmente diferente com relação ao volume criptografado padrão por isso vou descrevê-lo omitindo os detalhes que não são estritamente relevantes neste novo cenário. Caso você precise de informações que não estejam aqui ou mesmo não o tenha lido antes, recomendo a leitura do artigo anterior.
- Inicie o Truecrypt a partir do menus de aplicativos do seu sistema;
- Inicie o assistente de criação de volumes a partir do menu Volumes > Create New Volume…, ou a partir do botão Create Volume na tela principal do Truecrypt
- [Truecrypt Volume Creation Wizard]
Você deverá decidir se deseja criar um arquivo conteiner criptografado (Create an encrypted file conteiner) ou se deseja encriptar um disco/partição (Create a volume within a partition/drive); - [Volume Type]
Uma vez escolhida a melhor opção para o seu caso o próximo passo é escolher o tipo de volume, que neste nosso caso será a opção “Hidden Truecrypt Volume“; - [Volume Locations]
Agora você deve informar o caminho e o nome para o arquivo conteiner, ou se você escolheu encriptar uma unidade de disco/partição inteira escolha a unidade de disco/partição desejada; - [Outer Volume Encryption Options]
O algoritmo de criptografia e de criação de hashs por padrão são, respectivamente AES e RIPEMD-160, e devem ser as adequadas para a maioria dos usuários; - [Outer Volume Size]
Caso você tenha optado por criar um arquivo contêiner, nesta etapa você deverá determinar o tamanho do volume. Caso você tenha optado por encriptar um disco/partição você não verá esta opção e será levado diretamente para seguinte; - [Outer Volume Password]
Neste passo você deverá informar uma senha para o seu volume externo (também chamado de Outer Volume). Aqui começa a parte crítica da criação de volumes ocultos. Nós estamos preparando o volume externo, onde estarão os dados que embora estejam criptografados não será o conteúdo realmente importante a ficar protegido, por isso esta senha poderá ser “um pouco mais relaxada” porém não use algo muito fácil. Da mesma forma que na criação de volumes padrões também é possível usar “arquivos-senha” se você desejar. - [Outer Volume Format]
Neste passo o Truecrypt formatará o disco/partição/arquivo conteiner externo. Observe que ao contrário do que ocorria na criação de volumes padrões, o Truecrypt não o questionou sobre o sistema de arquivos (FAT, EXT2,EXT3, EXT4 etc) a ser usado. Isso ocorreu porque, por padrão o Truecrypt sempre cria o volume externo como VFAT. Quando estivermos criando o volume interno será possível escolher o sistema de arquivos (só para o volume interno). Mova o mouse algumas vezes sobre a janela para melhorar a entropia de geração de números aleatórios e então clique no botão “Format“. Ao receber o aviso de que o volume foi criado apenas clique OK para que o volume externo seja formatado e montado;Obs: Também pode ocorrer de ser exibida uma caixa Administrator privileges required neste caso informe a senha do usuário administrador do seu computador e clique em OK
- [Outer Volume Contents]
O Truecrypt deverá abrir o gerenciador de arquivos (Mac OS FInder, Windows Explorer, Tunar, Nautilus etc) do seu sistema e o permitirá copiar dados para dentro deste volume. Lembre-se que este ainda é o volume externo então você colocará aqui dados que embora “pareçam sigilosos” na verdade você não tem tanta preocupação com a proteção deles.- É importante lembrar que o espaço que sobrar após esta cópia será o que você terá disponível para criar o volume oculto. Ou seja, se o seu volume tem 2GB e você colocou 1.5GB de dados só poderá criar o volume oculto com no máximo 500MB.
- Outra consideração aqui é que você não é obrigado a colocar dados agora. Futuramente você poderá montar este volume e colocar dados normalmente, desde que tomadas as devidas medidas de segurança para não destruir seus dados no volume oculto.
- [Hidden Volume]
Terminamos a criação do volume externo agora começaremos efetivamente a criação do volume interno. Nesta etapa você apenas clicará no botão “Next> já que é apenas uma página explicativa sem nenhuma opção a sem alterada; - [Hidden Volume Encryption Options]
Este passo é similar ao passo 6, onde se escolhe o algoritmo de encriptação, mas desta vez é para o volume oculto, então vale as mesmas explicações dadas naquela parte; - [Hidden Volume Size]
Nesta etapa informaremos o tamanho do volume oculto. Observe que obrigatoriamente ele é limitado ao tamanho do volume externo menos o espaço ocupado pelos arquivos copiados no passo 10, ou seja se o seu volume externo é de 1.5GB (definido por você no passo 7) e você copiou 1GB de arquivos, no passo 10, você só poderá criar um volume oculto de até o máximo de 512MB; - [Hidden Volume Password]
Agora nós deveremos informar a senha para o volume oculto. Capriche nesta senha pois será aqui que estarão os seus dados realmente sigilosos. Recomendo inclusive que para este caso você use arquivos-senha.
Uma observação importante aqui é que a senha deverá ser obrigatoriamente diferente da senha do volume externo, pois o processo de montagem de ambos os volumes é o mesmo e a única coisa que determina se você quer montar um ou o outro é a senha e/ou o arquivo/senha. - [Format Options]
No volume interno nós podemos mudar o sistema de arquivos, tal como nos volumes padrões. Lembro que os sistemas de arquivos EXT2, EXT3 e EXT4 são reconhecidos apenas pelo Linux, então se você precisará acessar este disco criptografado a partir do outros sistemas operacionais a única opção disponível para garantir esta portabilidade é o formato FAT e o NTFS (caso esta opção esteja disponível para o seu sistema); - [Cross-Platform Support]
Esta etapa é apenas um alerta que será exibido a quem escolher qualquer sistema de arquivos que não o FAT (na etapa anterior), visto que este é o único que pode ser lido por qualquer sistema operacional.Escolha uma dentre as duas opções disponíveis: “I will mount the volume on other platforms” (usará em outras plataformas/sistemas operacionais) e “I will mount the volume only on Linux” (usará somente no Linux). A única diferença entre elas será que caso escolha a primeira opção você verá mais uma mensagem avisando sobre a possível inviabilidade de acessar seus dados a partir de outros sistemas operacionais e de qualquer forma será levado de ao próximo passo, ou seja tanto faz a opção que você escolher aqui;
- [Hidden Volume Format]
Neste passo o Truecrypt formatará o volume interno. Mova o mouse algumas vezes sobre a janela para melhorar a entropia de geração de números aleatórios e então clique no botão “Format“. Ao receber o aviso de que o volume foi criado apenas clique OK tomando ciência dos riscos de não se tomar o devido cuidado para proteção do volume, o que eu comentarei na sessão seguinte (“Montando os volumes”); - [Volume Created]
Embora haja um botão Next nesta etapa ele o levará para o início do assistente, então clique em Exit para finalizar o assistente e pronto, seu volume oculto e o seu respectivo volume externo estão criados.
Montando os Volumes
O processo de montagem dos volumes é similar ao processo descrito no artigo anterior e que pra sua comodidade é transcrito aqui novamente de forma resumida, entretanto há algumas considerações importantes quanto a este processo para que você não destrua seus dados.
- Escolha o Slot (ou Drive no Windows) onde o volume será montado;
- Clique em um dos dois botões: Select File (Escolher Arquivo) ou Select Device (Escolher Dispositivo) de acordo com o seu caso e escolha o dispositivo/arquivo;
- Clique no botão Mount no canto inferior esquerdo da janela;
- Informe a senha de acesso ao seu volume criptografado e caso você tenha optado por usar “arquivo-senha” clique no botão “Key files…” ou no botão “Add Path…” conforme o caso e selecione o(s) arquivo(s);
Obs: Esteja atento a senha que você vai digitar, pois ela é quem determina qual volume será montado. Para montar o volume oculto, digite a senha do volume oculto, para montar o volume externo use a senha do volume externo (algo bem lógico e intuitivo, não?! 😉 ) - Clique em OK e aguarde o dispositivo ser mapeado e montado para acesso. Pode ser pedido para você informar a senha administrativa da máquina, sem a qual não será possível montar o volume.
Considerações sobre a segurança do volume oculto
Ao montar o volume oculto, você poderá trabalhar normalmente com ele, como se fosse um volume padrão – e consequentemente como se fosse um disco comum. Entretanto ao montar o volume externo deve-se tomar um cuidado extra. Caso você não tome os devidos cuidados poderá destruir o seu volume oculto e consequentemente seus dados sigilosos, pois o Truecrypt não tem como descobrir que existe um volume oculto ali dentro sem que vocÊ o informe disso.
Existem duas formas de protegermos o volume oculto, quando estivermos trabalhando com o volume externo: Você pode montar o volume externo como somente leitura, o que impediria que você grave dados neste volume destruindo o oculto, ou então informar ao Truecrypt da existência do volume oculto e que ele deverá proteger este volume.
Ambas as opções podem ser vistas no passo 4 do processo de montagem do volume (na caixa de pedido de senha). Naquela tela, informe a senha do volume externo, clique no botão “Options >” e então marque a opção “Mount volume as read-only” (montar volume apenas para leitura) ou então marque a opção “Protect hidden volume when mounting outer volume” (Proteger volume oculto quando montar volume externo). Ao marcar esta segunda opção você deverá informar a senha e/ou o(s) arquivo(s)-senha do seu volume oculto.
Marcadas as devidas opções clique em OK e seu volume oculto estará protegido para que você trabalhe despreocupado com o volume externo.
Referências
Wel. R. Braga. Proteja seus dados usando Truecrypt. https://blog.welrbraga.eti.br/?p=1341
Ótima matéria. Parabéns.
Só me resta uma dúvida: Se durante uma queda de energia eu estiver trasnferindo meus arquivos para o meu HD externo que está com o arquivo container criado pelo TrueCrypt, e esse arquivo se corromper.. perco tudo? Já eram todos os meus arquivos confidenciais?
@Bruno
Pra ser honesto, ao longo destes mais de 4 anos que uso o Truecrypt, eu nunca tive que lidar com volumes corrompidos, o máximo que já tive foi uma falha no sistema de arquivos interno mas nada que o bom e velho fsck não resolvesse. Mas está ai um bom exercício a ser simulado.
Boa tarde. Li o seu tutorial e achei muito bom. Segui todos os passos e deu certo. Só que quando eu abro o true crypt e vou montar o volume externo da certo. Mas não consigo acessar o volume interno. Por favor, poder explicar melhor como funciona?
Tudo bem @Daniel ,
Dei uma revisada no texto e acrescentei alguns detalhes que poderiam passar desapercebidos, dá uma lida novamente agora com as correções, e tente novamente. Meu palpite é que você tenha usado a mesma senha para o volume externo e para o volume oculto.
Conforme observação no passo 14 ambas as senhas devem ser diferentes. Isso já estava escrito nas considerações finais, mas acabo de mover esta informação para a seção onde ela poderá ser mais útil.
Uso este sistema há mais de 04 anos e nunca tive problemas, mas recentemente um volume criptografado que criei não abre mais. Ocorreu um travamento do TrueCrypt quando fechava o volume e precisei forçar o fechamento… resultado… os arquivos foram perdidos para sempre… O programa é muito bom naquilo que oferece, mas pode haver estes inconvenientes.