Criptografia de discos e partições: LUKS, BitLocker ou VeraCrypt?

Olá

Recentemente venho dando uma lida/estudada em conteúdos de Segurança da Informação em geral, e decidi colocar algumas coisas em prática. No caso, uma coisa: criptografia nos discos e partições.

Contextualizando, estou usando meu SSD de um pouco menos de 500GB particionado da seguinte maneira: 120GB pro Windows, 100GB pra distro Linux e uns 250GB pra Partição de arquivos que sempre faço (em NTFS pra ter acesso também pelo Windows).
A minha “preocupação” seria a criptografia dessa partição de arquivos, pois lá que está tudo que eu considero de mais importante localmente.

Diante disso, tenho algumas dúvidas:

  1. Qual seria o melhor e mais seguro método para criptografar essa Partição de arquivos, de preferência pelo Linux? LUKS? VeraCrypt?

  2. Não importando o método de criptografia, seria impossível de alguém acessar esses arquivos sem a senha ou chave? Por exemplo, no caso de alguém retirar esse HDD e colocar em outra máquina com Windows/Linux, ou no caso de alguém tentar acessar através de uma distro em modo live.

  3. Criptografar uma partição com uma dessas 3 soluções do título se faz da mesma forma que criptografar um disco inteiro? Não há diferença entre uma partição e um disco para o programa de criptografia?

Agora, acham que criptografar apenas a Partição de arquivos já é uma boa, ou recomendam logo a criptografia de todas as partições? Pergunto isso, pois futuramente irei comprar um notebook, e como irei sair bastante com ele, corro risco de assalto, então irei aplicar esses conceitos de criptografia nele, e provavelmente irei particioná-lo de forma similar.

Agradeço demaiss quem puder ajudar!

2 curtidas

Há alguns anos atrás eu tive dois laptops furtados (um Asus N53TA V2G-SX043R e um Sony Vaio VPCEE23EB). Na época, ainda saindo da adolescência, não tinha muita noção das coisas. Era um usuário descuidado e que nem sequer conhecia o que era Linux. Ainda sinto alguma dor ao lembrar desse fato: além da pancada financeira - os computadores haviam sido caros - e da bronca que levei da família (pois “gerenciava” todos os arquivos), perdi muitas memórias importantes e precisei conviver com algumas tentativas de golpe após dados pessoais meus e de familiares caírem nas mãos de criminosos.

Atualmente tenho utilizado, de forma rotineira, dois computadores: um desktop e um laptop. Em ambos está instalado o KDE Neon como único sistema operacional. O laptop conta com apenas um SSD de pequena capacidade (240GB) e eu não armazeno dados nele. Mantenho os arquivos que estou trabalhando salvos na nuvem (Google Drive), sendo o acesso à minha conta desbloqueado por meio de um chaveiro protegido por senha. Ao manter os arquivos frequentemente acessados no Drive, posso também migrar livremente do desktop para o laptop sem precisar mover nada.

Com relação ao desktop, fiz da seguinte forma: um SSD de 240GB contém o sistema e os programas, enquanto um dos HDDs de 1TB, sem criptografia e acessado constantemente, contém jogos da Steam e arquivos quase sem relevância em caso de furto ou perda (como músicas). Outro HDD de 1TB eu mantenho criptografado com LUKS, para meus arquivos pessoais, e acesso somente quando vou usar para localizar algum arquivo específico ou armazenar algo. Um terceiro HDD, de 500GB, também criptografado com LUKS, é usado para os arquivos da família.

A cada 6 meses eu faço cópias exatas dos HDDs de dados para HDDs externos de mesma capacidade (1TB e 500GB) para me garantir contra furto ou defeito. Esses HDDs externos também estão criptografados com LUKS e eu os mantenho escondidos a sete chaves dentro de casa. Assim, minimizo ao máximo a chance de perda, pois as diferenças da cópia de 6 meses para o arquivamento atual tendem a ser bem pequenas (uma vez que os arquivos movidos constantemente durante o semestre ficam no Drive e só faço a transferência durante o momento do backup dos discos).

Como pode perceber, tenho tentado ao máximo me blindar quanto a problemas relacionados a arquivos. Também busco maximizar minha segurança com relação às contas (adotando boas práticas como a criação de senhas complexas trocadas rotineiramente e nunca usadas em mais de um local e a utilização da verificação em duas etapas). Eliminei também endereços de e-mail secundários que mal utilizava para reduzir o número de preocupações a gerenciar.

Como alguém que já sofreu muito e entrou em depressão por conta desse tipo de problema, eu digo quatro coisas:

  • A quantidade de preocupações deve ser minimizada. Elimine contas de serviços que você não usa mais e mantenha salvos - e organizados - apenas os arquivos que realmente importam para você.
  • A segurança deve ser maximizada em todos os serviços que você usa. Verificação em duas etapas, senhas únicas e complexas, códigos de segurança, cadastramento de telefone e por aí vai.
  • Criptografia sempre em todas as partições de arquivos (ao meu ver, criptografar o disco ou determinada partição surtirá o mesmo efeito).
  • Backup sempre para todos os arquivos relevantes (pois não custa nada para um disco, seja ele SSD ou HDD, ser furtado ou dar defeito).

Acredito que seja basicamente impossível - em termos práticos - acessar uma partição EXT4 criptografada com LUKS sem conhecer a senha.

Hoje eu me sinto bem mais tranquilo e leve tendo adotado essas práticas.

6 curtidas

Recomendaria o LUKS dm-crypt/Device encryption - ArchWiki

Primeiro não confunda o algorítimo usado com a ferramente o qual o emprega, mas enfim “impossível” não diria, pois não há algo 100% seguro, partindo que hoje sim poderá ser “impossível”, mas amanhã poderá surgir alguma vulnerabilidade, à qual a versão por exemplo à qual criptografou poderá ser afetada, mas em geral é exatamente para casos onde esse disco está offline, que criptografá-lo faz sentido.

Segue os tutoriais para o VeraCrypt - ArchWiki e para o dm-crypt/Device encryption - ArchWiki, para um melhor entendimento recomendo alocar um espaço em disco, e então prosseguir com os passos destes tutoriais, para evitar erros catastróficos em uma unidade real…

2 curtidas

@KairanD, obrigado por contribuir.
Poxa, que pena ter tido tantos problemas por causa disso, mas espero que já esteja melhor dos impactos que lhe foram causados.

@null, obrigado por também contribuir.

Ah, sim, foi só o modo de dizer.

Bom, ok, já sanei boa parte das dúvidas.

No caso, surgiram outras dúvidas:

  1. Para criptografar a partição/disco, preciso sempre formatar o mesmo antes?

  2. Considerando o item 1, como poderia fazer a criptografia da partição do Windows? Com o BitLocker, mesmo?

  3. Comigo tendo criptografado a partição de arquivos com o LUKS, não terei nenhum tipo de problema ao tentar acessá-la usando o Windows? Pois pretendo deixar essa partição em NTFS para também acessá-la do Windows em raras vezes, caso precise.
    Eu tava dando uma olhada sobre isso, e encontrei o seguinte tópico: 18.04 - LUKS Encryption of NTFS Partition - Ask Ubuntu
    O que acham sobre?

Eu tinha alguma outra dúvida, mas não estou me lembrando. De qualquer forma, obrigado por já terem ajudado.

Talvez no seu caso, já que pretende acessar a partição em ambos os sistemas, fique com o BitLocker ou VeraCrypt.


BitLocker


VeraCrypt

1 curtida

Olá, pessoal

Considerando que minha partição de arquivos está segura e criptografada com o Veracrypt, se criminosos tivessem acesso à esse SSD, ele estaria seguro. Porém, a partição do sistema (Windows e Linux) não teria criptografia, teria apenas a senha padrão que todos os sistemas pedem para conseguir usá-los. Essa senha também seria difícil de ser burlada? Porque se ela for burlada, os criminosos poderiam ter acesso ao sistema e ao que considero mais perigoso: meu navegador.

Diante disso, provavelmente vou fazer da seguinte forma:

  • Partição do Windows: criptografada com o BitLocker.

  • Partição da distro Linux e SWAP: criptografada com LUKS.

  • Partição de arquivos: criptografada com o Veracrypt.

O que vocês acham quanto à essas questões?