Métodos de Criptografia:loop-AES, dm-crypt, TrueCrypt/VeraCrypt, eCrptfs, EncFS, geocryptfs, cryptomator, cryfs

6 Advantages & Disadvantages of Full Disk Encryption (FDE)

Abaixo iremos falar um pouco sobre sistemas de arquivos. Não sabe o que é? Clique aqui para ver artigo que fala a respeito.

É bom salientar que um dispositivo(HD…) criptografado traz segurança pois ele só é reconhecido no computador onde ele foi instalado. Podemos até abri-lo em outro computador desde que forneçamos para esse novo computador a passphrase(uma espécie de senha) ou as chaves da criptografia.

Antes de começarmos é bom frisarmos também sobre o que é Criptografia data-at-rest.

Dado em Repouso(data-at-rest)

 

Data-at-rest, ou dado em repouso, são os dados que estão armazenados fisicamente em HDs, pen drives… conectados ao seu pc ou outro dispositivo. Esses dados são guardados de forma permanente, isto é,  mesmo após cortar/desconectar o dispositivo da energia os dados não serão apagados.

Outro termo que geralmente é usado é “data-in-use” ou dado em uso. Esse termo se refere aos dados que estão sendo processados no momento pelo processador ou memória ram. Mas eles não são persistentes. Apagam-se após desconexão com a energia.

Esse tipo de dado em repouso(data-at-rest) está sujeito à ameaças físicas, ou seja, um indivíduo não autorizado pode roubar seu computador e ter acesso fácil aos dados. Ou pode roubar/furtar apenas um HD externo que é usado em seu pc e terá acesso fácil da mesma forma.

Esses dispositivos que têm dados armazenados necessitam de uma proteção e a melhor , sem dúvidas, é criptografia. Logicamente que criptografia não evitará o roubo ou furto, mas evitará o acesso aos seus dados. E, pode acreditar, seus dados têm mais valor que seu pc.

Para dados em repouso(data-at-rest) há três métodos de criptografia:

  • criptografia de sistema de arquivos empilhado (stacked filesystem encryption)
  • cloud-storage otimizado(Cloud-storage optimized)
  • Criptografia em dispositivo em bloco(Block device  encryption)

 

Para resumir um pouco podemos falar que na  Criptografia empilhada o arquivo é criptografado e na criptografia em bloco todo o disco é criptografado.

 

Vamos falar rapidamente sobre eles?

Métodos de Criptografia para Dados em Repouso(Data-at-rest)

 

Criptografia de sistema de arquivos empilhado 

Recebe esse nome por se tratar de de uma camada criada acima(empilhada) do sistema de arquivos existente.

É criada uma pasta e todo arquivo jogado dentro dela é criptografado na hora(on the fly).  Essa criptografia é realizada antes do sistema de arquivos gravar o arquivo.

Quando damos  dois cliques e abrimos o arquivo ele é descriptografado na hora.

Essa “pasta” nada mais é que um sistema de arquivos falso(pseudo sistema de arquivos) que está em cima do verdadeiro sistema de arquivos.

Podemos usar aqui as soluções abaixo:

  • eCryptfs
  • EncFS

 

cloud-storage otimizado(Cloud-storage optimized)

Aqui lidamos com algo chamado  criptografia conhecimento zero(zero-knowledge encryption) que é uma protocolo(ZKP) avançado que permite que as informações sejam compartilhadas sem ser necessário revelar muitas informações às partes. Nesse esquema há um “Provador” e um “Verificador”. O provador prova a autenticidade de uma informação sem precisar revelar o segredo, daí vem o termo “conhecimento zero”. Nenhuma informação sensível é necessária ser revelada para servir como prova.

Estamos falando de partes pois, como o título acima sugere, aqui falamos sobre criptografia para armazenamento em nuvem. Ou seja, temos um cliente que envia dados para um servidor.

Alguns programas armazenamento em nuvem já oferecem criptografia zero knowledge diretamente em suas aplicações instaladas nos computadores dos clientes.

Quando consideramos a criptografia na transmissão de arquivos usando internet devemos considerar outras soluções. Como aplicativos clientes podemos citar os programas de nuvem como os do Google Drive, OneDrive, Mega etc…

Temos as seguintes soluções de criptografia para armazenamento em nuvem:

  • geocryptfs
  • cryptomator(multi-plataforma)
  • cryfs

 

Criptografia em dispositivo em bloco(Block device  encryption)

Nesse modelo todo o bloco é criptografado.

Quando falamos de dispositivos em bloco(block device) estamos falando de HDs, SSDs, CD, DVD, Pen Drive, loop device(arquivos .img, .iso…)

É bom frisar que quando falamos em disco(HD, SSD..) estamos falando das partições desses.

Na criptografia em sistemas de arquivos empillhado(stecked) é criado uma pasta(pseudo sistema de arquivos) em cima do verdadeiro sistema de arquivos.

Na criptografia de “dispositivo em bloco” o bloco inteiro é criptografado e o sistema de arquivos fica na parte de cima do bloco criptografado.

Temos as seguintes soluções abaixo para criptografia em bloco:

  • loop-AES: Esse é um descendente do cryptoloop. Possui  uma gerenciamento não muito amigável e não está disponível nativamente no kernel.
  • dm-crypt: é uma funcionalidade padrão disponibilizada pelo kernel Linux. o Gerenciamento é feito com a ferramenta cryptsetup. Pode ser usado para os seguintes tipos de blocos: LUKS, plain. LUKS é o padrão.
  • TrueCrypt/VeraCrypt: Formato portátil. Criptografa todo o disco ou partições. É compatível com diversos Sistemas Operacionais. TrueCrypt foi descontinuado em 2014 e o VeraCrypt nasceu em 2016 como uma ramificação(fork) desse.

 

Nesse tipo de criptografia é criado um bloco virtual que representa o HD. É esse bloco virtual que formatamos e passamos a utilizar.

Por exemplo, ao criptografar um pen drive irá ser criado dentro de /dev/mapper/ um bloco virtual.  Vamos supor que eu dei o nome de penDriveSeguro para esse bloco; então, é eu toda operação que fizer nesse bloco virtual em /dev/mapper/penDriveSeguro será feito em meu pen drive.

 

Conclusão

Falamos aqui sobre criptografia e as opções que temos para criptografar.  Vimos que essas opções podem ser escolhidas de acordo com o local onde terá os arquivos criptografados: se o local será na nuvem, se queremos que todo o local seja criptografado ou se apenas seja criada uma pasta(camada) onde os arquivos gravados dentro dela seja serão criptografas e ao abri-los descriptografados.

 

Fontes: wikipedia, archlinux.org, bit2me,

Leitor voraz e um dos administradores do GNU/Linux Brasil no Whatsapp, facebook, youtube e nesse dito site: www.gnulinuxbrasil.com.br

One Comment to “Métodos de Criptografia:loop-AES, dm-crypt, TrueCrypt/VeraCrypt, eCrptfs, EncFS, geocryptfs, cryptomator, cryfs”

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *