A palavra “criptografia” tem recebido mais atenção do que de costume após o vazamento das fotos da atriz Carolina Dieckmann. A coluna Segurança Digital de hoje vai mostrar, na prática, como usar a criptografia por meio do programa gratuito (e de código aberto) TrueCrypt, que serve para “embaralhar” seus dados e impedir que alguém que tenha acesso ao computador de forma física consiga lê-los.
O colunista do G1 Ronaldo Prass já mostrou como usar o BitLocker. No entanto, o BitLocker não está disponível para quem não tem o Windows 7 Ultimate (ou o Enterprise, que só está disponível para empresas). O TrueCrypt é uma solução para qualquer versão do Windows.
É importante deixar claro que a criptografia é especialmente útil para reduzir os impactos da perda ou furto de um notebook, por exemplo, mas provavelmente não vai proteger os dados de uma invasão remota de hackers ao sistema. Dito isso, vamos ao tutorial.
Primeiros passos
Faça o download do TrueCrypt no site TrueCrypt.org. Você provavelmente vai querer também a tradução para Português do Brasil, disponível também no site do TrueCrypt (nesse endereço). O arquivo ZIP baixado precisa ser extraído e o arquivo colocado na pasta do TrueCrypt (normalmente C:\Arquivos de Programas\TrueCrypt).
Depois, rode o TrueCrypt. Clique em Settings > Language e escolha o Português-Brasil. Quando clicar em OK, a interface imediatamente ficará em Português.
Criando um “recipiente” criptografado
O TrueCrypt pode ser usado para criptografar unidades inteiras de disco rígido. No entanto, a maneira mais fácil de usá-lo é criando um recipiente. Nessa configuração, o TrueCrypt irá criar um arquivo criptografado no disco rígido e você poderá copiar arquivos para dentro dele.
Clique em Volumes > Criar novo volume. Deixe marcada a primeira opção e clique em “Avançar”. Novamente, deixe marcada primeira opção (Volume TrueCrypt Padrão) e clique em Avançar. Na tela seguinte, clique em “Arquivo” e selecione uma pasta onde o arquivo do TrueCrypt será criado. Dê um nome ao volume, e termine-o com a extensão .tc (o TrueCrypt não a adiciona automaticamente).
Na tela seguinte é possível escolher as configurações de criptografia. AES é uma boa configuração, mas você pode escolher as que estão mais abaixo na lista se o desempenho não for um problema.
Em seguida, você deve definir o tamanho do volume, ou seja, a quantidade de dados que você pretende armazenar no recipiente. Se você quer um volume flexível, coloque um valor alto e atente para uma configuração numa tela mais adiante para transformá-lo em volume dinâmico.
Avançando, é o momento de definir a senha. Senhas recomendadas para o TrueCrypt têm pelo menos 20 caracteres. Mas outra maneira de aumentar a segurança é utilizando um “arquivo chave”. Basicamente, o TrueCrypt irá usar um ou mais arquivos como se fosse uma senha. Além de usar qualquer arquivo que você tenha à disposição (incluindo músicas, fotos e vídeos), o TrueCrypt também pode gerar um arquivo-chave com finalidade estritamente criptográfica.
É muito importante que você não perca o arquivo usado e que esse arquivo nunca seja modificado de qualquer forma, mesmo que minimamente – por exemplo, apenas abrir e salvar um documento do Word já modifica alguns dados, e mudar as informações de “artista” e “título” de um MP3 também. Se você não tiver todos os arquivos-chave definidos, não será possível abrir os arquivos criptografados de nenhuma forma!
Se você definir uma senha, ela será usada em conjunto com os arquivos-chave. Se você definir mais de um arquivo-chave, todos serão necessários para abrir o volume com os dados do TrueCrypt. Caso não queira definir um arquivo-chave, use uma senha muito forte.
Na próxima tela é preciso definir o sistema de arquivos (escolha NTFS se você precisa armazenar arquivos grandes ou se o seu volume tem mais de 30 GB). Se você definiu um valor muito grande para o volume, aqui é o momento de marcá-lo como dinâmico. Nessa configuração, o arquivo do TrueCrypt vai crescer conforme arquivos forem adicionados; se a caixa “dinâmico” não for marcada, ele será imediatamente criado com um tamanho idêntico ao máximo configurado.
Fique movimentando seu mouse nesta tela, porque o movimento do mouse será capturado para ser usado no gerador de arquivos aleatórios do TrueCrypt, aumentando a segurança da chave criptográfica. Depois de mover seu mouse por alguns segundos, clique em “Formatar”. O TrueCrypt irá voltar para a tela inicial de criação de volume – clique em Cancelar.
Montado o volume, clique em “Volumes” > “Selecionar arquivo” ou no botão “Arquivo”. Selecione o volume que você criou. Na parte inferior do TrueCrypt. Na janela principal do TrueCrypt, escolha uma letra de unidade – por exemplo, Z:, e clique em “Montar”.
Digite a senha ou configure os arquivos-chave e clique em OK. Se tudo der certo, a unidade Z: (ou a que você selecionou) vai aparecer. Basta copiar os arquivos para ela e eles estarão sendo automaticamente criptografados. Quando terminar, você pode ir no TrueCrypt e “desmontar” a unidade.
Criptografando um drive USB (HD externo ou pen drive)
Você pode mover o seu arquivo do TrueCrypt para um pen drive e montá-lo com o procedimento acima diretamente dele. No entanto, pode ser que você queira transformar um pen drive inteiro em um drive criptografado – e isso é possível com o TrueCrypt.
O procedimento é semelhante. Clique em Volumes > Criar novo volume. Desta vez, selecione a segunda opção, “Criptografar uma partição/unidade não-sistema”. Quando o TrueCrypt solicitar a localização do volume (dispositivo), clique em “Dispositivo” e tome muito cuidado para selecionar a mídia removível correta. A letra da unidade em que o pen drive ou HD externo está conectado estará na coluna do meio.
Na tela seguinte o TrueCrypt irá perguntar se você deseja formatar o drive e criar um volume vazio ou criptografar os arquivos que já estão presentes na mídia. A primeira opção é melhor e, além disso, a segunda opção não vai funcionar em drives que estiverem em FAT. Ou seja, você quer criptografar um drive portátil, a melhor coisa é tirar os arquivos que estão nele, formatá-lo pelo TrueCrypt e depois recolocar os arquivos.
Os passos seguintes são idênticos aos mencionados anteriormente. Agora, para acessar seu pen drive, você deverá montá-lo pelo TrueCrypt e nunca tentar adicionar arquivos diretamente pela letra que o Windows atribui ao drive. Se você tentar isso, o Windows vai dizer que precisa formatar o drive, e ao fazer isso, você irá remover a criptografia do pen drive e também todos os arquivos que estavam nele.
É claro que você só vai conseguir abrir os pen drive em um computador que tenha o TrueCrypt instalado. Ou seja, não tente esse procedimento com a memória do seu celular ou com o cartão da sua câmera fotográfica.
Criptografando o HD do sistema
Você também pode criptografar o HD inteiro do sistema operacional. Nessa configuração, o Windows exigirá uma senha para ser iniciado. Ao contrário da sua senha de log-in do Windows ou qualquer outra do gênero, a senha do TrueCrypt garante que os arquivos do HD estejam completamente ilegíveis.
Este procedimento, se feito incorretamente, pode impedir o Windows de iniciar. Somente prossiga se você tem conhecimento ou os recursos necessários para recuperar o sistema.
Clique em Volumes > Criar novo volume e selecione a terceira opção, “Criptografar a partição ou unidade do sistema inteira”. Ele vai questionar se você quer uma unidade “Normal” ou “Oculto”. Selecione “Normal”. Em seguida, você deve escolher se quer criptografar apenas a partição do Windows ou o disco rígido inteiro. Não é incomum que o disco rígido tenha uma única partição (apenas o “C:”) e, nesse caso, as duas opções são a mesma coisa. Normalmente, você vai querer criptografar a unidade inteira.
Na tela seguinte, o TrueCrypt irá perguntar se você quer criptografar a “Área Protegida”. Se o seu computador tem ferramentas de diagnóstico fornecidas pelo fabricante, a opção deve ser “Não”. Na dúvida, deixe em “Não”. Avançando, o TrueCrypt questiona se o disco tem mais de um sistema operacional – se você não sabe, a resposta é não, então coloque “Boot único”.
Em seguida, você terá de configurar a senha do drive do TrueCrypt e um disco de recuperação – o TrueCrypt vai exigir que você grave esse disco em um CD ou DVD antes de deixá-lo prosseguir. Esse disco é importante caso algum problema no processo impeça o Windows de iniciar.
Feito isso, o TrueCrypt perguntará se você deseja realizar algum tipo de limpeza no disco rígido. Isso é importante se você quer impedir que os dados atualmente armazenados no disco sejam recuperados. Esse procedimento é bastante lento; o procedimento de 35 ciclos irá levar muito tempo e normalmente não é necessário.
Escolhida a opção, o TrueCrypt solicitará que o sistema seja reiniciado. Se der tudo certo, o TrueCrypt irá solicitar a senha que você configurou antes de iniciar o Windows. Mas isso é apenas um teste que o TrueCrypt realiza para saber se o componente de inicialização foi instalado corretamente.
Depois que o Windows iniciar, o TrueCrypt vai de fato começar a criptografar os arquivos. Esse processo pode levar bastante tempo. Tenha cópias dos seus arquivos antes de iniciar esse procedimento, porque uma falha de hardware, software ou até a interrupção da energia podem causar perda de dados. Esse procedimento vai levar ainda mais tempo se você selecionou alguma limpeza para ser feita nos dados existentes.
Volumes ocultos
Os “volumes ocultos” do TrueCrypt servem para que você consiga criar dois volumes dentro de um único arquivo ou unidade protegida pelo TrueCrypt.
Funciona da seguinte forma: você tem um volume normal, “A”, e um volume oculto “B”. Você armazena os arquivos realmente sensíveis em “B”, mas coloca algumas coisas aparentemente sensíveis em “A”.
Se você for forçado a fornecer a senha do TrueCrypt, você pode fornecer a senha do volume “A” para fazer com quem pensem que você já forneceu os arquivos que estavam criptografados. Porém, não será possível saber que havia o volume “B”. Essa é a função de um volume oculto.
Encrypting File System (EFS)
Além do Bitlocker, mencionado no início desta coluna, o Windows possui outra função para criptografar arquivos. É o Encrypting File System (EFS). Utilizá-lo é muito simples: basta clicar com o botão direito em um arquivo, selecionar “Propriedades”, clicar no botão “Avançado” e marcar a opção “Criptografar o conteúdo para proteger os dados”.
No entanto, é preciso ter bastante cuidado com o EFS. Em alguns casos, você pode acabar gravando dados em DVD, compartilhando ou fazendo backup da informação criptografada. Esse arquivo será ilegível. Portanto, é importante sempre desmarcar a opção de criptografia.
Com o TrueCrypt, os arquivos são apenas criptografados quando estão em um volume montado pelo TrueCrypt. Copiar para um volume não-criptografado automaticamente decodifica os dados. No caso do EFS, isso é mais complexo – os dados só serão decodificados se a unidade for FAT. Ou seja, pode acontecer de você copiar um arquivo criptografado para um pen drive comum e não conseguir abrir os dados em outros computadores. Nesse sentido, o comportamento do TrueCrypt é mais previsível.
Além disso, a criptografia do EFS depende da senha do usuário do Windows e pode ser quebrada com mais facilidade. De qualquer forma, fica o registro como alternativa.
Fonte: http://g1.globo.com/platb/seguranca-digital/2012/05/21/veja-como-usar-o-truecrypt-para-proteger-seus-dados-com-criptografia/.
O software citado é muito útil realmente. Gostaria de ter conhecido ele antes de montar a apresentação PETIC do meu grupo, seria uma boa solução para o processo de encriptação de dados.
ResponderExcluirQuanto aos arquivos chave, é melhor utilizar um certificado, geralmente armazenado em um token somente leitura. Pronto ta resolvido o problema de usuários esquecidos e arquivos que podem ser alterados.
ResponderExcluir