Dica Avançada - Montando HD Externo Criptografado

Amigos leitores, nesse post sobre o MEGA (antigo Megaupload) lhes falei sobre a busca por alternativas ao site. Depois de muito buscar e testar outros serviços, cheguei a uma conclusão: Não há atualmente um serviço de nuvem que esteja  engajado no propósito "anti-espionagem" e "underground".

Para arquivos "normais" (ou se a falta privacidade total não é um problema para você) eu continuo indicando o MEGA, pois ainda é um serviço muito bom, com 50GB grátis de espaço, comparado às opções do mercado. Outro que pode ser interessante (paga) é o "OwnCloud" que pode ser conhecido clicando aqui (em inglês).

Porém, compreendo que alguns, assim como eu, podem querer mais. Então venho trazer uma alternativa que precisará de algum investimento inicial, mas que pode tornar seus arquivos bem mais seguros.

Primeiro passo

Começando com a compra (caso não se possua) de um HD Externo, precisaremos investir um valor que varia de acordo com a marca e capacidade escolhidas. Já aviso que no momento atual, a compra pode ser mais custosa por causa do dólar (material informático ainda é importado na maioria das vezes) e também que às vezes, por causa de R$100 você sai de 1TB de armazenamento para 750GB, então talvez seja necessário aguardar.

Não irei recomendar marcas aqui, pois esse não é o objetivo porém já adianto que, geralmente, marcas conhecidas costumam ser boas opções, na dúvida procure uma loja de informática especializada na sua região e veja as opções e preços, no caso da internet, procure e-commerce's conhecidas ou que já tenha comprado nelas e cuidado com Mercado Livre e afins.

Uma outra dica válida talvez seja comprar um HD à prova d'água, ou uma "case" com essa finalidade, pois tudo que passarei nesse post, com certeza, serve para o caso de um backup de documentos, fotos e etc do seu computador de casa ou até mesmo da sua estação de trabalho (se a política da empresa permitir, claro).

Mexendo com software

Bem, após ter o HD em mãos, vamos ao que interessa. Existem vários softwares disponíveis no mercado como o VeraCrypt (que já mostramos aqui), o LUKS (que também já foi mostrado), o CCrypt, entre outros.

Se você usa o TrueCrypt, recomendo que saia imediatamente, pois seus desenvolvedores o abandonaram (como pode ser visto aqui, em inglês).

Caso ache interessante, vou mostrar rapidamente duas opções, o CCrypt (que ainda não foi mostrado aqui no site) e o GPG (que não é específico para esse fim, mas pode ser interessante para arquivamento).

- CCrypt (Linux recomendado)

Para começar, faça o download dos arquivos:

-> Linux:

- Genérico (32 bits)
- Genérico (64 bits / X86_64)
- Genérico (amd64)
- Debian (i386)
- Debian (amd64)
- FreeBSD (32 bits / i386)
- Android (4.0 ou superior)
- Red Hat (X86_64)
- Red Hat (Source)
- Solaris (i386)
- Solaris (Sparc)
- SuSE (RPM)
- OpenBSD (i386)
- FreeBSD (i386)


-> Windows:

- 95/98/2000/NT

-> MAC:

- MAC OS (todas as versões)

Instalação (Debian)

Após baixar, execute no terminal:

cd /caminhodopacote/

sudo dpkg -i nomepacote.deb

Substituindo caminhodopacote pelo caminho (ex: /home/debian/Desktop/) e  nomedopacote.deb pelo nome do pacote que acabou de baixar (ex: debian_X86.deb).

No caso de algum erro:

Caso dependências sejam necessárias (haverá aviso na tela), execute:

sudo dpkg -f nomepacote.deb

Em caso de nova falha:

sudo apt-get -f install

E então:

sudo dpkg -i nomepacote.deb

Pronto.

Instalação (MAC OS)

Extraia o conteúdo do pacote que acabou de salvar e copie o conteúdo para a pasta que desejar. Caso queira, adicione um atalho na desktop.

Instalação (Linux, outras distros)

Execute no terminal:

cd /caminhodopacote/

sudo tar -vxf nomedopacote.tar.gz

Substituindo caminhodopacote pelo caminho (ex: /home/user/Desktop/); e  nomedopacote.tar.gz pelo nome do pacote que acabou de baixar (ex: linux_amd64.tar.gz). 

Após os comandos, caso exista um arquivo chamado install execute no terminal:

sudo ./install

ou

sudo ./install.sh

Caso exista um pacote (ex: ccrypt.deb) execute:

sudo dpkg -i nomedopacote.deb

Caso deseje, copie a pasta e arquivos que saírem e coloque-os na pasta share:

sudo cp /caminhodosarquivos/ /usr/share/pasta/

O ideal é que caminhodosarquivos seja uma pasta com todos eles, pois o processo acima copia uma coisa por vez. Substituindo caminhodosarquivos pelo caminho da pasta (ex: /home/user/Desktop/ccrypt/) e pasta pelo nome da pasta que deverá ficar em share (ex: ccrypt).

Execução (Linux, todas as versões)

No terminal:

ccrypt -e /caminhodoarquivo/

Substituindo caminhodoarquivo pelo caminho (ex: /home/user/Desktop/crypt).

Será pedida uma senha e o arquivo será criptografado. Após o fim do processo ele estará pronto para ser arquivado.

OBS: Não esqueça a senha, pois não é fácil recuperá-la.

Recuperando os arquivos

No terminal:

ccrypt -d /caminhoarquivo/

A senha fornecida na encriptação será requisitada, ao final do processo o arquivo original surgirá.

 

- GPG (GnuPG)

Já falei sobre ele em outro artigo aqui no site, por isso nesse post não abordarei ele profundamente, recomendo que use ele ao invés do ccrypt para arquivamento (após criptografar).

Hash's suportadas

Vou ser simples e direto aqui:

- LUKS: SHA-1
- Ccrypt: AES (256 bits)
- VeraCrypt: RIPEMD160 e SHA-2
- GPG: 3DES, CAST5, BLOWFISH, AES (64/192/256 bits), TWOFISH e CAMELLIA (128/192/256 bits)

Ideias

Como já disse em outros posts, para se aumentar a segurança, a adoção de processos e métodos mais seguros e eficientes sempre podem ajudar (a teoria da Segurança da Informação prega isso).

Uma ideia, seria a de combinar uma partição criptografada com arquivos e pastas criptografadas dentro dela.

Uma outra, seria a de usar o próprio "tar" (ou gerenciador de arquivos compactados, rar, entre outros) para criar pacotes com senha, criptografar com o GPG e depois jogar no disco, assim teríamos três senhas e caso as mesmas sejam fortes, melhor ainda.

Referências

https://guardianproject.info/code/luks/
https://veracrypt.codeplex.com/
http://ccrypt.sourceforge.net/ccrypt.html

Recomendamos a leitura

Segurança Digital - Criptografia básica com GPG (GnuPG) no linux
Segurança Digital - Criptografia com VeraCrypt
Criptografia Linux disco rígido com LUKS [cryptsetup Command]

Dúvidas e sugestões? Venha para o nosso grupo no Facebook.

Até a próxima!

Read More

Criptografia Linux disco rígido com LUKS [cryptsetup Command]

Métodos de criptografia Linux

Existem dois métodos para criptografar seus dados:

1: Sistema de arquivos empilhados criptografia nível

eCryptfs -

É um sistema de arquivos Linux criptográfico empilhadas. eCryptfs armazena metadados de criptografia no cabeçalho de cada arquivo escrito, de modo que os arquivos criptografados podem ser copiados entre os hosts, o arquivo será descriptografado com a chave apropriada no chaveiro do kernel Linux. Esta solução é amplamente utilizado, como base para a criptografados Diretório do Ubuntu, nativamente dentro ChromeOS do Google, e de forma transparente incorporado em rede anexado vários dispositivos de armazenamento (NAS).

Encfs -

Ele fornece um sistema de arquivos criptografados em espaço do usuário. Ele roda sem permissões especiais e usa a biblioteca FUSE e módulo do kernel Linux para fornecer a interface do sistema de arquivos. Você pode encontrar links para fontes e versões binárias abaixo. Encfs é um software de código aberto, licenciado sob a GPL.



2: Bloco de criptografia no nível do dispositivo

Loop-AES -

Rápido e transparente do sistema de arquivos e um pacote de criptografia de swap para linux. No código fonte muda a kernel do Linux. Funciona com 3.x, 2.6, 2.4, 2.2 e 2.0 kernels.

TrueCrypt -

É livre de código aberto de software de criptografia de disco para Windows 7/Vista/XP, Mac OS X e Linux.

dm-crypt + LUKS - dm-crypt é um subsistema transparente de criptografia de disco no Linux kernel do v2.6 + e posterior e DragonFly BSD. Ele pode criptografar discos inteiros, mídia removível, partições, volumes RAID de software, os volumes lógicos e os arquivos.

Neste post, vou explicar como criptografar suas partições usando o Linux Unified formato Setup-on-disk (Key LUKS) no seu computador ou laptop baseado em Linux.



Instalar utilitário cryptsetup

Você precisa instalar o seguinte pacote. Ele contém cryptsetup, um utilitário para a criação de sistemas de arquivos criptografados usando Device Mapper eo alvo dm-crypt. Tipo de usuário Debian / Ubuntu Linux o seguinte comando apt-get :

apt-get install cryptsetup

Saidas de amostra:


Lendo listas de pacotes ... Feito

Árvore de dependências do edifício

Lendo informação de estado ... Feito

Os seguintes pacotes extra serão instalados:

libcryptsetup4 cryptsetup-bin

Pacotes sugeridos:

busybox

Os seguintes NOVOS pacotes serão instalados:

cryptsetup libcryptsetup4 cryptsetup-bin

0 pacotes atualizados, 3 novos instalados, 0 a serem removidos e 7 não atualizados.

É preciso obter 168 kB de arquivos.

Após esta operação, serão utilizados 669 KB de espaço em disco adicional.

Você quer continuar [Y / n]? y

Obter: 1 http://ap-northeast-1.ec2.archive.ubuntu.com/ubuntu/ preciso principal amd64 / libcryptsetup4 2:1.4.1-2ubuntu4 [55,8 kB]

Obter: 2 http://ap-northeast-1.ec2.archive.ubuntu.com/ubuntu/ / main cryptsetup-bin amd64 2:1.4.1-2ubuntu4 precisa [32,2 kB]

Obter: 3 http://ap-northeast-1.ec2.archive.ubuntu.com/ubuntu/ preciso principal amd64 / cryptsetup 2:1.4.1-2ubuntu4 [80,0 kB]

Buscada 168 kB em 0s (268 kb / s)

Pré-configurando pacotes ...

Selecionar previamente não selecionado libcryptsetup4 pacote.

(Lendo banco de dados ... 25374 arquivos e diretórios atualmente instalados.)

Desempacotando libcryptsetup4 (a partir de ... / libcryptsetup4_2% 3a1.4.1-2ubuntu4_amd64.deb) ...

Selecionando pacote previamente não selecionado cryptsetup-bin.

Desempacotando cryptsetup-bin (de ... / cryptsetup-bin_2% 3a1.4.1-2ubuntu4_amd64.deb) ...

Selecionar previamente não selecionado cryptsetup pacote.

Desempacotando cryptsetup (a partir de ... / cryptsetup_2% 3a1.4.1-2ubuntu4_amd64.deb) ...

Processamento de gatilhos para man-db ...

Processamento de gatilhos para ureadahead ...

Configurando libcryptsetup4 (2:1.4.1-2ubuntu4) ...

Configurando cryptsetup-bin (2:1.4.1-2ubuntu4) ...

Configurando cryptsetup (2:1.4.1-2ubuntu4) ...

update-initramfs: update adiando (trigger ativado)

Processamento de gatilhos para libc-bin ...

ldconfig processamento diferido ocorrendo agora

Processamento de gatilhos para initramfs-tools ...



update-initramfs: Generating / boot/initrd.img-3.2.0-31-virtual

Usuário RHEL / CentOS / Fedora Linux digite o seguinte comando yum :

# yum install cryptsetup-luks

Configurar partição LUKS

Neste exemplo, eu vou encript /dev/xvdc. Digite o seguinte comando:

# cryptsetup-y-v luksFormat /dev/xvdc

Saídas de Amostra:


# cryptsetup-y-v luksFormat / dev / xvdc


ATENÇÃO!
========
Isto irá substituir dados no / dev / xvdc irrevogavelmente.


Tem certeza? ( Digite sim maiúsculas ) : SIM
Enter LUKS passphrase:
Verifique frase:


Comando de sucesso.

Este comando inicializa o volume, e define uma chave inicial ou senha. Por favor, note que a senha não é recuperável, então não esqueça it.Type o comando a seguir cria um mapeamento:

# cryptsetup luksOpen /dev/xvdc Backup2

Saídas de amostra:
Digite senha para /dev/xvdc:

Você pode ver um mapeamento de nome / dev/mapper/backup2 após verificação bem sucedida do material de chave fornecida, que foi criado com a extensão de comando luksFormat:

# ls-l / dev/mapper/backup2

Saidas de amostra

lrwxrwxrwx 1 root root 7 19 de outubro 19:37 /dev/mapper/backup2 -> .. /dm-0

Você pode usar o seguinte comando para ver o status do mapeamento:

# cryptsetup-v backup2 estado

Saidas de amostra

/Dev/mapper/backup2 está ativo.
Tipo: LUKS1
cifra: aes-cbc-essiv: sha256
keysize: 256 bits
device: / dev / xvdc
offset: 4096 setores
size: 419426304 setores
mode: leitura / gravação


Comando de sucesso.

Você pode despejar cabeçalhos LUKS usando o seguinte comando:

# cryptsetup luksDump /dev/xvdc

Formato partição LUKS

Em primeiro lugar, você precisa escrever zeros para /dev/mapper/backup2 dispositivo criptografado. Isto irá alocar dados em blocos com zeros. Isso garante que o mundo lá fora vai ver estes dados aleatórios, ou seja, que protegem contra a divulgação de padrões de uso:

# dd if=/dev/zero of=/dev/mapper/backup2

O comando dd pode levar várias horas para ser concluído. Eu sugiro que você use o comando pv para monitorar o progresso :

# pv-tpreb /dev/zero | dd of=/dev/mapper/backup2 bs=128M

Para criar um sistema de arquivos ou seja, formato de sistema de arquivos, digite:

# mkfs.ext4 /dev/mapper/backup2

Para montar o novo sistema de arquivos em / backup2 , digite:

# mkdir / Backup2

# mount / dev/mapper/backup2 / Backup2

# df-H

# cd / Backup2

# ls-l

Como faço para desmontar e dados seguros?

# umount /backup2

# cryptsetup luksClose backup2

Como faço para montar ou remontar partição criptografada?



Digite o seguinte comando:

# cryptsetup luksOpen /dev/xvdc backup2

# mount /dev/mapper/backup2 /Backup2

# df-h 

# mount

Veja shell script envoltório que abre partição LUKS e configura um mapeamento para dispositivos NAS.



Posso executar o fsck no volume partição / LVM com base LUKS?



Sim, você pode usar o comando fsck Em sistemas baseados LUKS:

# umount /backup2

# fsck-vy /dev/mapper/backup2

# mount /dev/mapper/backup2 /backup2

Veja como executar fsck Em LUKS (dm-crypt), com base volume físico LVM para mais detalhes.



Como posso alterar o LUKS passphrase (senha) para a partição criptografada?



Digite o seguinte comando:

# cryptsetup luksDump / dev / xvdc

# cryptsetup luksAddKey / dev / xvdc Digite qualquer senha:
Digite a nova senha para o slot-chave:


Verifique frase:

Remover ou excluir a senha antiga:

# cryptsetup luksRemoveKey /dev/xvdc

Por favor, note que você precisa para entrar no antigo senha / senha.



Conclusão

Agora você tem uma partição criptografada para todos os seus dados.



Prós:

LUKS criptografa dispositivos de blocos inteiros e é, portanto, bem adequado para proteger o conteúdo de dispositivos móveis, como mídia de armazenamento removíveis (pen USB) ou unidades de disco portáteis.

Você também pode usar com o seu servidor NAS para proteger backups.

Intel e AMD com AES-NI (Advanced Encryption Standard conjunto de instruções) pode acelerar a criptografia baseada dm-crypt para Linux Kernel v2.6.32 +. Isto irá acelerar a criptografia disco rígido.

Funciona com partição swap muito para que seu laptop pode usar o recurso de hibernação (suspend-to-disk) que escreve o conteúdo da RAM para a partição de swap antes de desligar a máquina.



Contras:

LUKS só suportam até 8 senhas, ou seja, apenas 8 usuários podem ter teclas de acesso distintas para o mesmo dispositivo.]

LUKS também não é recomendável para aplicações que exigem criptografia em nível de arquivo.


Créditos ao Natan, por publicar este artigo no antigo fórum da Brutal Security.
Créditos originais não encontrados.

Read More