Deixe-me contar primeiro uma história de apoio: um técnico de informática me desafiou a entregar meu laptop a ele e pedir-lhe qualquer informação que eu quisesse "esconder" em meu disco rígido. Ele alegou que seria capaz de recuperar qualquer coisa, não importa o que eu fizesse para esconder.
Como não aprecio afirmações absolutas como: “e não há nada que você possa fazer a respeito”, comecei a pensar nisso na minha cabeça. Percebi que um sistema operacional muito seguro não funcionaria, já que ele não precisa inicializar a partir deste disco rígido específico para encontrar coisas em meu disco rígido.
A questão genérica aqui é:
Existe uma maneira de proteger completamente todos os dados em um disco rígido? (Não preciso de explicações detalhadas sobre como fazer isso, só preciso que você me indique uma direção; posso ler mais sobre isso sozinho)
Especificamente, suspeito que possa precisar de:
Um sistema operacional que é muito seguro e possivelmente criptografa todos os dados que armazena (não faço ideia se tal coisa existe).
Se o acima não existir, existe uma maneira de criptografar manualmente os dados no meu disco rígido e ainda conseguir inicializar a partir desse disco rígido?
Em geral, quero tornar o disco rígido o menos acessível possível para qualquer pessoa que não seja eu (= conhece uma senha/chave específica), portanto, qualquer solução é bem-vinda.
Responder1
É o suficiente para criptografar os arquivos mais confidenciais. Um arquivo ZIP criptografado com AES de 256 bits e uma senha boa e longa é quase impossível de acessar sem a senha. (Evite usar a criptografia ZIP herdada conhecida como PKZIP stream cipher/ZipCrypto - ela é conhecida por ser fraca.)
Também é possível criptografar uma partição inteira, escondendo tudo nela.Truecrypté uma espécie de programa padrão de fato para criptografia de partição/imagem doméstica (e algumas empresas). Provavelmente a melhor coisa sobre o Truecrypt em comparação com as ferramentas integradas ao sistema operacional é que eleportátil: existe uma versão para Windows, Mac OS X e Linux, que constitui a grande maioria dos sistemas operacionais de consumo.
Se você quiser se escondertudo, você pode criptografar todas as partições do seu sistema, incluindo aquela a partir da qual você inicializou. Não é possível ler dados de uma unidade criptografada sem saber a senha/chave. O problema é que o sistema operacional Windows nem sempre suporta a inicialização a partir de um disco rígido criptografado.*Truecrypt tem o que chamacriptografia do sistema. Eles resumiram muito bem:
A criptografia do sistema envolve autenticação pré-inicialização, o que significa que qualquer pessoa que queira obter acesso e usar o sistema criptografado, ler e gravar arquivos armazenados na unidade do sistema, etc., precisará inserir a senha correta sempre antes de o Windows inicializar (iniciar). ). A autenticação pré-inicialização é controlada pelo carregador de inicialização TrueCrypt, que reside na primeira trilha da unidade de inicialização e no disco de resgate TrueCrypt.
Portanto, o carregador de inicialização Truecrypt será carregado antes do seu sistema operacional e solicitará sua senha. Quando você insere a senha correta, o bootloader do sistema operacional será carregado. O disco rígido é criptografado o tempo todo, portanto, mesmo um CD inicializável não será capaz de ler nenhum dado útil dele.
Também não é tão difícil criptografar/descriptografar um sistema existente:
Observe que o TrueCrypt pode criptografar uma partição/unidade de sistema não criptografada existente enquanto o sistema operacional está em execução (enquanto o sistema está sendo criptografado, você pode usar seu computador normalmente, sem quaisquer restrições). Da mesma forma, uma partição/unidade de sistema criptografada com TrueCrypt pode ser descriptografada no local enquanto o sistema operacional está em execução. Você pode interromper o processo de criptografia ou descriptografia a qualquer momento, deixar a partição/unidade parcialmente descriptografada, reiniciar ou desligar o computador e, em seguida, retomar o processo, que continuará a partir do ponto em que foi interrompido.
*Vários outros sistemas operacionais suportam criptografia de unidade do sistema. Por exemplo, o kernel Linux 2.6 e mais recente possuemdm-criptae Mac OS X 10.7 e mais recentes têmArquivoVault 2. O Windows tem esse suporte comBitLocker, mas apenas nas edições Enterprise/Business/Server e apenas no Vista e mais recentes. Como afirmado acima, o Truecrypt é mais portátil, mas muitas vezes carece da integração necessária para criptografar as unidades do sistema, sendo o Windows a exceção.
Responder2
Uma frase - criptografia completa de disco, de preferência com uma chave bonita, longa e que não seja de dicionário. Você também pode observar sistemas que fazem isso com um arquivo-chave externo. Basicamente, como todo o sistema, exceto o bootloader, é criptografado, com menos de umataque de acesso direto à memória- isto é, usar um firewire ou outro dispositivo que possua DMA para obter o conteúdo da memória e/ou usar um ataque de inicialização a frio para obter informações. É simples distorcer isso - apenas certifique-se de que o sistema esteja desligado e a bateria removida antes de entregar o sistema. Se for apenas um disco rígido, ambos os ataques são improváveis
Eu provavelmente daria uma chance ao truecrypt, usaria uma senha MUITO longa e aleatória (o comprimento torna a força bruta mais difícil e a aleatoriedade evita um ataque de dicionário) e o deixaria ir para a cidade com ela. Como alternativa, algumas versões do Windows possuem bitlocker - que é uma forte opção FDE integrada ao Windows. Da mesma forma, existem soluções para Linux como luks e dmcrypt.
Ou preencha um disco com dados aleatórios... e veja quanto tempo leva para ele descobrir ;)
Responder3
Não caia em truques como “dê-me a senha para que eu possa verificar os resultados”.
Uma conferência de segurança que participei pediu senhas no início. No meio do caminho, o apresentador disse que o maior risco de segurança é VOCÊ, já que a maioria das pessoas distribuía suas senhas gratuitamente.
(E sim, apenas criptografe os dados relevantes.)
Responder4
Concordo com a outra resposta do TrueCrypt. No entanto, tenho um ponto importante a acrescentar: o recurso de negação plausível do TrueCrypt. O que isso significa é que o TrueCrypt não deixa nenhuma assinatura positivamente identificável nos discos/arquivos que criptografa. Portanto, ninguém pode provar se um conjunto de bits no disco são bits aleatórios ou dados criptografados. Isto é tão importante que teve implicações num processo judicial recente.