Beruflich Dokumente
Kultur Dokumente
CRIPTOGRAFIA DE DISCO
Quando falamos de segurança da informação, podemos usar várias técnicas e ferramentas para evitar
intrusões remotas e locais através do terminal. Mas nós devemos pensar em outras possibilidades além do
acesso ao terminal propriamente dito.
Como podemos garantir a segurança do nosso servidor se ele for roubado? E se alguém conseguir clonar o
HD? E se roubarem o nosso notebook?
Nessas situações não teremos o que fazer, o ladrão (invasor) vai ter acesso a todas as nossas informações.
A primeira é ter uma boa proteção física aos seus servidores, colocando acessos através de cartões,
acessos biométricos, salas cofres ou pelo menos que a sala fique trancada e somente pessoas de confiança
tenham acesso a eles.
O segundo ponto é criptografar o disco, ou melhor dizendo, colocar uma criptografia nas partições onde
ficam as informações confidencias da empresa.
Para trabalharmos com criptografia de discos e partições, devemos adotar primeiramente um método de
criptografia. Um método que é muito recomendado em sistemas GNU/Linux (//www.vivaolinux.com.br/linux/)
é o LUKS, que significa Linux Unified Key Setup.
O LUKS foi desenvolvido para implementar uma padrão único de criptografia de discos, pois outras soluções
não mantinham uma padronização de criptografia, o que causava grandes dores de cabeças aos usuários
quando precisavam fazer alguma migração de versão ou migração de ferramentas.
https://www.vivaolinux.com.br/artigos/impressora.php?codigo=11019 1/5
7/17/2018 Criptografia de disco [Artigo]
O LUKS se baseia em uma documentação escrita por Clemens Fruhwirth chamada "TKS1 - An anti-forensic,
two level, and iterated key setup scheme". Pode-se dizer que o LUKS é a implementação de prova de
conceitos dessa documentação. Para implementarmos o LUKS em um sistema Linux
(//www.vivaolinux.com.br/linux/) utilizaremos as seguintes ferramentas:
dm-crypt: o dm-crypt é um subsistema de criptografia de discos em kernel Linux versão 2.6. Ele faz
parte do infraestrutura device-mapper (sistema de mapeamento de dispositivos de blocos). O dm-
crypt foi desenvolvido para trabalhar com vários modos de criptografia, como CBC, ESSIV, LRW e
XTS. Como o dm-crypt reside na camada de kernel, ele precisa de front-ends para criar os
dispositivos criptografados e manuseá-los. Esses front-ends são o cryptsetup e cryptmount.
cryptsetup: o cryptsetup é usado para configurar a criptografia nos dispositivos utilizando o dm-crypt.
Ele possui comandos para trabalhar com e sem o LUKS.
cryptmount: comando usado para montar/desmontar dispositivos criptografados. Ele permite que
usuários montem dispositivos criptografados sem a necessidade do superusuário.
Em relação ao acesso físico, a norma ABNT NBR ISO/IEC 27002:2005 diz no item 9.1.1, que convém que
sejam utilizados perímetros de segurança (barreiras tais como paredes, portões de entrada controlados por
cartão ou balcões de recepção com recepcionistas) para proteger as áreas que contenham informações e
instalações de processamento da informação.
Sobre a criptografia a norma diz no item 12.3.1, na letra C, que convém o uso de criptografia para a
proteção de informações sensíveis transportadas em celulares e PDAs, mídias removíveis ou móveis,
dispositivos ou linhas de comunicação.
Essa criptografia é feita na instalação do sistema operacional ou depois que ele está instalado?
Quando trabalhamos com criptografia de discos, podemos escolher se desejamos fazer na instalação do
sistema ou fazer depois que o sistema já está instalado. As distribuições Debian e Red Hat tem essa opção
de fazer a criptografia logo na instalação.
No nosso caso, estamos supondo que estamos trabalhando em um servidor que já estava instalado, então
temos alguns procedimentos a seguir para fazer esse trabalho. Se vamos fazer em um servidor que já está
em produção, qual é o primeiro passo a ser feito?
Se vamos criptografar uma partição que já está montada e já contém dados, vamos ter que fazer um
backup, pois na construção do sistema de criptografia os dados serão perdidos. Caso seja uma partição que
ainda não contenha dados esse procedimento é mais tranquilo.
Para o nosso ambiente, vou supor que vocês tem uma partição sobrando, no caso no meu exemplo, vou
https://www.vivaolinux.com.br/artigos/impressora.php?codigo=11019 2/5
7/17/2018 Criptografia de disco [Artigo]
usar a /dev/sda10.
Para trabalharmos com o sistema de criptografia dm-crypt precisamos que os módulos relacionados a ele
estejam ativados:
# lsmod | grep dm
dm_crypt 11172 0
crypto_blkcipher 15236 1 dm_crypt
dm_mod 46184 1 dm_crypt
# lsmod | grep md5
# cat /proc/crypto
Com o cryptsetup instalado, podemos configurar como será utilizada a criptografia em nossa partição:
Parâmetros do cryptsetup:
https://www.vivaolinux.com.br/artigos/impressora.php?codigo=11019 3/5
7/17/2018 Criptografia de disco [Artigo]
Com a opção luksOpen, o nosso dispositivo /dev/sda10 foi mapeado para /dev/mapper/crypt1, e a partir de
agora, não pode mais ser acessado diretamente por /dev/sda10, somente por /dev/mapper/crypt1.
# ls -l /dev/mapper/crypt1
Para acessarmos o dispositivo, temos que definir um sistema de arquivos para ele:
# mkfs.ext3 /dev/mapper/crypt1
Agora o nosso dispositivo está pronto para ser usado. Vamos definir um diretório onde ele será montado:
# mdkir /documentos
# mount /dev/mapper/crypt1 /documentos
# ls -l /documentos
Dessa maneira a nossa partição não vai ser montada na inicialização do sistema. E quando estamos falando
partições criptografadas, não basta apenas acrescentar a partição ao /etc/fstab. Ele precisa ser configurado
em mais um arquivo, que é o /etc/crypttab.
# vim /etc/crypttab
Notem que a key_file está definida como none. Existe a possibilidade de criar um arquivo ou um dispositivo
removível com a chave para esse dispositivo ser iniciado. No nosso caso, a senha será solicitada na
inicialização do sistema.
Agora seguindo os moldes padrão de sistemas Linux (//www.vivaolinux.com.br/linux/), temos que colocar
esse dispositivo no /etc/fstab:
# vim /etc/fstab
https://www.vivaolinux.com.br/artigos/impressora.php?codigo=11019 4/5
7/17/2018 Criptografia de disco [Artigo]
Podemos fazer um teste manual antes de reinicializar o sistema. Para isso precisamos desativar o
dispositivo criptografado e iniciar o script /etc/init.d/cryptdisks:
# reboot
Logo na inicialização do sistema será pedido para digitar a senha do ponto de montagem criptografado.
Voltar (verArtigo.php?codigo=11019)
https://www.vivaolinux.com.br/artigos/impressora.php?codigo=11019 5/5