tagesuhu

O objetivo deste tutorial é ensinar em passos rápidos como criar uma partição de disco criptografada com o dm-crypt e o LUKS. O foco aqui são os discos externos. É possível usar estas mesmas instruções para criptografar uma partição do seu disco principal. Todavia, se você quiser criptografar o seu disco inteiro, inclusive a partição root, o modo mais simples é reinstalando o sistema, embora seja também possível fazê-lo com alguns acréscimos às instruções abaixo.

Passo 0: instalar o cryptsetup:

# apt-get install cryptsetup

Passo 0a: certificar-se de que os módulos necessários ao uso do LUKS foram carregados:

# modprobe dm_crypt

Passo 0b (opcional): preencher o disco com dados aleatórios (sobrescreve as informações anteriores, para o caso de um disco que já estava em uso, e ainda torna mais difícil um ataque criptoanalítico):

# time dd if=/dev/urandom of=/dev/sdb bs=1M
(isto provavelmente levará algumas horas)

Obs: antes de executar o comando acima é necessário descobrir qual arquivo no sistema (/dev/xxx) representa o disco desejado. Uma forma simples de fazê-lo é executar o comando “df -h” e identificar o disco pelo seu tamanho.

Passo 1: Particionar o disco usando o seu editor de partições de preferência. Na linha de comando o mais comum é o fdisk. No ambiente gráfico, o gparted realiza essa tarefa sem dificuldades, basta selecionar o disco desejado e clicar no ícone de nova partição, escolher o tamanho desejado e voilà.

Agora é o momento de decidir se a partição criptografada irá ocupar o disco inteiro ou se haverá outras partições não criptografadas ou criptografadas com diferentes chaves. Não crie um sistema de arquivos ainda, ele será destruído quando criptografarmos a partição.

Passo 2: Criar a partição criptografada:

# cryptsetup --verbose --verify-passphrase luksFormat /dev/sdb1

Obs: o sistema pedirá por uma senha. Quanto mais longa e aleatória, melhor. Porém, lembre-se de anotá-la em algum lugar, porque se você esquecê-la perderá tudo o que tinha no disco, já que as chances de quebrar a criptografia são quase nulas.

Passo 2a (opcional): verificar se a partição foi criptografada:

# cryptsetup luksDump /dev/sdb1

Passo 3: Abrir a partição criptografada, nomeando-a:

# cryptsetup luksOpen /dev/sdb1 nomequeeugosto

Passo 3a: Verificar se tudo deu certo até aqui e se foi criado um arquivo representando a partição aberta:

# ls -l /dev/mapper/
...
brw-r----- 1 root root 253, 0 Jul 16 01:52 nomequeeugosto

Passo 4: Criar um sistema de arquivos na partição aberta:

# /sbin/mkfs.ext4 -c -m 1 -O dir_index,filetype,extent,sparse_super /dev/mapper/nomequeeugosto

Obs: Agora é o momento de escolher o sistema de arquivos desejado. Se você for utilizar o disco apenas em uma máquina Linux, o ext4 é uma ótima escolha. Por outro lado, se você pretende acessá-lo de máquinas Windows ou OSX, é aconselhável usar o FAT32, o NTFS ou o HFS. Para instruções sobre formatação com esses sistemas de arquivos, leia as páginas man ou google it.

E pronto.

Para acessar seu disco no Linux (supondo que você está usando o Gnome, o KDE ou o XFCE), basta conectar o disco e o gerente de desktop abrirá uma janela perguntando pela senha da partição criptografada. Para acessar a partição no Windows, existe um programa muito útil que inclusive pode ser instalado em uma partição não criptografada do seu próprio disco externo. Clique aqui para saber mais.

Referências: roysindre e saout.

Em um Estado Democrático de Direito, é garantida aos indivíduos a mais ampla defesa de seus direitos, em especial nos casos em que são penalmente perseguidos pelo Estado. Um dos desdobramentos desta garantia é o direito de não ser coagido a produzir provas contra si próprio, que tradicionalmente implica o direito ao silêncio (sim, aquele dos filmes policiais hollywoodianos), direito de não depor sobre fatos que possam incriminá-lo. A origem histórica desta garantia está ligada à repressão a tortura, que se tentou elidir desvalorizando o quantum probatório da confissão – outrora tida como prova régia -, mas também está ligada ao reconhecimento da imensa desproporção de poder existente entre o indivíduo penalmente perseguido e o Estado perseguidor.

No mundo digitalizado, onde quase tudo sobre nossas vidas está catalogado em bits, este direito de não produzir provas contra si ganha ainda outro aspecto, o direito de não ser forçado a revelar um conhecimento que possa levar à produção de uma prova que o incrimine, o direito de não revelar suas chaves de criptografia.

Pois bem, eis que hoje me deparei com a seguinte chamada:

Two people have been successfully prosecuted for refusing to provide authorities with their encryption keys, resulting in landmark convictions that may have carried jail sentences of up to five years.

Em outras palavras, duas pessoas tiveram suprimida sua garantia fundamental à ampla defesa. Ocorreu um ataque a um dos fundamentos do Estado Democrático de Direito, sem que se seguisse qualquer comoção; nossas garantias individuais mais básicas foram negadas, sem que se seguisse qualquer manifestação de revolta. As notícias na verdade são antigas, foram publicadas agora apenas em um relatório governamental anual do Comissário Chefe de Vigilância na Inglaterra.

E o mais sutil:

The former High Court judge did not provide details of the crimes being investigated in the case of either individual – neither of whom were necessarily suspects – nor of the sentences they received.

Ou seja, a Corte Britânica nega-se a publicar o conteúdo e circunstâncias destas decisões. Não se sabe se existe sequer um juízo de valor sobre os valores que se visa proteger com o ataque à garantia fundamental ou se são simplesmente violadas as garantias por não se imaginar que a atuação do Estado deve ter limites. Não se sabe quem eram essas pessoas, do que eram acusadas quando foram obrigadas a revelar suas chaves de criptografia – obrigadas a produzir uma prova que o Estado perseguidor fora incapaz.

Aqui está o lado bom da notícia. Não se sabe quais algoritmos foram usados para criptografar os dados pessoais dos dois condenados, mas acho que é razoável supor que tenham usado algum dentre os publicamente disponíveis, de forma que os casos são uma evidência da qualidade dos softwares de criptografia, que puderam resistir aos ataques dos técnicos do governo. A informação é vaga, mas há algo de animador no panorama da desgraça. As informações que se queria proteger restaram protegidas.