Criptografia de pen drive Perder um pen drive é fácil demais. Proteja seus dados para evitar que caiam em mãos erradas. por Kristian Kissling M uitos usuários guardam dados importantes em pendrives. Podem ser senhas, endereços de email, planilhas ou outras informações confidenciais. Para as empresas, isso representa um risco significativo, pois se o pendrive for extraviado, os dados podem fornecer informações que podem ser usadas contra a própria empresa ou até contra seus clientes e fornecedores. Este artigo mostra como criptografar dados em qualquer pendrive, uma medida que deveria fazer parte das obrigações de toda empresa. A criptografia elimina a preocupação de guardar dados valiosos em pendrives. Graças à infraestrutura de mapeamento de dispositivos introduzida no kernel 2.6, o Linux agora permite adicionar um escudo protetor aos sistemas de arquivos. O módulo do kernel dm_crypt usa esse conceito para encapsular sistemas de arquivos com uma camada de criptografia. Para montar a partição no disco rígido, primeiro é preciso remover a proteção informando a senha correta. Pendrives criptografados deste modo funcionam apenas com um kernel que possua o módulo dm_crypt; eles não funcionarão no Windows. O módulo também precisa conhecer e saber usar o método de criptografia; por exemplo, o kernel 2.6.24 pode usar opcionalmente o algoritmo aes-xts-plain, que não existia na versão anterior do Linux. Isso significa que um pendrive criptografado com aes-xts-plain no Ubuntu 8.04 não será montado no Ubuntu 7.10, porém um pendrive criptografado nas versões anteriores funcionará em versões recentes. Criptografia de pendrive O pacote cryptsetup é necessário tanto para criptografar quanto para descriptografar uma partição. É possí- Figura 1 Colete à prova de balas: o Cryptsetup permite encapsular a partição /dev/sdb1 numa camada de proteção. 66 LM57 66 Rodolfo Olix – www.sxc.hu SEGURANÇA Pen drive seguro vel criptografar discos rígidos inteiros e partições, mas tenha cuidado: se você digitar acidentalmente /dev/sda1 em vez de /dev/sdb1, não conseguirá acessar sua partição raiz. Também é necessário formatar a partição antes de criptografá-la, o que apagará todos os seus dados contidos nela. Os exemplos a seguir utilizam sdz para representar o dispositivo do pendrive. Certifique-se de substituí-lo pelo dispositivo correto na sua máquina. Use o fdisk ou o cfdisk para apagar qualquer partição que já exista no pendrive e em seguida criar uma nova partição primária. Em seguida, é bom gravar dados aleatórios na nova partição (sdz1): # dd if=/dev/urandom of=/dev/sdz1 bs=4K Os dados aleatórios evitam dar qualquer pista para potenciais ataques a respeito do conteúdo e do tamanho dos dados criptografados. Se o processo estiver lento demais, altere o tamanho do bloco, de 4 KB para, por exemplo, 1 MB, trocando o parâmetro bs=4K por bs=1M. Em seguida, carregue o módulo dm_crypt com modprobe dm_crypt. Agora use a ferramenta cryptsetup e o mapeador de dispositivos para criar a camada de proteção (figura 1): $ sudo cryptsetup -yvh sha256 -c aes-xts-plain -s 256 luksFormat /dev/sdz1 http://www.linuxmagazine.com.br 07/08/09 19:39 A opção -yvh sha256 pede a senha duas vezes e a salva em um hash de 256 bits. A opção -c permite especificar o método de criptografia. Este exemplo usa o algoritmo AES XTS com uma chave de 256 bits (-s 256). Para usar o pendrive em sistemas com versões do kernel anteriores à 2.6.24, selecione -c aes-lrw-benbi como algoritmo de criptografia. Para versões anteriores à 2.6.20, escolha -c aes-cbc-essiv:sha256. O comando luksFormat, que inicializa a partição, é parte do padrão LUKS (veja o quadro 1). É necessário definir uma senha. O segundo passo é usar o comando luksOpen para acessar a partição criptografada (listagem 1, linha 1). É permitido escolher qualquer nome (pendrive, neste caso) ao montar a partição pelo mapeador de dispositivos. Depois de digitar o comando, o cryptsetup pede a senha recémcriada. Será necessário repetir esse comando sempre que se quiser montar o pendrive criptografado. Feito isso, já é possível enxergar o conteúdo da partição pelo ponto de montagem /dev/mapper/pendrive, mas ela ainda não contém um sistema de arquivos. Para criar um sistema Ext3 normal, digite mkfs.ext3 /dev/ mapper/pendrive (listagem 1, linha 2). Em seguida, monte a partição (listagem 1, linha 3). Montado no diretório /mnt/, o pendrive pode precisar de uma pequena REDES: T p.52 muita de IP MULTICAS fluxo . economizar um únicodestinatários É possível EDIÇÃO: p.44 enviando NESTAde rede eficaz banda para múltiplos p.48 to p.58 pacotes TAMBÉM o Dogtag p.72 balanceameno OpenSolaris s com SQL Reactor » PePLink: dominando centralizado com SSL de dados » Continue E.COM.BR ao banco » Certificados fácil XMAGAZIN » Acesso VEJA Use somente autenticarem firewall que se usuários no A VPN p.64 portas dos ÇA: DISPENSE abrir para sucesso. as máquinas SEGURAN com o Portsmith para A REVISTA DO PROF ISSIONAL DE TI # 56 IPS Fundamentos ao aproveitar um sistema para de qualidades p.66 E IDS A: IPS práticas as SEGURANÇe melhores e IDS. máximo Controle de rede WebHTB. clientes e competente DE BANDA LIMITEde rede dos REDES:a banda com o fácil O? ADEQUADO AO USO MANTENHA AMEAÇA UMA EMPRESA. ÇÃO É p.29 SUA DE TI. TI DA A DESORGANIZA DE SEU PARQUE SOBRE DOS RECURSOS p.30 p.36 O CONTROLE NagVis GLPI com o com o p.42 e bonita script sob controle clara de TI » Rede por shell conversam » Infraestrutura e AD » Samba p.62 SOLUÇÃ TEM A REVISTA COMPARATIVO INFRAESTRUTURA NUVEM DE TI VIRTUALIZAÇÃ O IP MULTICAST SHELL FIREWALL IPS/IDS AUTENTICAÇÃ O LINUX-LIBR WEBHTB OPENSOLARI S E OPENSOLARIS PHP SQL GNU + LINUX CERTIFICADO JAVA VM M.BR AGAZINE.CO NS 16:33 08/07/09 14:21 VEJA TAM BÉM 29/04/09 NESTA EDI » Ataques auto ÇÃO: » Novo colu matizados a prot ocol nista: Alex » Linux andre Borg osIp.16 não é es p.18 » OpenSola Sofware Livre p.62 ris: Dom ine o siste ma aber to da Sun p.65 ial completo p.29 : Servidor » Compara de arquivos mos todo p.30 s os siste mas de arqu » Btrfs, a ivos! p.40 próxima geração » ZFS no p.46 Linux com oFUSE p.50 » Nove solu ções de becape p.54 S NO Resolver nomes NetB LINUX p.70 SEG Samba já IOS com URANÇA: é possível PER Todo lapto e fácil. p está em DEU O LAPTOP risco. Use ? rastrear WWW.LI seu com o Adeona p.74 NUXMAG putador para e recuperá AZINE.CO M.BR -lo. SAMBA4WI WWW.LINUXM RIS REDES: WIN TI RISCO AL DE FISSION DO PRO dados e m A REVISTA TV + PC Entrevista+ SL p.28 do inova com o criador dor iBlog TV ER COM PUTADOR PODE SER SEGURA NÇA, QUA VIR ARQ UIVOS, MAS LIDADE É PRECISO LIVRE, FICA E RAPIDEZ. COM GARANT LINUX E MUITO MAI IR SOFTWA S FÁCIL. » Tutor RE QUALQU » Ataques automatizados a protocolosIp.16 » Novo colunista: Alexandre Borges p.18 » Linux não é Sofware Livre p.62 » OpenSolaris: Domine o sistema aberto da Sun p.65 VEJA TAMBÉM NESTA EDIÇÃO: RELATO Maddog DE PROBLEMA p.26 um prob explica como relat lema para ar obter ajuda # 54 Mai o 2009 11 4082-1300 cryptsetup luksOpen /dev/sdz1 pendrive mkfs.ext3 /dev/mapper/pendrive mount /dev/mapper/pendrive /mnt chmod -R seu_usuario:seu_grupo /mnt cryptsetup luksClose /dev/mapper/pendrive OM.BR SAMBA + AD + OPENSOLA e Fundamentos ao máximo as A VPN p.64 para aproveitar e IDS. : DISPENSE s no sistemas IPSURA qualidades de SEG NÇA abrir porta p.52 mith para dos máquinas Use o Ports MULTICAST nte para as sucesso. REDES: IP muita firewall some autenticarem com economizar de É possível que se O: iosEDIÇÃ único fluxo um usuár ndo A s. atário ÉM NEST banda envia TAMB plos destin múltiVEJA renome p.48 uma questão de pacotes para p.52 » GNU e Linux, 02/06/09 você conhece todas? » JVMs para Linux: p.56 os periféric » OpenSolaris e p.72 em Boo, um prazer » Programação ADEONA IPS E IDS p.66 SEGURANÇA:melhor es práticas WWW.LINUXMAGAZINE.COM.BR Resolver nomes NetBIOS com Samba já é possível e fácil. p.74 Todo laptop está em risco. Use o Adeona para rastrear seu computador e recuperá-lo. » Nove soluções de becape p.54 » ZFS no Linux com oFUSE p.50 » Btrfs, a próxima geração p.46 » Comparamos todos os sistemas de arquivos! p.40 » Tutorial completo: Servidor de arquivos p.30 QUALQUER COMPUTADOR PODE SERVIR ARQUIVOS, MAS É PRECISO GARANTIR SEGURANÇA, QUALIDADE E RAPIDEZ. COM LINUX E SOFTWARE LIVRE, FICA MUITO MAIS FÁCIL. p.29 REDES: WINS NO LINUX p.70 SEGURANÇA: PERDEU O LAPTOP? # 54 Maio 2009 2009 # 56 Julho RISCO dados em TV + PC + SL p.28 Entrevista com o criador do inovador iBlogTV SL NA CAIX Sucesso A p.24 de códig em vários proje tos o aberto RELATO DE PROBLEMA p.26 Maddog explica como relatar um problema para obter ajuda A REVISTA DO PROFISSIONAL DE TI A REVISTA DO PROFISSIONAL DE TI #54 05/09 00054 SL NA CAIXA p.22 Sucesso em vários projetos de código aberto Listagem 1: Criptografando um pendrive NE.C XMAGAZI WWW.LINU GLPI balan p.48 » PePLink: o OpenSolaris g p.58 dominando os com o Dogta » Continue SSL centralizad com SQL Reactor p.72 » Certificados dados ao banco de » Acesso fácil NAGVIS BECAPE Controle a banda fácil e clientes com o . competente WebHTB FUSE-ZFS BANDA p.62 REDES: LIMITEdeDE rede dos BTRFS p.30 bonita com o NagVis » Rede clara e com o GLPI p.36 de TI sob controle » Infraestrutura shell script p.42 conversam por » Samba e AD RK FS’S ADO A AO USO ADEQU ÇÃO É UMA AMEAÇ NHA A DESORGANIZA TI DA SUA EMPRESA. MANTE DE TI. p.29 DOS RECURSOS SEU PARQUE DE O CONTROLE SOBRE BENCHMA SOLUÇÃO? TI IVOS ÃO: NESTA EDIÇeficaz p.44 VEJA TAMBÉM de rede ceamento L DE DO PROFISSIONA azine COISAS p.28 INTERNET DAS um futuro de Taurion anuncia ectados dispositivos intercon DE ARQU PESQ SERVIDOR? ABRIGAR SEU IÇOS. p.27 LHER PARA OS E SERV CENTER ESCO S DE PREÇ QUAL DATA CATEGORIA VOCÊ SABE EM VÁRIAS NACIONAIS p.28 AS OFERTAS rs nacionais o de data cente p.34 nte arativ » Comp ão é difere , a programaç la? p.38 » Na nuvem é preciso evitáo: quando » Virtualizaçã UISAMOS OM.BR MAGAZINE.C WWW.LINUX » Programação p.56 p.72 » GNU para Linux: prazer e periféricos » JVMs Boo, um » OpenSolaris em EDIÇÃO: p.48 NESTA de renome p.52 todas? TAMBÉM VEJAe Linux, uma questão conhece você R DATA CENTETME WWW.LINU o melhor » Virtualização OS NTER PESQUISAM SERVIDOR? p.27 SEU E SERVIÇOS. ABRIGAR PARA DE PREÇOS ESCOLHER CATEGORIAS CENTER DATA EM VÁRIAS QUAL p.28 SABE NACIONAIS nacionais p.34 VOCÊ centers diferente p.38 AS OFERTAS de data é evitá-la? é preciso » Comparativoa programação nuvem, : quando » Na lhor CE DATA o me p.24 MICROSOFT E SL esforços da Como andam osno mundo MS no Brasil e SOFTWARE p.26 QUALIDADE DE para a falta de Maddog alerta de software bons engenheiros te de # 55 proibid a e Linux Magazin exemplar IRON p.22 IRE VIRTUAL ORACLE ADQU dança no Continua a virtualização mercado de Assinan R$ 14,90 € 7,50 9 771806 942009 o 2009 # 55 Junh SERVIDOR venda RISCO proibida E E SAAS p.26 s OPEN SOURCn esclarece os efeito Cezar Taurio o Código Aberto do SaaS sobre exemplar de 2009 DADOS EM venda # 54 Assinante 2009 de Os ambientes desktop reagem de maneiras diferentes ao plugarmos um pendrive criptografado. No KDE 4, por exemplo, é preciso clicar no item Volumes no Dolphin para então digitar a senha na janela que se abre. Já o Gnome exibe automaticamente o pedido de senha. Além disso, é importante carregar o módulo dm_ crypt tanto ao criptografar pendrive quanto para lê-lo em qualquer outro sistemaL inux. ■ Linux Mag nte Descriptografando 05/2009 proib ida LM57_seg_criptografia 67 Com isso, já é possível salvar arquivos normalmente no pendrive criptografado, seja por meio do gerenciador de arquivos, seja por qualquer outra ferramenta comum. Ao final, basta desmontar o pendrive. Para fechar o sistema de criptografia, use o comando luksClose (listagem 1, linha 5). exemplar Linux Magazine #57 | Agosto de 2009 chmod -R seu_usuário:seu_grupo\ /mnt/ponto/de/montagem venda # # # # # Assina 01 02 03 04 05 ORES p.24 DE PROGRAMAD EM BUSCA a como tornar tável Maddog explic auto-susten seu projeto Criptografia | SEGURANÇA Quadro 1: LUKS O nome LUKS significa Linux Unified Key Setup. O padrão LUKS trabalha em conjunto com o módulo do kernel dm_crypt para adicionar um cabeçalho padronizado e especificar um formato para os dados em partições criptografadas. O LUKS é capaz de lidar com múltiplas senhas e é imune a ataques de dicionário. modificação. Altere o dono dos arquivos contidos no dispositivo com: BOO S SSL zine Linux Maga Gostou ddo artigo? Queremos mos ouvir sua opinião. conosco Fale con co em [email protected] cartas@linu magaz Este artigo go no nosso osso site: http://lnm.com.br/article/2959 http:// .com r/art 67 10/08/09 18:25