Existe uma maneira de tornar meu disco rígido inacessível a todos, menos a mim?


63

Deixe-me contar uma história de backup primeiro: um técnico em informática me desafiou a fornecer meu laptop para ele e pedir qualquer informação que eu quisesse "esconder" no meu disco rígido. Ele alegou que seria capaz de recuperar qualquer coisa, não importa o que eu faça para escondê-lo.

Como não aprecio declarações absolutas como: "e não há nada que você possa fazer sobre isso", comecei a pensar sobre isso na minha cabeça. Percebi que um sistema operacional muito seguro não seria suficiente, pois ele não precisa inicializar a partir deste disco rígido específico para encontrar coisas no meu disco rígido.

A pergunta genérica aqui é:

Existe uma maneira de proteger completamente todos os dados em um disco rígido? (Não preciso de explicações detalhadas sobre como fazê-lo, só preciso que você me aponte para uma direção; posso ler mais sobre isso pessoalmente)

Especificamente, suspeito que possa precisar de:

  • Um sistema operacional que é muito seguro e possivelmente criptografa todos os dados que armazena (não faz ideia se isso existe).

  • Se o exposto acima não existir, existe uma maneira de criptografar manualmente os dados no meu disco rígido e ainda conseguir inicializar a partir desse disco rígido?

Em geral, quero tornar o disco rígido o menos acessível possível para qualquer pessoa que não seja eu (= conhece uma senha / chave específica), para que quaisquer soluções sejam bem-vindas.


35
Criptografe e exija uma senha forte ou uma chave de criptografia que você possui em um pendrive para descriptografar. Ele acabou de perder o jogo. Provavelmente, você pode apenas criar um arquivo RAR protegido por senha com uma senha forte. Lamento dizer, mas posso sentir o cheiro de sua ingênua atitude adolescente daqui.
Daniel Andersson

6
É um truque! Se ele vale a pena ser chamado um técnico de computador, então ele provavelmente só quer preparar algumas brincadeiras


3
implantá-la em seu corpo e tê-lo vibrar desconfortavelmente quando ele está em uso ...
catraca aberração

3
Dê a ele um laptop com dados do disco rígido completamente aleatórios e desafie-o a encontrar a mensagem secreta oculta. Se você pode derivar uma mensagem desse fluxo de bits e de alguma chave secreta, isso é tecnicamente criptografia (viável com OTP e com qualquer cifra de fluxo) e tem a vantagem de ser um pouco resistente a intimações, pois você pode manter uma chave fictícia que descriptografará para algo inofensivo.
Thomas

Respostas:


66

É o suficiente para criptografar os arquivos mais sensíveis. Um arquivo ZIP criptografado com AES de 256 bits e uma boa senha longa são quase impossíveis de acessar sem a senha. (Evite usar a criptografia ZIP herdada, conhecida como cifra de fluxo PKZIP / ZipCrypto - ela é fraca.)

Também é possível criptografar uma partição inteira, ocultando tudo nela. O Truecrypt é um tipo de programa padrão de fato para criptografia de partição / imagem doméstica (e alguns negócios). Provavelmente, a melhor coisa sobre o Truecrypt, em comparação com as ferramentas integradas ao sistema operacional, é o portátil : existe uma versão para Windows, Mac OS X e Linux, que compõe a grande maioria dos sistemas operacionais de consumo.

Se você deseja ocultar tudo , pode criptografar todas as partições do sistema, incluindo a que você inicializou. Não é possível ler dados de uma unidade criptografada sem conhecer a senha / chave. O problema é que o sistema operacional Windows nem sempre suporta a inicialização a partir de um disco rígido criptografado. * O Truecrypt possui o que chama de criptografia do sistema . Eles resumiram muito bem:

A criptografia do sistema envolve autenticação pré-inicialização, o que significa que qualquer pessoa que queira obter acesso e usar o sistema criptografado, ler e gravar arquivos armazenados na unidade do sistema, etc., precisará digitar a senha correta todas as vezes antes de o Windows inicializar (é iniciado ) A autenticação de pré-inicialização é tratada pelo TrueCrypt Boot Loader, que reside na primeira faixa da unidade de inicialização e no TrueCrypt Rescue Disk.

Portanto, o carregador de inicialização Truecrypt será carregado antes do seu sistema operacional e solicitará sua senha. Quando você digita a senha correta, ele carrega o carregador de inicialização do SO. O disco rígido é criptografado o tempo todo, portanto, nem um CD inicializável poderá ler dados úteis.

Também não é tão difícil criptografar / descriptografar um sistema existente:

Observe que o TrueCrypt pode criptografar uma partição / unidade de sistema não criptografada existente no local enquanto o sistema operacional está em execução (enquanto o sistema está sendo criptografado, você pode usar o computador normalmente, sem restrições). Da mesma forma, uma partição / unidade de sistema criptografada com TrueCrypt pode ser descriptografada no local enquanto o sistema operacional estiver em execução. Você pode interromper o processo de criptografia ou descriptografia a qualquer momento, deixar a partição / unidade parcialmente descriptografada, reiniciar ou desligar o computador e, em seguida, retomar o processo, que continuará a partir do ponto em que foi interrompido.


* Vários outros sistemas operacionais suportam criptografia de unidade do sistema. Por exemplo, o kernel Linux 2.6 e mais recente têm dm-crypt , e o Mac OS X 10.7 e mais recente têm o FileVault 2 . O Windows tem esse suporte com o BitLocker , mas apenas nas edições Enterprise / Business / Server e apenas no Vista e versões mais recentes. Como mencionado acima, o Truecrypt é mais portátil, mas geralmente não possui a integração necessária para criptografar as unidades do sistema, sendo o Windows a exceção.


4
TrueCrypt é o que eu usei e muito feliz com isso
Rippo

4
Uma ressalva ao criptografar uma unidade não criptografada existente: se estiver em estado sólido, ela poderá não ser reescrita nos mesmos setores, porque varia para prolongar a vida útil do disco. Portanto, os dados em uma unidade de estado sólido são realmente seguros apenas se forem criptografados desde o início.
Nathan Long

13
"O problema é que a maioria dos sistemas operacionais não suporta nativamente a inicialização a partir de um disco rígido criptografado". - isso nem é remotamente verdade. O Windows possui o BitLocker , o Mac possui o FileVault 2 .
precisa saber é o seguinte

9
@ Josh: Esses são os sistemas operacionais com mais usuários, e não a maioria dos sistemas operacionais.
precisa

6
@ BenVoigt, esse é um argumento ridículo de se fazer. "Claro, os sistemas operacionais usados ​​em 3/4 dos desktops suportam nativamente o FDE, mas o BeOS não!"
josh3736

51

Uma frase - Criptografia de disco completo, de preferência com uma chave agradável, longa e sem dicionário. Você também pode olhar para sistemas que fazem isso com um arquivo de chave externo. Basicamente, como todo o sistema, exceto o gerenciador de inicialização, é criptografado, sem um ataque direto ao acesso à memória - ou seja, use um firewire ou outro dispositivo com DMA para obter o conteúdo da memória e / ou um ataque de inicialização a frio para obter informações. Torcer isso é simples - apenas verifique se o sistema está desligado e a bateria removida antes de entregá-lo. Se for apenas um disco rígido, ambos os ataques são improváveis

Eu provavelmente daria uma chance ao truecrypt, usaria uma senha MUITO longa e aleatória (o comprimento torna a força bruta mais difícil e a aleatoriedade impede um ataque de dicionário) e o deixaria ir à cidade com ela. Como alternativa, algumas versões do Windows possuem bitlocker - que é uma forte opção FDE incorporada ao Windows. Da mesma forma, existem soluções para linux como luks e dmcrypt.

Ou preencha um disco com dados aleatórios ... e veja quanto tempo antes dele descobrir;)


70
+1 ou preencha um disco com dados aleatórios. ah sim
Tog

11
Ah, dados aleatórios: D Assim como aquele pedaço em Cryptonomicon (referência mais detalhada não incluído porque isso iria estragar um dos bits de diversão ..)
tanantish

14

Não caia em truques como "me dê a senha para que eu possa verificar os resultados".

Uma conferência de segurança que eu pedi senhas no começo. No meio do caminho e o apresentador disse que o maior risco de segurança é VOCÊ, pois a maioria das pessoas havia fornecido sua senha com honorários.

(E sim, basta criptografar os dados relevantes.)



9

Eu concordo com a outra resposta TrueCrypt. No entanto, tenho um ponto importante a acrescentar - o recurso de negação plausível do TrueCrypt. O que isso significa é que o TrueCrypt não deixa assinaturas identificáveis ​​positivamente nos discos / arquivos que criptografa. Portanto, ninguém pode provar se um conjunto de bits no disco são bits aleatórios ou dados criptografados. Isso é tão importante que teve implicações em um processo judicial recente.


Eu estaria interessado em saber qual foi o caso judicial.
Chad Harrison

3
Aqui está o link ca11.uscourts.gov/opinions/ops/201112268.pdf Gist: Os usuários do TrueCrypt não podem ser obrigados a divulgar suas senhas. A quinta alteração se aplica.
slowpoison

7

Muitas das respostas postadas são boas.

Além disso, você pode querer olhar para um assíncronoferramenta de criptografia assimétrica como o GnuPG . É um pouco mais complicado do que criptografar em um arquivo ZIP, porque você está lidando com chaves públicas e privadas . Acho que ouvi falar de alguma universidade na Europa quebrando esse tipo de criptografia em circunstâncias muito especiais. Você ainda deseja colocar as senhas e as chaves em uma unidade USB, ou em outro lugar que não seja a unidade que você fornecerá ao desafiante.

Além disso, uma vez um professor me disse que se você quiser algo absolutamente oculto, criptografe novamente o arquivo criptografado com um novo conjunto de chaves. Dessa forma, se a criptografia de primeiro nível for de alguma forma decifrada, o invasor não saberá porque tudo ainda parece criptografado.

Espero que isto ajude.


4
"Certa vez, um professor me disse que se você quiser algo absolutamente oculto, criptografe novamente o arquivo criptografado com um novo conjunto de chaves". está errado para a maioria dos sistemas de criptografia. Considere ROTn. Criptografando ROTn (ROTm (x)) = ROT {m + n} (X). O invasor nem percebe que você fez ROTn (ROTm (x)), mas, em vez disso, tenta descobrir m + n diretamente. Não há segurança adicional.
Emory

11
@emory Interessante notar. Acho que os professores também são pessoas. Eu acho que entendo no que você está chegando. Vou verificar isso.
Chad Harrison

O GnuPG não é assíncrono, é assimétrico (no modo padrão). Ele também suporta criptografia convencional (simétrica, mesma chave).
um CVn

3
Além disso, imagino que o professor esteja se referindo a algoritmos de criptografia um pouco mais sofisticados do que simples cifras de substituição. Se você usar um texto sem formatação P, depois criptografá-lo com (digamos) AES primeiro com a chave K1 e depois criptografar o texto cifrado resultante com AES e com uma chave K2 diferente ( C = AES( AES(P,K1), K2 ), K1 ≠ K2), o texto cifrado resultante não terá nenhuma semelhança com, digamos, a saída de AES (AES (P, K2), K1) (inversão de ordem de chave). Essa propriedade não se aplica a cifras de substituição simples, como ROTn.
um CVn

@ MichaelKjörling Obrigado pela correção no assimétrico. Eu sabia que era algo e, às vezes, luto contra minha lembrança. ;)
Chad Harrison

6

Interessante o fato de a palavra esconder ser citada por muitas pessoas, pois elas parecem saber que nada está oculto nas suas sugestões. Eu me pergunto se aquele técnico de informática segurou as mãos no ar e fez os movimentos das mãos associados a aspas quando disse "esconder" também.

Eu duvido. Embora a criptografia de coisas possa impedir o acesso, ter um arquivo zip criptografado na área de trabalho chamado "Nothing_to_see_here.zip" não está realmente escondendo nada.

Alguns laptops vêm com a capacidade de proteger com senha a unidade, onde, uma vez ativada pela bios, você tem duas opções ... digite a senha ou formate a unidade. A Dell é uma dessas empresas que inclui essa função. Está bem. Você também pode ligar para a Dell depois de digitar a senha errada três vezes e fornecer o código de desafio apresentado na tela e eles fornecerão o código de resposta para ignorar a senha ... mas eles também cobram por esse serviço se sua garantia expirou. Mais uma vez ... isso não está escondendo nada.

Há um mundo de diferença entre permitir que alguém acesse uma sala para que ele possa procurar algo escondido (oculto) e impedi-lo de entrar completamente (criptografia).

Como não aprecio declarações absolutas como: "e não há nada que você possa fazer sobre isso"

Não. Você não gostou deste técnico dizendo a você que ele sabia algo que você não sabia e / ou que ele era melhor que você em alguma coisa. É por isso que você imediatamente tentou pensar em como melhorar esse técnico, em vez de realmente perceber que o que ele estava dizendo não significa nada! Não teria machucado você, pelo menos, por ter admitido ali mesmo, e então talvez ele realmente pudesse ENCONTRAR qualquer arquivo que você escondeu. Claro, você precisaria que ele definisse o que esconder significa neste contexto ... já que (novamente) parece que "oculto" aparentemente significa coisas diferentes para pessoas diferentes. Independentemente disso, seu problema com o desafio dele não tem nada a ver com o orgulho dele, e tudo a ver com a sua incapacidade de aceitar a possibilidade de que ele possa realmente ser melhor do que você em alguma coisa. É por isso que você não pode deixar o desafio sozinho. É por isso que você não aprecia declarações absolutas como essa. Porque a verdade é que há momentos em que as coisas acontecerão em sua vida e NÃO HÁ NADA QUE VOCÊ PODE FAZER SOBRE ISSO.

Você quer uma maneira de impedir que os arquivos que você acessa regularmente sejam encontrados? Mantenha-os fora do seu computador. Que tal isso? Armazene-os em uma unidade flash. Em seguida, você pode manter os arquivos em sua pessoa o tempo todo, e ninguém pode acessar seu laptop para obtê-los quando você não estiver perto dele. Quem fez a regra estúpida de que todos os seus arquivos devem permanecer no seu laptop o tempo todo? Eu não estou falando sobre essa vanglória infantil de técnicos e em qual jogo você transformou isso. Depois de criptografar o arquivo, ocultá-lo em uma imagem ou removê-lo do seu computador para uma unidade flash, o jogo termina. Por quê? Porque você não definiu os parâmetros desse desafio ... e posso adivinhar quais são eles.

  • O arquivo deve estar em algum lugar acessível.
  • Você precisa desempenhar o papel do tolo ignorante que pensa que colocar um arquivo em algum diretório fora do caminho mais conhecido é a extensão de poder ser oculto.

Uma vez que você se afasta de uma delas, o jogo acaba e você "não entende o que ele quis dizer".


4
Mas se você perder o pen drive ou deixá-lo para trás em algum lugar? Oh, querido ... Aliás, ele disse ocultar informações , não arquivos ... diferença sutil, já que as informações criptografadas são essencialmente ocultas. E é teoricamente possível quebrar qualquer criptografia.
24412 Bob

11
Alguém diz que eu posso encontrar você em qualquer lugar que você se esconda, se jogarmos Hide and Seek ... e isso o irrita tanto que você precisa mudar o jogo para TAG, onde eles precisam tocar em você para ganhar. E se o seu disco rígido travar ... Oh, querido. E as informações criptografadas são bloqueadas, não ocultas. Se você precisar de uma chave, ela estará bloqueada. Se ele encontrou o arquivo criptografado, isso significa que ele encontrou as informações? Ele alguma vez disse que tinha que ser capaz de visualizar as informações ou apenas encontrá-las?
precisa saber é

3
Um pedaço de informação! = Um arquivo. As informações seriam obtidas lendo o conteúdo de um arquivo. Ter o arquivo, mas não conseguir lê-lo, significa que as informações ainda estão ocultas.
precisa saber é o seguinte

Entendo que você e Bob sentem que "informação" não é igual a "arquivo". Conte-me. O que exatamente o técnico em informática nesta pergunta achou que as informações significavam? Ele quis dizer "arquivo"? Ele iguala os dois? Você não precisa de super criptografia. Você pode simplesmente dividir essas "informações" em pequenos pedaços, convertê-los em hexadecimal e criar diretórios em C: \ Windows com o nome desses pedaços hexadecimais. Se você tiver 32 caracteres, eles parecerão diretórios normais. Só você sabe que se você traduzir os nomes de volta, terá suas informações.
Gart #

Mas como o TÍTULO da pergunta é "Existe uma maneira de tornar meu disco rígido inacessível a todos, menos a mim?" para os fins desta discussão, as informações são iguais ao arquivo.
Gart #


3

Eu uso unidades virtuais TrueCrypt que são protegidas por senhas muito longas e arquivos de chave armazenados em um usb. Também inicio tempos limite em unidades virtuais abertas quando a atividade está ausente por um determinado período. Utilizo esse tipo de segurança há anos. Eu processo bancos de dados muito grandes com essas unidades virtuais sem problemas de desempenho.


Você está usando uma CPU com suporte de hardware para AES, como a Intel Sandy Bridge?
Drxzcl 29/04

2

O Ubuntu fornece criptografia de unidade doméstica, que é bastante segura. Eu tive que lutar para recuperar meus próprios dados, mesmo sabendo a minha própria chave. Informações sobre criptografia de unidade doméstica podem ser encontradas aqui :


2

A criptografia é inútil contra intimações e / ou tortura. Tudo o que a tecnologia de computadores precisa fazer é alegar, de forma anônima, que o arquivo Nothing_to_see_here.zip está cheio de pornografia infantil. O FBI pegará na sua loja e exigirá a senha. Ele dirá a eles que é o seu computador.

Haverá algumas manobras legais. Você pode acabar na prisão ou permanecer livre. De qualquer forma, a informática aprendeu algo interessante sobre o seu arquivo secreto.

Como alternativa, ele poderia alegar algum problema com o laptop que precisa de um reparo de $ x. Sua autorização ou falta de autorização do reparo lhe dirá algo sobre o valor econômico de Nothing_to_see_here.zip para você.


2
Parece que a 5ª emenda nos EUA pode protegê-lo de não fornecer sua senha fora da faixa de rodagem.com/, essa menciona especificamente TrueCrypt privacycast.com/…
Matthew Lock

2

Então aceite o desafio, alguém já lhe disse, crie um arquivo, coloque o arquivo que deseja "ocultar" dentro de um arquivo RAR ou 7-Zip , com criptografia completa, para que ele não possa verificar quais arquivos estão dentro do arquivo compactado. Use uma senha forte com números, alfabeto e símbolos. Em seguida, apague o arquivo original com alguma ferramenta como Exclusão segura (ou uma ferramenta semelhante).

Feito, agora ele não pode fazer quase nada para fazer.


2

Se você deseja o mais alto nível de segurança, algo que nem os governos podem legalmente forçá-lo a abordar, consulte TrueCrypt . Com o TrueCrypt, você pode transformar o espaço vazio em uma partição montada. Como tal, se o sistema for inspecionado, ele deve parecer apenas com cabeçalhos de dados antigos, algo que você veria em todos os discos rígidos existentes que já excluíram dados. Como não há evidências de dados utilizáveis, legíveis ou recuperáveis, você não é legalmente obrigado a fornecer acesso a esses dados. Ele também utiliza senhas criptografadas de vários níveis e desempenho substancial também.

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.