Home

Segurança, encriptação e nerdices parecidas

Submitted by maira on 11 December, 2008 - 11:27

Ultimamente ando mexendo com um assunto do qual sempre gostei, mas eu nunca tinha parado para realmente implementar uma configuração legal baseada nele. Mas depois de ter feito um esquema de backup e arquivamento que está funcionando direitinho, resolvi dar mais um passo e realmente levar a sério a minha escolha de senhas e a encriptação de documentos importantes.

Em primeiro lugar, resolvi por ordem nas minhas chaves PGP. Eu criei um monte, em diferentes momentos, mas sempre esquecia as senhas, ou esquecia de salvar as chaves em algum lugar seguro, e as perdia por descuido. Sem grandes problemas, pois nunca as usei de verdade. Mas agora que dependo da minha chave atual para o meu esquema de backup (que mudou um pouco desde o que escrevi aqui no blog, em breve vou atualizar), quero mantê-las de maneira decente.

Também descobri um programinha legal para gerenciar minhas senhas, especialmente porque tenho o costume de variar muito pouco as senhas entre os diversos serviços que possuo. O programa é o KeePassX (www.keepassx.org), que tem versões para Linux, Windows e Mac. Isso me estimulou bastante a começar a ter senhas diferentes e seguras.

Por último, mas não menos importante, está o fato de que USB drives aqui estão incrivelmente baratos. Imagina, comprei um drive de 8GB por 16 euros. Acho que no Brasil ainda está mais caro, mas em breve os preços vão cair mais ainda por lá também. Ou seja, fica mais fácil ter backups das chaves nesses USB drives, e carregá-las por aí para poder assinar documentos, encriptar emails, usar os milhões de passwords diferentes guardados no KeePassX.

Sem mais delongas, aqui está meu novo esquema de segurança. Se ele for adaptado, eu vou posto aqui no blog as mudanças.

No meu computador (que é um laptop, mas que fica em casa a maior parte do tempo):
- O Firefox guarda minhas senhas menos problemáticas (assinaturas de sites, serviços diversos como Remember the Milk, Delicious, e por aí vai), mas ele agora tem uma senha master. É um pouco chato digitar essa senha, que é grande e meio difícil de lembrar, mas...
- No KeePassX, guardo uma cópia desses passwords do Firefox. Aqui não entra senha de cartão de banco nem as senhas das chaves privadas.
- A chave privada que uso para encriptar meus backups. Como esse backup é feito automaticamente, não quero ter que plugar o USB drive toda vez que ligar o computador, e nem que o backup dependa disso.

Em um USB Flash Drive de 1GB, que deixo em casa (e que terá um CD-ROM funcionando como backup do backup):
- Uma cópia de backup das minhas chaves privadas
- Uma cópia de backup do meu banco de dados de passwords (do KeePassX) menos sensíveis. Acho que esse backup poderia ser exportado em versão texto e encriptado com minha chave privada também, só para garantir.
- Um banco de dados (também KeePassX) com as senhas de banco, do PayPal e das chaves privadas.

Em um USB Flash Drive de 8GB, que carrego comigo:
- Uma partição encriptada, onde guardo minhas chaves privadas e meu banco de dados de passwords menos sensíveis
- Na parte não encriptada do drive, cópias de aplicações portáveis para Windows: Firefox, Thunderbird, Pidgin, GnuPG, FreeOTF (para poder ler a partição encriptada), KeePass (a versão para Windows equivalente ao KeePassX) e o que eu mais precisar. Ainda não descobri o que fazer se eu precisar usar um computador que não seja o meu mas que esteja rodando Linux.

Em um caderninho aparentemente inocente, cuidadosamente guardado em casa:
- As senhas que me salvariam caso eu as esqueça completamente: a senha da partição encriptada e do banco de dados dos passwords mais importantes, que está no USB Flash drive de 1GB. Com esses dois passwords, eu tenho acesso a todas as senhas que preciso.

Com a configuração acima, eu terei a pequena encheção de saco de ter que digitar uma senha razoavelmente grande no Firefox quando estiver em casa, e quando estiver na rua, terei que abrir o KeePassX para ver as senhas que não lembro. Mas em compensação, terei uma configuração razoavelmente segura, que me protegerá de ataques simples. Minha chave não será comprometida se o laptop for roubado, e se o USB drive for perdido, alguém terá que passar por cima de duas encriptações para conseguir usar minha chave privada.

Algumas dicas:

- Como eu quero poder acessar a parte encriptada do USB drive tanto de máquinas Windows como máquinas Linux, optei por formatar a partição em FAT32. Logo descobri que Windows XP e companhia não reconhecem partições no USB Drive. Embora haja uma maneira de enganar o Windows e fazer ele ver as partições, resolvi que é mais fácil deixar uma única partição de verdade (FAT32) e para a parte encriptada, criar uma partição virtual, ou seja, em uma imagem de disco. O FreeOTFE consegue ler essa imagem numa boa.
- Para fazer essa configuração, eu segui os passos listados aqui: http://feraga.com/node/51. Uso um scriptzinho besta para montar e desmontar a partição encriptada. É uma pena não poder ser uma partição de verdade (maldito Windows!), pois se fosse uma partição de verdade, o Gnome a reconheceria e montaria sozinho.

Com essa configuração, o FreeOTFE foi capaz de abrir o arquivo no Windows com as opções default.

(Outros sites que eu consultei no meio do caminho: https://help.ubuntu.com/community/GPGKeyOnUSBDrive, http://www.einval.com/~steve/docs/gpg-autofs.html e http://ubuntu-tutorials.com/2007/08/17/7-steps-to-an-encrypted-partition...)

Post new comment

The content of this field is kept private and will not be shown publicly.
  • Web page addresses and e-mail addresses turn into links automatically.
  • Allowed HTML tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Lines and paragraphs break automatically.

More information about formatting options

CAPTCHA
This question is for testing whether you are a human visitor and to prevent automated spam submissions.