Software encriptador para iOS e Android conectados a servidor Debian

Arthur Guillermo · 27 de julho de 2022

Gostaria de saber se existe algum encriptador de pastas/arquivos pois quera fazer uma pasta encriptada compartilhada por SMB, atualmente estaria usando o Solid Explorer no Android porém ele não existe para iOS o que complica o uso da 2° pessoa

(Servidor fica em samba, no debian 11, não sei se exista algum jeito de fazer criptografia diretamente, tipo desencriptar com o login e se tentar acessar pelo disco não ser possível de visualizar os arquivos )

Meu objetivo é como se roubassem por algum acaso o HD (servidor seria operado só remotamente a kms de distância) não ter como acessar esses arquivos em específico e nem recuperar

dwatashi · 28 de julho de 2022

No caso que proteção dos dados no HD do servidor, pode usar o Cryptsetup. Desta forma ele vai sempre estar criptografado no HD, agora as credenciais de acesso não geram outra criptografia. Você acessa os dados de forma transparente, tipo bitlocker.

Outra opção é criar um volume criptografado, tipo Veracrypt e usar ele para armazenar.

Arthur Guillermo · 29 de julho de 2022

@dwatashi

22 horas atrás, dwatashi disse:

Você acessa os dados de forma transparente, tipo bitlocker.

Nesse caso, a menos que alguém faça login normalmente, não conseguirá acessar meus dados ?

Precisaria digitar uma senha antes de inicializar o sistema ? (Já que o servidor seria para uso externo e raramente terei acesso)

22 horas atrás, dwatashi disse:

Veracrypt e usar ele para armazenar.

Teria que criar uma partição, porém para descriptografar, seria como?

Meu medo é alguém conseguir acessar os dados/arquivos sem possuir login e sem possuir acesso a pasta que até onde sei Linux não deixa acessar tudo sem permissão e sem ser diretório do usuário (via login)

O medo é de alguém usar algo externo para realizar acesso às pastas e arquivos

dwatashi · 29 de julho de 2022

4 horas atrás, Arthur Guillermo disse:

Nesse caso, a menos que alguém faça login normalmente, não conseguirá acessar meus dados ?

Precisaria digitar uma senha antes de inicializar o sistema ? (Já que o servidor seria para uso externo e raramente terei acesso)

Acessar como? Se você diz acessar o mesmo servidor, geralmente ele protege as pastas semelhante ao que ocorre no windows. Um usuário não acessa o conteúdo do outro, se forem da mesma classe. Mas se o que acessar tiver acesso de administrador ele acessa sem problemas.

Pesquise sobre o bitlocker e cryptsetup, mas conforme foi citado ele é transparente. A criptografia aqui ocorre no disco, então mesmo que tenha acesso físico ao disco, até poderia copiar algo, mas não ler pois não tem a chave de criptografia. (Ele previne conforme citado, se alguém roubar o disco, não se consegue ler o conteúdo do mesmo)

4 horas atrás, Arthur Guillermo disse:

Teria que criar uma partição, porém para descriptografar, seria como?

Ele cria um volume, geralmente é um arquivo semelhante a um disco virtual. Dentro deste disco os dados são guardados.

A sugestão é baixar e testar o Veracrypt já que ele funciona em diversos sistemas operacionais.

4 horas atrás, Arthur Guillermo disse:

O medo é de alguém usar algo externo para realizar acesso às pastas e arquivos

Se quem acessar tiver acesso de admin, as proteções não funcionam corretamente, porque geralmente quem tem esse tipo de acesso poderia acessar os dados guardados no disco sem ressalvas.

Se o acesso for com outro usuário, colocar o disco em outra máquina, realizar o boot com outro dispositivo, não é possível ler o conteúdo, pois os dados estariam criptografados. (até pode ler, mas não consegue identificar o que é)

Arthur Guillermo · 3 de agosto de 2022

@dwatashi procurei sobre os dois ultimamente porém não entendi bem :(

Estou a procura de algo que colocando em outro PC o HD, ou tentando entrar por pendrive bootavel, os arquivos estejam criptografados....

não sei qual dos 2 atenderia a essa necessidade, porém preciso que quando ligue o servidor ele automaticamente destrave para poder acessar por sftp esses arquivos sem que precise ser fisicamente ou por terminal/ssh

dwatashi · 3 de agosto de 2022

23 minutos atrás, Arthur Guillermo disse:

Estou a procura de algo que colocando em outro PC o HD, ou tentando entrar por pendrive bootavel, os arquivos estejam criptografados....

Então como citei o cryptsetup é uma opção, assim como o Veracrypt. (Link)

Usando qualquer outro boot, por não ter a chave nele, ele não monta o volume.

O acesso do sftp é transparente no servidor, o usuário tendo os direitos de acesso para a pasta, não identifica que está guardando em local criptografado.

Por exemplo, se você cria uma pasta e compartilha. O usuário não sabe se essa pasta está no HD externo, nuvem, etc.

Arthur Guillermo · 3 de agosto de 2022

@dwatashi estava vendo sobre o veracrypt, acho que seria melhor ele (não preciso necessariamente de todo o HD criptografado espero) porém tendo uma partição criptografada já colocaria as coisas lá...

O detalhe que vi é que para montar o armazenamento usam interface de modo visual e também, não sei se há como colocar para ele montar o armazenamento assim que ligue o servidor, meio que atrelar ao boot, pois pelo que vi geralmente se coloca senha e tem que digitar essa senha cada vez que vai montar

(O detalhe é ao reiniciar ou coisa do tipo)

Vendo o cryptsetup parece melhor... irei dar uma olhada mais a fundo

Arthur Guillermo · 3 de agosto de 2022

@dwatashi não deu para editar acima... Estava vendo o luks(cryptsetup), só que me deparei com o detalhe que se eu não desmontar e fechar o cryptsetup se alguém furtar poderá ter acesso aos arquivos, isso é veredito ? Ou assim que iniciar o sistema ou iniciar por outro boot ele ficará inacessível? (Mesmo tendo desligado com unidade montada)

Estava pensando criar uma imagem com 100GB e colocar tudo o importante lá

dwatashi · 4 de agosto de 2022

12 horas atrás, Arthur Guillermo disse:

não sei se há como colocar para ele montar o armazenamento assim que ligue o servidor, meio que atrelar ao boot

Tem usando automount, mas precisa ter cuidado para armazenar a chave de forma correta.

11 horas atrás, Arthur Guillermo disse:

Ou assim que iniciar o sistema ou iniciar por outro boot ele ficará inacessível?

Inacessível colocando o HD como escravo de qualquer outro sistema. Se colocar o HD em outra máquina, neste HD também for o boot (onde pode ter uma chave) e conseguir acesso de root, ele tem aceso aos dados. (Por isso é comum nos servidores boot e dados ficarem em unidades diferentes)

Arthur Guillermo · 4 de agosto de 2022

3 horas atrás, dwatashi disse:

Tem usando automount, mas precisa ter cuidado para armazenar a chave de forma correta.

Como poderia armazenar de forma correta? Consegui realizar o cryptsetup em uma imagem .iso e dela auto montar na pasta, porém achei a chave muito exposta.

Simplesmente um um Live USB consigo desfazer o bloqueio de permissões e acessar a chave, existe como evitar isso?

(Optei pelo luks)

dwatashi · 4 de agosto de 2022

37 minutos atrás, Arthur Guillermo disse:

Como poderia armazenar de forma correta?

Como o próprio artigo cita, quando as chaves estão no mesmo disco o acesso fica mais fácil.

As opções mais comuns são:

Usar módulo TPM (FIDO, Yubikey) ou semelhante, ou seja as chaves estão em outro dispositivo.

Outras opções seriam:

Se o HD em que as chaves estão forem diferentes onde está a partição segura, não acesso a chave. O que é comum em muitos servidores, arquivos e sistema operacional estarem em HDs físicos diferentes.
Usando criptografia em cascata, não impede, mas aumenta o tempo para localizar as chaves. Porque se você coloca a chave onde tem outra criptografia, não consegue acessar a chave de modo direto.