Breve introdução às tecnologias de criptografia Microsoft BitLocker e EFS

Incluídas nas versões 7, 8/8.1 e 10 do Windows nas versões partindo da profissional, está a criptografia de unidade pela tecnologia BitLocker, ainda assim não é a única solução de proteção oferecida pela “gigante de Redmond”. Outra solução também existente mas menos conhecida nesses sistemas operacionais é a EFS (Encrypting File System – Sistema de Arquivos Criptografados), não perca o interesse e continue acompanhando esse conteúdo para entender melhor a diferença entre elas.

Relembrando serem recursos disponíveis somente partindo das versões Profissional do Windows, já para as versões domésticas As edições domésticas podem usar apenas uma versão simplificada conhecida como Criptografia de Dispositivo, mesmo assim apenas em computadores que possuam esse tipo de recurso disponível.

Criptografia para unidades de armazenamento, o BitLocker:

A tecnologia BitLocker foi desenvolvida para codificar toda a unidade de armazenamento, depois de ativado e em uso ela poderá ser aplicada em apenas uma partição como a do sistema Windows, em outra partição no mesmo disco de armazenamento, uma mídia de armazenamento flash USB ou mídia externa como um disco de armazenamento num case usb.

É possível utilizar o BitLocker apenas para criptografar alguns arquivos, usando dessa maneira eles serão pequenos contêineres e essencialmente um pequeno disco virtual, sendo tratado como uma unidade criptografada pelo BitLocker.

Tornou-se uma das soluções de segurança mais utilizada contra roubo de informações, afinal é um recurso nativo e gratuito do Windows, ao ter um dispositivo furtado dos dados permanecerão inacessíveis mesmo removendo a unidade de armazenamento para outro equipamento ou usando sistemas operacionais alternativos, a criptografia impedirá o acesso a essas informações qualquer que seja a técnica utilizada.

É um recurso que independente de contas de usuário e ao ser habilitado, todas as contas do computador ou notebook terão criptografados todos os arquivos, esse nível de proteção é mantida pela utilização de um dispositivo físico conhecido como TPM, saiba um pouco mais sobre ela clicando [aqui].

É um recurso que gradativamente foi recebendo mais atenção, seguramente potencializado pelos ataques de ransonware, condição que certamente favoreceu seu amadurecimento e diante de soluções comerciais tem se demonstrado uma excelente opção na proteção contra roubo de informações.

Criptografia para arquivos individuais, o EFS:

Atuando de maneira relativamente diferente a Microsoft desenvolveu a tecnologia EFS, sua utilização funciona ao selecionar individualmente arquivos e/ou pastas para serem criptografadas, diferente do BitLocker criptografando automaticamente e de maneira transparente toda a unidade, o sistema EFS necessita a seleção manual dos arquivos/pastas que deseja proteger por criptografia.

Ainda assim infelizmente não é uma atividade tão prática como gostaria, começa abrindo uma janela do Gerenciador de Arquivos, depois selecionar individualmente uma pasta ou arquivo, clicar com o botão direito e seleciona propriedades -ufa!-, na próxima janela clique no botão Avançado e em Atributos Avançados clicar na opção Criptografar o conteúdo para proteger os dados, simples não é ?!

Esse tipo de criptografia funciona por usuário, dessa maneira apenas o usuário que atribuiu essa proteção tem acesso a pastas e arquivos, funcionando de maneira relativamente transparente e dessa maneira existindo a conta que codificou os arquivos/pastas, o acesso a eles é permitido porém inexistindo esta conta, eles permanecerão inacessíveis.

Diferente da solução por TPM, a chave de codificação fica armazenada no próprio sistema operacional de um computador ou notebook tornando seu acesso relativamente fácil por um criminoso digital, é muito similar a simplesmente compactar os arquivos ou pastas atribuindo uma senha de proteção a eles.

Uma potencial falha consiste no possível vazamento desses conteúdos criptografados em áreas não codificadas, como exemplo de um programa criar um arquivo temporário de cache do original criptografado pelo EFS contendo informações confidenciais, eles ficarão armazenados sem codificação e expostos sem qualquer proteção que evitaria desde o acesso até copiar seu conteúdo indiscriminadamente.

Enquanto a solução BitLocker permite criptografar desde uma simples partição até o disco inteiro, a solução EFS tira proveito dos recursos disponíveis no sistema de arquivos NTFS, para conhecer um pouco mais visite o artigo clicando [aqui].

Escolhendo a melhor solução, EFS ou BitLocker:

É verdade que, tanto a tecnologia BitLocker quanto a tecnologia EFS (desde que possuindo os requisitos necessários) podem ser utilizadas simultaneamente de, isto por serem camadas diferentes de codificação. Enquanto aplica totalmente a criptografia numa unidade de armazenamento, os demais usuários poderão codificar suas pastas e arquivos individualmente, mesmo assim é uma combinação a ser avaliada dadas as proteções aplicadas pelo Windows nos perfis.

Com as melhorias aplicadas ao BitLocker, quando disponível torna-se a melhor opção para codificar e proteger todos os seus arquivos, seja separando uma parte do disco ou todo ele representando uma solução no estilo configurar e esquecer, bastando ativar apenas uma vez e não precisar de maiores configurações, reforçando o contexto sobre segurança de dados.

Por conta das potenciais falhas no uso do EFS, o BitLocker acaba recebendo mais destaque como solução mais adequada, além de nativa e gratuita, no Windows para criptografia, esse pouco destaque ao EFS é justificável por persistir nas versões mais atuais mesmo surgindo na versão Windows 2000, em algumas oportunidades podendo ser útil quando o BitLocker não está disponível.

Com o avanço dos periféricos e o próprio sistema operacional, uma possível vantagem que o EFS pudesse ter em comparação ao BitLocker relacionado a desempenho no processo de criptografia e descriptografia acaba deixando de existir, favorecendo novamente o uso do BitLocker.

Conclusão:

É até curioso que mesmo o EFS existindo desde a versão Windows 2000 quase não ouve-se comentar, sugerir ou até mesmo apresentar situações em sua utilização, fica até difícil saber o motivo pelo recurso não receber a merecida relevância como sempre foi costume da Microsoft destacar como diferenciais em seus produtos.

Por outro lado o BitLocker também não costumava ser regularmente recomendado no começo, mesmo que a Microsoft disponibilize alguma documentação sobre recursos como esse, por outro lado nem sempre é bem didática ou de fácil compreensão para os menos habituados e principalmente quem não é familiarizado ou profissional da área de informática.

Nesse conteúdo foi apresentado um pequeno comparativo entre ambas, descrevendo a EFS que possivelmente muitos mesmo da área de informática conheciam e a BitLocker representando uma evolução significativa na proteção de dados, o Windows 11 está pelos arredores e pode ser um ótimo momento conhecer mais a respeito delas.