Criptografia no armazenamento de dados – Parte 1: fundamentos e porque é indispensável

Parte 1 de 3 – Fundamentos

Os dados são hoje um dos principais ativos de qualquer organização. Informações de clientes, registos financeiros, propriedade intelectual, logs de auditoria e até relatórios internos podem representar um grande risco se forem expostos. Ataques de ransomware, fugas de informação em larga escala e espionagem corporativa mostram, na prática, o prejuízo que um armazenamento sem proteção pode causar.

É neste contexto que a criptografia no armazenamento de dados deixa de ser apenas um recurso técnico “avançado” e passa a fazer parte da estratégia de negócio. Ela protege informações mesmo quando alguém obtém acesso não autorizado a discos, backups ou snapshots.

Esta é a Parte 1 de uma série de três artigos em que vamos aprofundar:

• Porque a criptografia em dados em repouso é tão importante;
• Os conceitos básicos que precisa de dominar;
• Onde ela entra na arquitetura de TI;
• Como se conectar com a conformidade (LGPD, RGPD) nas próximas partes.

1. Porque falar de criptografia no armazenamento de dados?

Quando se fala em segurança da informação, muitos pensam logo em firewall, antivírus ou palavras-passe fortes. Tudo isso é importante, mas não resolve um problema central: o que acontece se alguém conseguir copiar a sua base de dados, um disco do servidor ou um backup antigo?

Sem criptografia, quem obtiver esses ficheiros consegue ler tudo: dados pessoais, segredos de negócio, credenciais, relatórios sensíveis. Com criptografia bem implementada, o cenário muda: mesmo que alguém tenha acesso físico ou lógico aos ficheiros, o conteúdo permanece ilegível sem as chaves corretas.

Em resumo, cifrar dados em repouso é uma forma de:

• Reduzir o impacto de incidentes de segurança;
• Proteger a reputação e a confiança de clientes e parceiros;
• Demonstrar diligência em auditorias e processos regulatórios (como LGPD e RGPD);
• Complementar outras camadas de proteção (perímetro, identidade, monitorização).

2. Conceitos básicos: o que é criptografia, na prática?

Criptografia é o processo de transformar dados legíveis (plaintext) em dados ilegíveis (ciphertext) usando um algoritmo e uma chave. Só quem tem a chave correta (ou um segredo associado a ela) consegue reverter esse processo e voltar ao texto original.

Ela liga-se diretamente à famosa tríade da segurança da informação (CIA):

• Confidencialidade: impede que pessoas não autorizadas leiam o conteúdo;
• Integridade: ajuda a detetar alterações indevidas, por meio de MACs, HMACs ou assinaturas digitais;
• Disponibilidade: quando bem desenhada, não deve atrapalhar o uso legítimo do dado nem causar impacto excessivo no desempenho.

Neste primeiro artigo, vamos focar em dados em repouso (data at rest), ou seja, quando a informação está armazenada em:

• Discos (HDD, SSD, volumes de máquinas virtuais);
• Bases de dados (SQL, NoSQL, data warehouses);
• Ficheiros locais e partilhas de rede;
• Storages em nuvem (buckets, blobs, objetos);
• Backups e snapshots.

É importante diferenciar isto da criptografia em trânsito (data in transit), como HTTPS/TLS entre navegador e servidor. As duas são complementares: proteger apenas o tráfego não resolve o problema se alguém copiar o local onde os dados ficam armazenados.

3. Tipos principais de criptografia: simétrica vs assimétrica

Antes de falar da aplicação prática no armazenamento, vale separar dois grandes grupos de criptografia usados no dia a dia:

3.1 Criptografia simétrica

Na criptografia simétrica, a mesma chave é usada para cifrar e decifrar os dados. É como um cadeado em que a mesma chave serve para trancar e destrancar.

Alguns algoritmos muito usados hoje:

• AES (Advanced Encryption Standard) – padrão de mercado, com versões seguras como AES-256 em modos de operação modernos (por exemplo, GCM);
• ChaCha20 – alternativa eficiente em cenários específicos, especialmente em dispositivos com menos suporte a aceleração de hardware.

Características principais:

• Alta performance: ideal para cifrar grandes volumes de dados (discos inteiros, bases de dados, ficheiros e backups);
• Menor custo computacional do que a criptografia assimétrica.

O grande desafio é a gestão da chave: como armazená-la, distribuí-la e rotacioná-la com segurança.

3.2 Criptografia assimétrica

Na criptografia assimétrica, trabalhamos com um par de chaves:

• Uma chave pública, que pode ser partilhada;
• Uma chave privada, que deve ser mantida em segredo absoluto.

O que é cifrado com a chave pública só pode ser decifrado com a chave privada, e vice-versa. Isto permite:

• Trocar segredos com segurança (como chaves simétricas);
• Assinar digitalmente dados, garantindo autenticidade e não repúdio.

Algoritmos comuns:

• RSA;
• ECC (Elliptic Curve Cryptography), como Curve25519 ou P-256.

A criptografia assimétrica é mais pesada do ponto de vista computacional, por isso é usada de forma estratégica, geralmente para proteger chaves ou realizar assinaturas, e não para cifrar grandes volumes de dados diretamente.

4. Onde a criptografia entra no armazenamento de dados?

No ambiente de TI moderno, a criptografia aparece em várias camadas. Alguns exemplos:

4.1 Criptografia de disco (full disk encryption)

Neste modelo, o volume inteiro (HDD, SSD, volume em nuvem) é cifrado. Sistemas como LUKS/dm-crypt em Linux, BitLocker em Windows e a criptografia nativa de volumes em nuvens públicas seguem este princípio.

Benefício: se alguém copiar o disco físico ou um snapshot bruto, não consegue ler os dados sem a chave. Limitação: quando o sistema está em uso e o volume está montado, o conteúdo é acessível para quem tem acesso ao servidor.

4.2 Criptografia em bases de dados

Aqui, a proteção pode aparecer de algumas formas:

• Criptografia transparente de dados (TDE): a própria base de dados cifra o que grava em disco, de forma relativamente transparente para a aplicação;
• Criptografia ao nível de coluna/campo: apenas campos sensíveis (como NIF, número de cartão, e-mail, telefone) são cifrados pela aplicação antes de serem gravados.

No primeiro caso, a implementação tende a ser mais simples. No segundo, é possível ser mais granular, mas o planeamento precisa considerar pesquisa, ordenação e indexação.

4.3 Criptografia de ficheiros, objetos e backups

Além de discos e bases de dados, é essencial proteger:

• Ficheiros em servidores de aplicação e file servers;
• Objetos armazenados em nuvem (buckets, blobs);
• Backups locais e remotos – muitas vezes o elo mais fraco da cadeia.

Na prática, é comum usar criptografia simétrica para esses dados e, como veremos na Parte 2, criptografia assimétrica ou serviços especializados para proteger as chaves.

5. O que vem a seguir?

Nesta primeira parte, vimos o contexto, os conceitos básicos e onde a criptografia entra na arquitetura de armazenamento de dados.

Na Parte 2 desta série, vamos aprofundar o uso prático de criptografia simétrica e assimétrica em dados em repouso, com exemplos e estratégias para aplicar esses conceitos no dia a dia da sua organização.