Criptografia no armazenamento de dados - Parte 1: fundamentos e por que ela é indispensável

Parte 1 de 3 – Fundamentos

Dados são hoje um dos principais ativos de qualquer organização. Informações de clientes, registros financeiros, propriedade intelectual, logs de auditoria e até relatórios internos podem representar um grande risco se forem expostos. Ataques de ransomware, vazamentos massivos e espionagem corporativa mostram, na prática, o prejuízo que um armazenamento sem proteção pode causar.

É nesse contexto que a criptografia no armazenamento de dados deixa de ser apenas um recurso técnico “avançado” e passa a ser parte da estratégia de negócio. Ela protege informações mesmo quando alguém obtém acesso a discos, backups ou snapshots não autorizados.

Esta é a Parte 1 de uma série de três artigos em que vamos aprofundar:

• Por que a criptografia em dados em repouso é tão importante;
• Os conceitos básicos que você precisa dominar;
• Onde ela entra na arquitetura de TI;
• Como se conectar com a conformidade (LGPD, GDPR) nas próximas partes.

1. Por que falar de criptografia no armazenamento de dados?

Quando se fala em segurança da informação, muitos pensam logo em firewall, antivírus ou senhas fortes. Tudo isso é importante, mas não resolve um problema central: o que acontece se alguém conseguir copiar o seu banco de dados, um disco do servidor ou um backup antigo?

Sem criptografia, quem obtiver esses arquivos consegue ler tudo: dados pessoais, segredos de negócio, credenciais, relatórios sensíveis. Com criptografia bem implementada, o cenário muda: mesmo que alguém tenha acesso físico ou lógico aos arquivos, o conteúdo permanece ilegível sem as chaves corretas.

Em resumo, criptografar dados em repouso é uma forma de:

• Reduzir o impacto de incidentes de segurança;
• Proteger a reputação e a confiança de clientes e parceiros;
• Mostrar diligência em auditorias e processos regulatórios (como LGPD e GDPR);
• Complementar outras camadas de proteção (perímetro, identidade, monitoramento).

2. Conceitos básicos: o que é criptografia, de verdade?

Criptografia é o processo de transformar dados legíveis (plaintext) em dados ilegíveis (ciphertext) usando um algoritmo e uma chave. Só quem tem a chave correta (ou um segredo associado a ela) consegue reverter esse processo e voltar ao texto original.

Ela se conecta diretamente à famosa tríade da segurança da informação (CIA):

• Confidencialidade: impede que pessoas não autorizadas leiam o conteúdo;
• Integridade: ajuda a detectar alterações indevidas, por meio de MACs, HMACs ou assinaturas digitais;
• Disponibilidade: quando bem desenhada, não deve atrapalhar o uso legítimo do dado nem causar impacto excessivo em desempenho.

Neste primeiro artigo, vamos focar em dados em repouso (data at rest), ou seja, quando a informação está armazenada em:

• Discos (HD, SSD, volumes de máquinas virtuais);
• Bancos de dados (SQL, NoSQL, data warehouses);
• Arquivos locais e compartilhamentos de rede;
• Storages em nuvem (buckets, blobs, objetos);
• Backups e snapshots.

É importante diferenciar isso da criptografia em trânsito (data in transit), como HTTPS/TLS entre navegador e servidor. As duas são complementares: proteger apenas o tráfego não resolve o problema se alguém copiar o local onde os dados ficam armazenados.

3. Tipos principais de criptografia: simétrica x assimétrica

Antes de falar da aplicação prática em armazenamento, vale separar dois grandes grupos de criptografia usados no dia a dia:

3.1 Criptografia simétrica

Na criptografia simétrica, a mesma chave é usada para cifrar e decifrar os dados. É como um cadeado em que a mesma chave serve para trancar e destrancar.

Alguns algoritmos muito usados hoje:

• AES (Advanced Encryption Standard) – padrão de mercado, com versões seguras como AES-256 em modos de operação modernos (por exemplo, GCM);
• ChaCha20 – alternativa eficiente em cenários específicos, especialmente em dispositivos com menos suporte a aceleração de hardware.

Características principais:

• Alta performance: ideal para criptografar grandes volumes de dados (discos inteiros, bases de dados, arquivos e backups);
• Menor custo computacional que a criptografia assimétrica.

O grande desafio é a gestão da chave: como armazená-la, distribuí-la e rotacioná-la com segurança.

3.2 Criptografia assimétrica

Na criptografia assimétrica, trabalhamos com um par de chaves:

• Uma chave pública, que pode ser compartilhada;
• Uma chave privada, que deve ser mantida em segredo absoluto.

O que é cifrado com a chave pública só pode ser decifrado com a chave privada, e vice-versa. Isso permite:

• Trocar segredos com segurança (como chaves simétricas);
• Assinar digitalmente dados, garantindo autenticidade e não repúdio.

Algoritmos comuns:

• RSA;
• ECC (Elliptic Curve Cryptography), como Curve25519 ou P-256.

A criptografia assimétrica é mais pesada do ponto de vista computacional, por isso ela é usada de forma estratégica, geralmente para proteger chaves ou realizar assinaturas, e não para cifrar grandes volumes de dados diretamente.

4. Onde a criptografia entra no armazenamento de dados?

No ambiente de TI moderno, a criptografia aparece em várias camadas. Alguns exemplos:

4.1 Criptografia de disco (full disk encryption)

Nesse modelo, o volume inteiro (HD, SSD, volume em nuvem) é cifrado. Sistemas como LUKS/dm-crypt em Linux, BitLocker em Windows e a criptografia nativa de volumes em nuvens públicas seguem esse princípio.

Benefício: se alguém copiar o disco físico ou um snapshot bruto, não consegue ler os dados sem a chave. Limitação: quando o sistema está em uso e o volume está montado, o conteúdo é acessível para quem tem acesso ao servidor.

4.2 Criptografia em bancos de dados

Aqui, a proteção pode aparecer de algumas formas:

• Criptografia transparente de dados (TDE): o próprio banco cifra o que grava em disco, de maneira relativamente transparente para a aplicação;
• Criptografia em nível de coluna/campo: apenas campos sensíveis (como CPF, número de cartão, e-mail, telefone) são cifrados pela aplicação antes de serem gravados.

No primeiro caso, a implementação tende a ser mais simples. No segundo, é possível ser mais granular, mas o planejamento precisa considerar busca, ordenação e indexação.

4.3 Criptografia de arquivos, objetos e backups

Além de discos e bancos, é essencial proteger:

• Arquivos em servidores de aplicação e file servers;
• Objetos armazenados em nuvem (buckets, blobs);
• Backups locais e remotos – muitas vezes o elo mais fraco da cadeia.

Na prática, é comum usar criptografia simétrica para esses dados e, como veremos na Parte 2, criptografia assimétrica ou serviços especializados para proteger as chaves.

5. O que vem a seguir?

Nesta primeira parte, vimos o contexto, os conceitos básicos e onde a criptografia entra na arquitetura de armazenamento de dados.

Na Parte 2 desta série, vamos aprofundar o uso prático de criptografia simétrica e assimétrica em dados em repouso, com exemplos e estratégias para aplicar esses conceitos no dia a dia da sua organização.