O BitLocker é uma solução integrada de encriptação completa do disco da Windows para proteger os seus dados caso o seu PC ou portátil seja roubado ou acabe nas mãos de terceiros. Notícias recentes de que a Microsoft entrega rotineiramente chaves de cópia de segurança do BitLocker(nova janela) às forças da autoridade (como o FBI) colocaram em destaque a questão de saber se é seguro usar o BitLocker (e a sua versão reduzida, Encriptação do Dispositivo).
- O que é o BitLocker?
- BitLocker vs. Encriptação do Dispositivo
- Como funciona o BitLocker?
- O que é uma chave de recuperação do BitLocker?
- Onde está armazenada a chave de recuperação?
- O BitLocker é seguro?
- O FBI pode obter os meus dados?
- Soluções alternativas de encriptação
- Considerações finais
O que é o BitLocker?
O BitLocker é uma funcionalidade de encriptação completa do disco integrada no Microsoft Windows. Encripta toda a unidade do sistema para que os seus dados críticos fiquem protegidos se o seu dispositivo for perdido, roubado ou acedido sem autorização.
Encriptação completa do disco significa que todos os ficheiros no disco são encriptados. Não encripta ficheiros individuais, mas pode (opcionalmente) usá-lo para encriptar as suas outras unidades (não do sistema).
Estritamente falando, o BitLocker só está disponível nas edições Pro, Enterprise e Education do Windows. No entanto, o Windows Home inclui a Encriptação do Dispositivo (ativada por predefinição em hardware suportado e quando inicia sessão com uma conta Microsoft). Isto usa a mesma tecnologia do BitLocker, mas é muito menos configurável.
BitLocker vs. Encriptação do Dispositivo
A Encriptação do Dispositivo é uma configuração simplificada e automática do BitLocker com menos opções. Com o BitLocker:
- Obtém controlos completos do BitLocker
- Pode escolher como as chaves são protegidas (PIN, chave USB, etc.)
Com a Encriptação do Dispositivo:
- Não pode gerir em detalhe as definições de encriptação
- Não pode exigir um PIN no arranque
- A chave de recuperação é automaticamente guardada na sua conta Microsoft
- Requer um Trusted Platform Module (TPM) (ver abaixo)
- A encriptação pode ativar-se automaticamente quando inicia sessão com uma conta Microsoft
Como funciona o BitLocker?
Quando o seu PC Windows está desligado, ou o disco está de outra forma offline, toda a unidade permanece encriptada. Na maioria dos sistemas Windows modernos, a chave de encriptação é protegida por um pequeno chip de segurança na motherboard chamado Trusted Platform Module (TPM), que só liberta a chave se o sistema não tiver sido adulterado. Esta proteção baseada em hardware é uma das principais razões pelas quais a Microsoft exige suporte TPM 2.0 para o Windows 11.
Quando inicia o seu PC, o TPM realiza verificações de integridade antes de o Windows carregar. Estas verificações procuram sinais de adulteração e também podem ser acionadas por alterações significativas no hardware, firmware ou configuração de arranque do seu dispositivo.
Se tudo parecer normal, o TPM liberta automaticamente a chave de encriptação e o BitLocker desbloqueia a unidade, permitindo que o Windows inicie normalmente. Este processo acontece em segundo plano, por isso normalmente nem se apercebe.
Uma diferença importante entre o BitLocker e a Encriptação do Dispositivo é a flexibilidade. A Encriptação do Dispositivo é uma versão simplificada do BitLocker que requer um TPM e funciona automaticamente, enquanto o BitLocker também pode ser usado sem TPM recorrendo a alternativas como palavra-passe, PIN ou chave de segurança USB.
Se o TPM detetar um problema (ou se as suas medidas de segurança alternativas não forem cumpridas), o BitLocker pedirá a sua chave de recuperação. Sem a chave de recuperação, o Windows não carrega e os seus dados permanecem seguramente encriptados, impedindo acesso não autorizado.
O que é uma chave de recuperação do BitLocker?
Uma chave de recuperação do BitLocker é uma cópia de segurança numérica de 48 dígitos que lhe permite desbloquear a sua unidade encriptada com BitLocker se não conseguir aceder-lhe pelo seu método normal (palavra-passe, PIN, TPM, etc.).
Onde está armazenada a chave de recuperação?
Isso depende da sua edição do Windows e da sua configuração:
Windows Home (a usar Encriptação do Dispositivo):
A chave é automaticamente guardada na sua conta Microsoft.
- Para a encontrar (noutro dispositivo, se o seu PC não arrancar), vá a account.microsoft.com/devices/recoverykey(nova janela) e inicie sessão usando o seu nome de utilizador e palavra-passe da Microsoft.
Windows Pro e Enterprise (a usar o BitLocker completo)
Escolhe onde a guardar:
- Conta Microsoft (como acima)
- Unidade USB
- Ficheiro noutra unidade
- Cópia impressa
- Active Directory (para ambientes empresariais, permitindo às organizações gerir centralmente chaves de recuperação e políticas de encriptação)
O BitLocker é seguro?
Contra o que o BitLocker protege
| Cenário de ameaça | O BitLocker protege-o? | Notas |
|---|---|---|
| Portátil perdido ou roubado (desligado) | Sim (proteção forte) | O disco permanece encriptado; o atacante precisa da chave de recuperação ou do PIN. |
| Dispositivo apreendido pelas autoridades (desligado) | Parcialmente | Criptografia forte, mas se a chave de recuperação estiver armazenada numa conta Microsoft, pode ser obtida através de processo legal. |
| Portátil roubado enquanto está em suspensão ou hibernação | Na maior parte | Protegido, mas alguns ataques avançados (por exemplo, cold boot(nova janela) ou DMA(nova janela)) podem extrair chaves. |
| Portátil roubado com sessão iniciada / desbloqueado | Não | O disco está desencriptado, por isso um atacante tem acesso total. |
| Malware ou hacker remoto enquanto o Windows está em execução | Não | A encriptação completa do disco não protege contra comprometimento de software. |
| Ataque evil maid | Parcialmente | O TPM deteta muitas alterações, mas ataques sofisticados podem contornar ou imitar medições. |
| Conta Microsoft pirateada | Não (se a Microsoft tiver a sua chave) | O atacante pode recuperar a chave de recuperação e desencriptar o disco offline. |
| Esquecer-se da sua palavra-passe ou PIN | Depende | É necessária a chave de recuperação. Sem ela, os seus dados perdem-se permanentemente. |
Segurança técnica
O BitLocker protege os seus dados usando o algoritmo de encriptação AES. Por predefinição em sistemas modernos, isto é AES-256 em modo XTS(nova janela) para maior proteção de dados em repouso. Isto é muito seguro.
Sistemas mais antigos podem usar no mínimo AES-128 em modo CBC(nova janela). Isto continua a ser suficientemente forte para proteger os seus dados da maioria dos atacantes, embora adversários altamente sofisticados (como agentes estatais) possam potencialmente tentar ataques avançados.
O BitLocker usa um sistema de gestão de chaves em camadas. No nível superior está a Volume Master Key (VMK), que encripta a chave real de encriptação de dados (a Full Volume Encryption Key, ou FVEK).
A própria VMK é então protegida por um ou mais métodos de autenticação: um chip TPM (e/ou palavra-passe, PIN, chave USB, ou uma combinação destes se estiver a usar a versão completa do BitLocker). Este design significa que pode alterar a sua palavra-passe sem precisar de voltar a encriptar toda a unidade.
A segurança do BitLocker depende totalmente da chave de recuperação
Portanto, desde que a chave de recuperação esteja segura, os seus dados estão muito seguros quando o seu dispositivo Windows está desligado (voltaremos a isto).
Imagine o BitLocker como uma porta a proteger os seus dados valiosos, e a sua chave de recuperação é a chave dessa porta. Arrombar a porta para obter os seus dados é uma tarefa praticamente impossível, mas com a chave pode simplesmente abri-la. A chave de recuperação é, portanto, o ponto fraco.
Isto é especialmente verdade quando carrega a sua chave de recuperação para a sua conta Microsoft. Como mostram acontecimentos recentes, a Microsoft pode e efetivamente entrega as chaves de recuperação dos utilizadores a terceiros, que podem usá-las para aceder aos seus dados.
Apenas offline
Outra consideração importante é que o BitLocker só protege os seus dados quando o seu PC Windows está desligado. Assim que o Windows está em execução, os seus discos são desencriptados e qualquer pessoa com acesso ao seu computador pode aceder aos seus dados. Isto pode significar acesso físico ou acesso digital (por exemplo, se tiver sido pirateado).
Isto é verdade para todas as soluções de encriptação completa do disco (não apenas o BitLocker), mas pode valer a pena ter isto em conta dependendo do seu modelo de ameaça.
Ataques evil maid
Um ataque evil maid(nova janela) é quando alguém obtém acesso físico temporário ao seu dispositivo (por exemplo, num hotel ou numa fronteira) e o modifica secretamente para poder roubar a sua chave de encriptação ou PIN mais tarde. Em vez de quebrar a encriptação, engana o sistema para a revelar.
Por predefinição, a maioria dos PCs usa o BitLocker com desbloqueio automático via TPM, o que é forte contra roubo mas mais fraco contra adulteração. Para se defender contra ataques evil maid, deve ativar o BitLocker com um PIN pré-arranque ou chave USB, para que o disco não possa ser desbloqueado automaticamente. Infelizmente, isso não é possível no Windows Home usando a Encriptação do Dispositivo básica.
O FBI pode obter os meus dados?
Em suma, sim. A Microsoft é uma empresa dos EUA e, por isso, deve cumprir ordens judiciais juridicamente vinculativas e outros instrumentos legais, como cartas de segurança nacional(nova janela) (NSL) que obrigam empresas a entregar enormes quantidades de dados pessoais e metadados a organizações governamentais sem qualquer supervisão judicial. Estas costumam ser acompanhadas de uma ordem de silêncio que impede a empresa de alertar os seus utilizadores de que recebeu uma NSL.
Em 2016, a Apple travou uma luta determinada contra exigências do FBI apoiadas por tribunal para desbloquear um iPhone(nova janela) pertencente a um suspeito de terrorismo, o que só foi resolvido quando o FBI empregou um terceiro para quebrar com sucesso a encriptação da Apple. Para evitar a repetição deste incidente, a Apple tem desde então avançado no sentido de implementar encriptação ponto a ponto nos seus produtos. Afinal, não pode entregar chaves de encriptação que simplesmente não tem.
A Microsoft, no entanto, não mostrou tal inclinação. Quando carrega a sua chave de recuperação do BitLocker para a sua conta Microsoft, é a Microsoft que a encripta e (caso seja necessário) a Microsoft pode desencriptá-la. Portanto, a Microsoft pode sempre aceder à sua chave de recuperação.
Em 2025, o FBI pediu à Microsoft que fornecesse as chaves de recuperação do BitLocker(nova janela) necessárias para desbloquear dados encriptados armazenados em três portáteis ligados a uma investigação sobre alegada fraude em Guam. A Microsoft cumpriu, e um porta-voz disse à Forbes que a empresa recebe cerca de 20 pedidos de chaves do BitLocker por ano. Na maioria desses casos, a Microsoft não pode cumprir porque essas chaves não estão armazenadas em contas Microsoft. Mas a implicação é clara: se puder ajudar, ajudará.
Soluções alternativas de encriptação
Se preferir não confiar na Microsoft a chave de recuperação da sua encriptação completa do disco, tem várias opções.
1. Use o Windows Pro
Se já usa o Windows Pro (ou Enterprise), esta é a solução mais simples. Se estiver a usar o Windows Home, terá de comprar uma nova licença e atualizar.
1. No Windows 11 Pro, abra a aplicação Definições e vá a Privacidade e segurança → Encriptação de unidade BitLocker. Se acabou de atualizar a partir do Windows Home ou usa Pro mas já carregou a sua chave de recuperação para a Microsoft (o comportamento predefinido se iniciar sessão no Windows usando a sua conta Microsoft), terá de desligar o BitLocker e esperar que a sua unidade seja desencriptada).
2. Vá a account.microsoft.com/devices/recoverykey(nova janela) e elimine todas as chaves que vê aí. Certifique-se, por favor, de que a sua unidade está desencriptada antes de o fazer!
3. Depois, pode voltar a ativar o BitLocker e selecionar o seu método preferido de cópia de segurança da chave de recuperação.
2. Use o VeraCrypt em alternativa
Pode, de forma perfeitamente compreensível, preferir evitar por completo a solução da Microsoft (afinal, quem sabe o que o seu código fechado está realmente a fazer?).
O VeraCrypt(nova janela) é um software de encriptação completa do disco de código aberto que passou por várias auditorias de segurança (nomeadamente pela QuarksLab em 2016(nova janela) e pelo Instituto Fraunhofer em 2020(nova janela)). Foram encontrados problemas, mas o VeraCrypt está em desenvolvimento ativo e, por isso, foram corrigidos. Também tem a considerável vantagem de ser 100% gratuito (embora o incentivemos a fazer um donativo, se puder). Para além da encriptação completa do disco, o VeraCrypt pode:
- Criar um disco virtual encriptado (volume) que pode montar e usar tal como um disco real (e que pode ser transformado num Volume Oculto)
- Criar uma partição ou unidade de armazenamento contendo um sistema operativo completo (que pode ser ocultado). Isto fornece negação plausível(nova janela), uma vez que deve ser impossível provar que existem (desde que sejam tomadas todas as precauções corretas(nova janela)).
Os dados são encriptados por predefinição usando XTS-AES-256 (as mesmas definições usadas pelo BitLocker), mas pode selecionar entre vários algoritmos alternativos de encriptação (como Twofish), se preferir. O acesso é protegido com uma frase-passe e/ou um ficheiro-chave (que deve armazenar em algum lugar muito seguro).
Antes de instalar o VeraCrypt, terá de desligar o BitLocker ou a Encriptação do Dispositivo e desencriptar a sua unidade (como descrito acima, mas no Windows 11 Home abra a aplicação Definições e vá a Privacidade segurança → Encriptação de unidade BitLocker).
3. Abandone o Windows
Se não consegue confiar na Microsoft com as chaves de recuperação da sua encriptação completa do disco, porque usar sequer o seu sistema operativo? Para se afastar do Windows, tem duas opções reais:
macOS
Os Macs são caros, altamente proprietários e proporcionam uma experiência de utilizador muito controlada. No entanto, conseguem fazer praticamente tudo o que um PC consegue e, ao contrário da Microsoft, a Apple tem um histórico de resistir a exigências governamentais para ajudar a aceder a dispositivos encriptados.
A solução integrada de encriptação completa do disco no macOS chama-se FileVault, que pode optar por ativar quando configura o seu Mac. Quando o faz, o FileVault oferece-se para carregar a sua chave de recuperação para a sua conta iClould, onde pode potencialmente ser acedida pela Apple e entregue a terceiros. No entanto, pode escolher apenas chave de recuperação local, gerando uma chave numérica que anota e guarda em segurança ou adiciona ao seu gestor de palavras-passe.
Outra opção é ativar a definição opcional Proteção de Dados Avançada para iCloud(nova janela), que protege os seus dados iCloud com encriptação ponto a ponto. Isto significa que a Apple não consegue aceder à sua chave de recuperação do FileVault (nem a quaisquer outros dados carregados para o iCloud). Note, no entanto, que a Proteção de Dados Avançada não está disponível para utilizadores em todas as regiões (nomeadamente no Reino Unido(nova janela)).
Linux
O Linux é um sistema operativo de código aberto completamente gratuito que pode ser instalado no seu hardware existente (e quase certamente funcionará melhor nele do que o Windows, pesado em recursos). Com exceção de algumas aplicações proprietárias que simplesmente não estão disponíveis na plataforma (nomeadamente qualquer coisa da Adobe, embora existam boas alternativas gratuitas de código aberto para a maioria delas), o Linux consegue fazer tudo o que o Windows e o macOS conseguem.
O Linux existe em muitas “variantes” diferentes (chamadas distribuições, ou apenas distros), mas quase todas usam o sistema de encriptação completa do disco LUKS, que pode ser selecionado quando instala o SO.
O LUKS não tem uma única “chave de recuperação” como o BitLocker ou o FileVault. Em vez disso, usa uma chave mestra aleatória que permanece no seu dispositivo e que pode ser desbloqueada usando um método de cópia de segurança à sua escolha. Estes incluem:
- Uma segunda frase-passe
- Uma frase-passe de recuperação impressa
- Um ficheiro-chave armazenado offline
- Uma chave selada por TPM (com frase-passe de reserva)
Considerações finais sobre o BitLocker e a encriptação completa do disco
O BitLocker é, de uma perspetiva puramente técnica, um sistema de encriptação completa do disco forte e bem concebido. A sua utilização de criptografia moderna, armazenamento de chaves apoiado por hardware e gestão de chaves em camadas torna-o altamente eficaz a proteger os seus dados contra ameaças comuns, como um dispositivo perdido ou roubado. Para a maioria dos utilizadores de Windows, o BitLocker fornece proteção significativa e fiável com esforço mínimo. Se o seu modelo de ameaça é um portátil roubado, o BitLocker é normalmente suficiente.
No entanto, como demonstram revelações recentes sobre a cooperação da Microsoft com as forças da autoridade, a segurança de qualquer sistema de encriptação depende, em última análise, de quem detém as chaves. Dependendo do seu modelo de ameaça, o facto de a chave de recuperação do BitLocker estar armazenada na sua conta Microsoft pode ser profundamente preocupante.
Felizmente, tem alternativas. O Windows Pro permite-lhe gerir as chaves de recuperação por si próprio, enquanto ferramentas open source como o VeraCrypt fornecem uma boa alternativa gratuita. Mudar completamente de plataforma e afastar-se da Microsoft, por exemplo para o macOS com chaves do FileVault armazenadas localmente ou para o Linux com LUKS, também é uma opção sólida.
