Me llama bastante la atención ver algunos usuarios de Ubuntu Linux, que teniendo la necesidad y las herramientas para cifrar sus datos confidenciales, no lo hacen por falta de conocimiento (¿?) o curiosidad. En este artículo voy explicar el proceso de cifrado de datos, usando las herramientas que vienen incluidas en Ubuntu. Partamos del hecho de saber que, cualquier archivo o carpeta en Ubuntu puede ser cifrado de tal manera que solo pueda ser descifrado usando una contraseña.

Algunas configuraciones son necesarias antes que los archivos y directorios puedan ser cifrados, y debes generar una clave GPG personal. Los archivos cifrados con el método que se describe a continuación no son particularmente “portables”, ya que no es un sistema diseñado para dejarte copiar los archivos a otra máquina y descifrarlos allí (como si lo es cuando ciframos archivos con TrueCrypt). Para hacer posible ello, tendrías que exportar tu clave, lo cual representa un riesgo de seguridad. Aún así, cómo hacer esto se explica más adelante.

Ten en mente que si sigues las instrucciones de este tip y olvidas la contraseña, perderás los archivos que has cifrado para siempre. No hay manera de crackear el sistema fácilmente—el método de cifrado usado es extremamente seguro.

Primero veamos cómo crear un par de claves y luego cómo cifrar y descrifrar archivos y carpetas.

Crear las claves

Sigue los siguientes pasos para crear las claves, lo cual es necesario antes de poder cifrar cualquier archivo (puedes saltar estos pasos si ya tienes creadas las claves para usar con cifrado de email):

1. Haz clic en Aplicaciones —> Accesorios —> Contraseñas y claves de cifrado para iniciar la aplicación Seahorse, que es usada para administrar las claves de cifrado en Ubuntu.
2. En la ventana que aparece, haz clic en el botón Nuevo. En el cuadro de diálogo que aparece, selecciona Clave PGP, y haz clic en el botón Continuar.
3. En el cuadro de diálogo que aparece, llena los campos Nombre Completo y Dirección de Correo (puedes dejar el campo Comentario vacío). Para ser franco, el campo email es solamente usado cuando usamos las claves con propósitos de envío de correo cifrado; sin embargo son campos obligatorios.



4. En el apartado Opciones avanzados de clave, puedes seleccionar un tipo diferente de cifrado, aunque la opción por defecto “DSA Elgamal y 2048 bits” es considerada bastante segura a la vez que flexible para todas las necesidades. Una vez hecho, clic en el botón Crear.
5. Después de esto, te solicitará una contraseña. Esencialmente, esta es la contraseña que necesitarás para descifrar los archivos. Es importante que escojas una contraseña difícil de adivinar, pero a la vez fácil de recordar. La contraseña puede incluir letras, números, símbolos, y espacios.
6. Después de esto, la clave será generada. Dependiendo en la velocidad de tu computador, esto puede tomar algunos minutos. Una vez hecho esto, cierra la aplicación Seahorse.

Cifrando/Descifrando archivos y carpetas

Una vez que el par de claves ha sido generado, cifrar y descifrar archivos es bastante simple. Solo tienes que seleccionar un archivo, hacer clic derecho y seleccionar Cifrar.

En el diálogo que aparece, selecciona la clave que has creado, y clic en OK

Si has seleccionado una carpeta para cifrar, te preguntará si deseas cifrar cada archivo dentro de la carpeta por separado o si deseas que se cree un archivo ZIP que luego será cifrado. La segunda opción es la mejor en la mayoría de los casos.

Si estás cifrando un archivo, una vez que el cifrado esté completo, deberías encontrarte con una nueva versión con la extensión .pgp. Puedes/debes entonces borrar el archivo viejo. Si cifraste una carpeta, deberías encontrar dos nuevos archivos—la versión cifrada con la extensión .pgp y un archivo .zip con la versión original del folder. Tanto el ZIP como la carpeta original, pueden ser borrados después del cifrado.

Por razones de seguridad, las versiones no cifradas de los archivos deben ser eliminados permanentemente, en vez de simplemente enviarlos a la papelera de reciclaje. Pero antes asegúrate de probar descifrando el archivo cifrado, para ver que todo va bien.

Para ello, debes hacer doble clic en el archivo .pgp, y entonces digitar la contraseña cuando te la pida. El archivo original reaparecerá entonces. En caso de ser una carpeta, el archivo .zip aparecerá, y deberás entonces extraer el contenido del mismo.

Descifrando archivos en otro computador

Como mencionaba en la introducción de este tip, este no es un sistema diseñado para crear archivos cifrados portables (como lo sería usando TrueCrypt). Para descifrar archivos en otro computador, necesitas exportar tu clave y luego importarlos en dicho computador. Esto representa un riesgo de seguridad. Sin embargo, algunas veces puede ser necesario descifrar archivos en otro computador. Aquí están los pasos necesarios:

1. En el computador que creaste las claves, inicia Seahorse (Aplicaciones —> Accesorios —> Contraseñas y claves de cifrado), y entonces haz clic derecho en tu clave personal. Selecciona Propiedades desde el menú que aparece.
2. En el cuadro de diálogo que aparece, clic en la pestaña Detalles, y clic en el botón Exportar al lado de Exportar la clave completa. Guarda el archivo en el escritorio. Encontrarás que un nuevo archivo ha sido creado con la extensión .asc. Son tus claves en texto plano.
3. Copia el archivo .asc a una memoria USB, y cópialo en el segundo computador. Aún en el segundo computador, inicia Seahorse, y haz clic en el botón Importar. Navega hasta donde tienes el archivo .asc, y haz clic en Abrir. Esto importará la clave. Después de esto, cierra Seahorse. Puedes entonces hacer doble clic sobre cualquier archivo cifrado para descifrarlo.
4. Si el otro computador no tiene Seahorse instalado—tal vez sea otra distro o una versión vieja de Ubuntu—copia la clave al escritorio, y ejecuta el siguiente comando en una terminal (asumiendo que gpg está instalado, que es muy común):
   gpg –import “/home/usuario/Desktop/archivo.asc”

   Obvio, debes reemplazar archivo.asc por el nombre del archivo de claves y usuario con tu nombre de usuario.

5. Entonces, para descifrar un archivo, digita el siguiente comando:
   gpg nombre_de_archivo.pgp

   De nuevo, debes reemplazar nombre_de_archivo.pgp con el nombre de el archivo a descifrar. Te preguntará el password, así que escríbela. Después de esto, el archivo original será guardado en la misma carpeta donde está el archivo .pgp.

Ten en cuenta que debes asegurarte que la hora y fecha de los computadores donde crees/importes/exportes las claves debe ser correcta. Por varias razones técnicas, Seahorse y el comando gpg no pueden importar una clave si la hora y fecha en el PC, es menor que la fecha en la que aparece creada. Por supuesto, esto significa que si el computador donde creaste la clave tiene una fecha errónea, podría darte bastante problemas la creación y uso de la clave.

Fuente de la imagen del candado

Aunque una de las principales ventajas que tienen los sistemas operativos Gnu/Linux sobre Windows es la seguridad, no muchas veces creamos mecanismos para proteger nuestros archivos. En esta pequeña guía vamos a aprender tres maneras de hacerlo, dos de ellas cifrando los datos.

Vamos entonces de la manera más sencilla a la más compleja:

1. Asignar permisos básicos desde la consola
2. Usar CFS para crear directorios cifrados
3. Usar TrueCrypt para crear volúmenes cifrados

1. Asignar los permisos apropiados

Esta es la manera más simple de proteger los nuestros datos. Se trata de, por medio de permisos, prohibir el acceso a los datos a los demás usuarios. Esto lo hacemos con este simple comando:

chmod -R u+wrx,og-wrx privado

Donde privado es una carpeta donde meteremos los documentos “confidenciales” que queramos ocultar a los demás. -R es para que asigne este permiso a todas las carpetas y archivos recursivamente. u+wrx asigna permisos de escritura (write), lectura (read) y ejecución (execute) a nuestro usuario; mientras que og-wrx quita permisos de escritura (write), lectura (read) y ejecución (execute) a otros usuarios y grupos.

Este es sin duda el método más primitivo pero rápido, y solo lo recomiendo si los datos no son lo suficientemente importantes, puesto que los datos siguen siendo visibles para los usuarios con privilegios de root. Para todo lo demás deberás usar alguna de las siguientes dos opciones:

2. Cifrar directorios usando CFS

CFS (Cryptographic Filesystem), es un sistema de ficheros que permite almacenar y recuperar documentos cifrados. Principalmente sirve para cifrar el contenido de toda una partición, pero puesto que en Linux una vez se monta una partición esta es accesible como un directorio, es posible utilizar CFS para cifrar directorios simples.

Lo primero que debemos hacer es instalar CFS, lo cual lo podemos hacer de manera sencilla en Ubuntu o Debian con el comando:

sudo apt-get install cfs

Dicho paquete nos proporciona algunos comandos utiles para cifrar nuestros datos; veamos un ejemplo sencillo paso a paso… la idea es crear un directorio llamado datos_confidenciales en donde guardaremos los datos que no queremos que nadie vea; esto lo hacemos con el comando cmkdir:

/home/cris/ $ cmkdir confidencial
Key: pon_un_password_largo
Again: pon_el_password_largo_de_nuevo

Debemos especificar una contraseña de al menos 16 caracteres; es importante que NO LA OLVIDES, de lo contrario no podrás recuperar tus datos nunca Además, desde un principio NO es posible acceder (al menos de manera legible) a ningún documento en la carpeta que hemos creado.

Crear dicho directorio es como comprar una caja fuerte, pero ¿cómo meto mis documentos en dicha caja fuerte? Para añadir datos debemos crear un directorio en el cual trabajar de manera normal usando el comando cattach:

/home/cris/ $ cattach /home/cris/confidencial
key: pon_el_password_largo

Esto creará un directorio llamado confidencial en la carpeta /crypt (/crypt/confidencial) al cual podremos acceder de manera normal y poner allí los archivos que deseamos cifrar:

/home/cris/ $ cd /crypt/confidencial
/crypt/confidencial $ mv /home/cris/archivo.odt .
/crypt/confidencial $ cat /etc/fstab > respaldo.bak
/crypt/confidencial $ cd

Luego de haber añadido, creado, modificado o eliminado los archivos, es hora de meterlos a nuestra caja fuerte. Esto lo hacemos con el comando detach, lo cual sería como cerrar la caja fuerte:

/home/cris/ $ cdetach confidencial

Si hechamos un vistazo a la carpeta /home/cris/confidencial, veremos que CFS ha encriptado tanto el nombre como el contenido de nuestros archivos:

/home/cris/ $ ls confidencial
37401e3e492f0bce 71d8783a255e3b68a8da544204eb3cad

Eso es todo. De ahora en adelante, cuando desees acceder a tus archivos cifrados usas el comando cattach, y cuando termines NO OLVIDES usar el comando cdetach para “cerrar la caja fuerte”

3. Usando TrueCrypt para cifrar datos

Este es de lejos la mejor manera de cifrar datos y particiones; TrueCrypt es un sistema de cifrado de volúmenes, el cual se encuentra disponible para las distribuciones más conocidas de Linux, incluyendo por supuesto Ubuntu. Para instalarlo descarga el fichero correspondiente para tu sistema operativo. Ahora, si por ejemplo descargaste el de Ubuntu x86 deberás descomprimir el fichero .tar.gz e instalar el .deb:

$ tar xvfz truecrypt-6.0a-ubuntu-x86.tar.gz
$ ./truecrypt-6.0a-setup-ubuntu-x86

Te saldrá una ventana en la que tienes la opción de extraer el archivo .deb. El archivo quedará en la carpeta /tmp, donde podrás instalarlo fácilmente usando GDebi, o con el comando:

$ sudo dpkg -i /tmp/truecrypt_6.0a-0_i386.deb

Continúa leyendo en la siguiente página…