Encriptar el disco duro o las particiones

Este tutorial muestra cómo encriptar discos duros y particiones usando Cryptosetup con LUKS y cómo encriptar y desencriptar archivos simples usando GPG y EncFS, todas las herramientas usadas están incluidas en la instalación estándar de Debian por defecto.

Encriptación de discos duros o particiones con Cryptosetup y LUKS:

Esta sección muestra cómo encriptar y desencriptar discos duros conectados.
LUKS (Linux Unified Key Setup) es un cifrado de disco desarrollado originalmente para Linux. Aumenta la compatibilidad y facilita la operatividad y la autenticación.

Para empezar hay que formatear el disco duro o la partición habilitando el modo encriptado ejecutando el cryptsetup luksFormat seguido del dispositivo a encriptar como en el ejemplo siguiente:

# sudo cryptsetup luksFormat /dev/sdc1

Cuando se le pregunte escriba «YES» (en mayúscula o en mayúscula y pulse ENTER).

Rellene y verifique la frase de paso, será la contraseña para acceder a su dispositivo, no olvide esta frase de paso. Ten en cuenta que la información del disco será eliminada después de este proceso, hazlo en un dispositivo vacío. Una vez que establezcas las passphrases el proceso terminará.

El siguiente paso consiste en crear un mapeador lógico al que montar el dispositivo o partición encriptada. En este caso he llamado al mapeador de dispositivos decrypted.

# sudo cryptsetup luksOpen /dev/sdc1 decrypted

Ahora hay que formatear la partición usando mkfs, puedes elegir el tipo de partición que quieras, ya que LUKS tiene soporte para Linux yo usaré un sistema de archivos Linux en lugar de Windows. Este método de cifrado no es el mejor si necesitas compartir la información con usuarios de Windows (a menos que tengan software como LibreCrypt).

Para proceder con el formato como sistema de archivos Linux ejecuta:

# sudo mkfs.ext4 /dev/mapper/decrypted

Crea un directorio que sirva de punto de montaje para el dispositivo cifrado utilizando el comando mkdir como en el siguiente ejemplo:

# mkdir /descifrado

Monte el dispositivo encriptado utilizando el mapeador como origen y el directorio creado como punto de montaje siguiendo el siguiente ejemplo:

# montar /dev/mapper/decrypted /decrypted

Se podrá ver el contenido:

Si desconectas el disco o cambias de usuario se te pedirá que pongas la contraseña para acceder al dispositivo, la siguiente petición de contraseña es para Xfce:

Puedes consultar la página man de Cryptosetup o en línea en https://linux.die.net/man/8/cryptsetup.

Encriptar un archivo usando GnuPG:

Para empezar he creado un archivo ficticio llamado «linuxhintencrypted» que cifraré usando el comando gpg con la bandera -c como en el siguiente ejemplo:

# gpg -c linuxhintencrypted

Donde:
gpg: llama al programa.
-c: cifrado simétrico

Dependiendo de su gestor de ventanas X puede aparecer un cuadro de diálogo de solicitud de contraseña gráfica como se describe en los dos pasos siguientes. De lo contrario, rellene su frase de contraseña cuando se le solicite en el terminal:

Dependiendo de su gestor de X-window, puede aparecer un cuadro de diálogo de solicitud de contraseña gráfica como se describe en los dos pasos siguientes. Si no es así, rellene su frase de contraseña cuando se le pida en el terminal:

Confirme la frase de contraseña:

Inmediatamente después de encriptar el archivo se abre un cuadro de diálogo pidiendo una frase de contraseña para el archivo encriptado, rellene la contraseña y vuelva a confirmarla como se muestra en las imágenes siguientes:

Confirme la frase de contraseña para finalizar el proceso.

Tras finalizar puede ejecutar ls para confirmar que se ha creado un nuevo fichero llamado <NombreDeArchivo>.gpg (en este caso linuxhintencrypted.gpg).

# ls

Descifrando un fichero gpg:

Para descifrar un fichero gpg utilice la bandera -decrypt seguida del fichero y una indicación sobre la salida descifrada:

# gpg –decrypt linuxhintencrypted.gpg > result.txt

Puede consultar la página man de gpg o en línea en https://www.gnupg.org/gph/de/manual/r1023.html.

Encriptar directorios con ENCFS:

Añadí EncFS como extra, EncFS es otro método que se muestra en este tutorial pero no es el mejor ya que es advertido por la propia herramienta durante el proceso de instalación por cuestiones de seguridad, tiene una forma diferente de usarlo.

Para trabajar con EncFS es necesario crear dos directorios: el de origen y el de destino que es el punto de montaje en el que se ubicarán todos los archivos descifrados, el directorio de origen contiene los archivos cifrados. Si pones los archivos dentro del directorio de punto de montaje serán encriptados en la ubicación de origen..

Para empezar con ENCFS instálalo ejecutando:

# apt install encfs -y

Durante la instalación una advertencia te informará de que EncFS es vulnerable, por ejemplo, a una bajada de complejidad de encriptación. Aun así, procederemos a la instalación pulsando OK.

Después de la advertencia la instalación debería terminar:

Ahora vamos a crear dos directorios bajo /media, en mi caso crearé los directorios en y de:

# mkdir /media/es && mkdir /media/de

Como podéis ver los directorios están creados dentro, ahora vamos a configurar, dejando que EncFS configure automáticamente el origen y el punto de montaje:

# encfs /media/es /media/de

Cuando se le pida rellene y confirme su contraseña, recuerde la contraseña que puso, no la olvide:

Cuando sea requerido rellene y confirme su contraseña, recuerde la contraseña que estableció, no la olvide:

Una vez finalizado el proceso de instalación pruébelo, cree un archivo dentro de /media/de

# nano /media/de/test1

Ponga el contenido que desee:

Ahora como puedes ver dentro del directorio /media/es verás un nuevo archivo, la versión encriptada para el archivo test1 creado anteriormente.

El archivo original sin encriptar está en /media/de, puedes confirmarlo ejecutando ls.

Si quiere desmontar el directorio de archivos desencriptados utilice el comando fusermount seguido de la bandera -u y el objetivo:

# fusermount -u de

Ahora los archivos no son accesibles.

Para montar de nuevo los archivos encriptados ejecute:

#encfs /media/de

Puede consultar la página man de encfs o en línea en https://linux.die.net/man/1/encfs.

Conclusión

Encriptar discos, archivos y directorios es bastante fácil y vale la pena, en minutos viste 3 métodos diferentes para llevarlo a cabo. Las personas que manejan información sensible o están preocupadas por su privacidad pueden proteger su información sin necesidad de tener conocimientos avanzados en seguridad informática siguiendo unos pocos pasos. Los usuarios de criptomonedas, personajes públicos, personas que manejan información sensible, viajeros y otros públicos similares pueden verse especialmente beneficiados.

Probablemente de todos los métodos mostrados anteriormente GPG es el mejor con mayor compatibilidad, quedando EncFS como la peor opción debido a la advertencia de instalación que significa. Todas las herramientas mencionadas en este tutorial tienen opciones adicionales y banderas que no se exploraron para mostrar una variedad de herramientas en su lugar.

Para obtener más información sobre el cifrado de archivos puede comprobar los tutoriales disponibles en https://linuxhint.com/category/encryption/.

Espero que haya encontrado este tutorial sobre Cómo cifrar el disco duro o particiones útil.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.