Cómo cifrar archivos con gocryptfs en Linux

Publicado: 2022-01-29
Un gráfico de una ventana de terminal en una computadora portátil.
Fatmawati Achmad Zaenuri/Shutterstock

¿Quiere cifrar archivos importantes, pero no todo el disco duro de su sistema Linux? Si es así, recomendamos gocryptfs . Obtendrá un directorio que, esencialmente, cifra y descifra todo lo que almacena.

gocryptfs ofrece protección contra filtraciones de datos

La privacidad es una gran noticia. Apenas pasa una semana sin que se anuncie un incumplimiento en una u otra organización. Las empresas informan sobre incidentes recientes o revelan infracciones que ocurrieron hace algún tiempo. En ambos casos, son malas noticias para aquellos cuyos datos han sido expuestos.

Debido a que millones de personas usan servicios como Dropbox, Google Drive y Microsoft OneDrive, todos los días se envía a la nube un flujo de datos aparentemente interminable. Si almacena algunos (o todos) sus datos en la nube, ¿qué puede hacer para proteger la información clasificada y los documentos privados en caso de que se produzca una infracción?

Las violaciones de datos vienen en todas las formas y tamaños, por supuesto, y no se limitan a la nube. Una tarjeta de memoria perdida o una computadora portátil robada es solo una violación de datos a menor escala. Pero la escala no es el factor crítico. Si los datos son sensibles o confidenciales, que alguien más los tenga podría ser desastroso.

Una solución es cifrar sus documentos. Tradicionalmente, esto se hace cifrando su disco duro en su totalidad. Esto es seguro, pero también ralentiza ligeramente su computadora. Además, si sufre una falla catastrófica, puede complicar el proceso de restauración de su sistema desde las copias de seguridad.

Anuncio publicitario

El sistema gocryptfs le permite cifrar solo los directorios que necesitan protección y evitar la sobrecarga de cifrado y descifrado en todo el sistema. Es rápido, ligero y fácil de usar. También es fácil mover directorios encriptados a otras computadoras. Siempre que tenga la contraseña para acceder a esos datos, no deja rastro de sus archivos en la otra computadora.

El sistema gocryptfs está construido como un sistema de archivos cifrados y liviano. También se puede montar con cuentas regulares que no sean root porque usa el paquete Filesystem in Userspace (FUSE). Esto actúa como un puente entre gocryptfs y las rutinas del sistema de archivos del kernel a las que necesita acceder.

Instalando gocryptfs

Para instalar gocryptfs en ubuntu, escriba este comando:

 sudo apt-get install gocryptfs

Para instalarlo en Fedora escriba:

 sudo dnf instalar gocryptfs

En Manjaro, el comando es:

 sudo pacman-syu gocryptfs

Creación de un directorio cifrado

Parte de la gloria de gocryptfs es lo simple que es de usar. Los principios son:

  • Cree un directorio para contener los archivos y subdirectorios que está protegiendo.
  • Utilice gocryptrfs para inicializar ese directorio.
  • Cree un directorio vacío como punto de montaje y luego monte el directorio cifrado en él.
  • En el punto de montaje, puede ver y usar los archivos descifrados y crear otros nuevos.
  • Desmonte la carpeta cifrada cuando haya terminado.

Vamos a crear un directorio llamado "bóveda" para almacenar los datos cifrados. Para ello escribimos lo siguiente:

 bóveda mkdir

Necesitamos inicializar nuestro nuevo directorio. Este paso crea el sistema de archivos gocryptfs dentro del directorio:

 gocryptfs -init bóveda

Escriba una contraseña cuando se le solicite; lo escribirá dos veces para asegurarse de que sea correcto. Elija una fuerte: tres palabras no relacionadas que incluyen puntuación, dígitos o símbolos es una buena plantilla.

Su clave maestra se genera y se muestra. Copie y guarde esto en un lugar seguro y privado. En nuestro ejemplo, estamos creando un directorio gocryptfs en una máquina de investigación que se borra después de escribir cada artículo.

Anuncio publicitario

Como es necesario para un ejemplo, puede ver la clave maestra para este directorio. Definitivamente querrás ser mucho más reservado con los tuyos. Si alguien obtiene su clave maestra, puede acceder a todos sus datos cifrados.

Si cambia al nuevo directorio, verá que se han creado dos archivos. Escribe lo siguiente:

 bóveda de cd
 ls-ahl

El "gocryptfs.diriv" es un archivo binario corto, mientras que "gocryptfs.conf" contiene configuraciones e información que debe mantener a salvo.

Si carga sus datos cifrados en la nube o los respalda en medios pequeños y transportables, no incluya este archivo. Sin embargo, si realiza una copia de seguridad en medios locales que permanecen bajo su control, puede incluir este archivo.

Con suficiente tiempo y esfuerzo, podría ser posible extraer su contraseña de las entradas de "clave cifrada" y "sal", como se muestra a continuación:

 gato gocryptfs.conf

Montaje del directorio cifrado

El directorio cifrado se monta en un punto de montaje, que es simplemente un directorio vacío. Vamos a crear uno llamado “geek”:

 mkdir friki
Anuncio publicitario

Ahora podemos montar el directorio cifrado en el punto de montaje. Estrictamente hablando, lo que realmente está montado es el sistema de archivos gocryptfs dentro del directorio cifrado. Nos pide la contraseña:

 friki de la bóveda de gocryptfs

Cuando se monta el directorio encriptado, podemos usar el directorio del punto de montaje de la misma manera que lo haríamos con cualquier otro. Todo lo que editamos y creamos en este directorio se escribe en el directorio montado y encriptado.

Podemos crear un archivo de texto simple, como el siguiente:

 toque notas-secretas.txt

Podemos editarlo, agregarle algo de contenido y luego guardar el archivo:

 gedit notas-secretas.txt

Nuestro nuevo archivo ha sido creado:

 ls

Si cambiamos a nuestro directorio encriptado, como se muestra a continuación, vemos que se ha creado un nuevo archivo con un nombre encriptado. Ni siquiera puedes saber qué tipo de archivo es por el nombre:

 bóveda de cd
 ls-hl

Si tratamos de ver el contenido del archivo cifrado, podemos ver que realmente está codificado:

 menos aJGzNoczahiSif_gwGl4eAUnwxo9CvOa6kcFf4xVgYU

Anuncio publicitario

Nuestro archivo de texto simple, que se muestra a continuación, ahora es todo menos fácil de descifrar.

Desmontar el directorio cifrado

Cuando haya terminado con su directorio encriptado, puede desmontarlo con el comando fusermount . Como parte del paquete FUSE, el siguiente comando desmonta el sistema de archivos gocryptfs dentro del directorio cifrado desde el punto de montaje:

 fusermount -u geek

Si escribe lo siguiente para verificar el directorio de su punto de montaje, verá que todavía está vacío:

 ls

Todo lo que hizo se almacena de forma segura en el directorio cifrado.

Sencillo y Seguro

Los sistemas simples tienen la ventaja de que se usan con más frecuencia, mientras que los procesos más complicados tienden a quedarse en el camino. Usar gocryptfs no solo es simple, también es seguro. La sencillez sin seguridad no valdría la pena.

Puede crear tantos directorios encriptados como necesite o solo uno para almacenar todos sus datos confidenciales. También es posible que desee crear algunos alias para montar y desmontar su sistema de archivos cifrados y simplificar aún más el proceso.

RELACIONADO: Cómo crear alias y funciones de shell en Linux