¿Cuál es la forma más fácil de cifrar un directorio? (en Ubuntu)

13

¿Cuál es la forma más fácil de cifrar un directorio en un sistema basado en Ubuntu?

Digamos que tengo una computadora portátil que ejecuta Ubuntu 10.04, y sobre eso tengo algunos documentos que deben mantenerse seguros (si pierdo la computadora portátil).

Digamos que todos los documentos están en un directorio llamado ~ / work /, y nada secreto está fuera de este directorio. Por lo tanto, no es necesario cifrar todo el directorio de inicio.

Habrá una manera de bloquear / desbloquear este directorio desde la línea de comandos.

Parece que hay algunas formas diferentes de hacer esto:

  • ecryptfs-utils
  • cryptsetup
  • truecrypt (sin embargo, no es código abierto aprobado por OSI)

Pero, ¿cuál es el método más fácil y confiable?

Gracias Johan

Actualización : pregunta relacionada, pero no la misma ¿Cuál es la forma más fácil de cifrar todos mis archivos en ubuntu 10.04?

ubuntu encryption disk-encryption Johan
fuente
2
¿A quién le importa si Truecrypt no está aprobado por OSI? OSI aprobado no equivale a un mejor software. Truecrypt es el mejor e incluso ha frustrado al FBI en varios casos.
TheLQ
3
El software que utiliza licencias aprobadas por OSI se siente más seguro.
Johan
1
@TheLQ, @Johan: superuser.com/questions/164162/is-truecrypt-truly-safe
Hello71

Respuestas:

10

Existen tres métodos: configurar un volumen cifrado en una partición ( dm-cryptconfigurado con cryptsetup), configurar un archivo que sea un volumen cifrado (truecrypt), configurar un directorio donde cada archivo se cifra por separado ( ecryptfso encfs).

Configurar un volumen encriptado proporciona un poco más de confidencialidad, porque los metadatos (tamaño, tiempo de modificación) de sus archivos son invisibles. En el lado negativo, es menos flexible (debe decidir de antemano el tamaño del volumen cifrado). Las preguntas frecuentes de ecryptfs enumeran algunas diferencias entre los dos enfoques.

Si elige cifrar archivo por archivo, conozco dos opciones: ecryptfsy encfs. El primero usa un controlador en el núcleo mientras que el segundo usa FUSE. Esto puede dar ecryptfsuna ventaja de velocidad; Ofrece encfsuna ventaja de flexibilidad ya que no es necesario hacer nada como root. Una posible ventaja ecryptfses que una vez que haya realizado la configuración inicial, puede usar su contraseña de inicio de sesión como contraseña del sistema de archivos gracias al pam_ecryptfsmódulo.

Para mi propio uso en una situación similar, elegí encfs, porque no vi ningún beneficio de seguridad real para otras soluciones, por lo que la facilidad de uso fue el factor determinante. El rendimiento no ha sido un problema. El flujo de trabajo es muy simple (la primera ejecución de encfscrea el sistema de archivos):

aptitude install encfs
encfs ~/.work.encrypted ~/work
... work ...
fusermount -u ~/work

Le recomiendo que también encripte su espacio de intercambio y cualquier lugar donde se puedan escribir archivos confidenciales temporales, como /tmpy /var/spool/cups(si imprime archivos confidenciales). Úselo cryptsetuppara cifrar su partición de intercambio. La forma más fácil de tratar /tmpes mantenerlo en la memoria montándolo como tmpfs(esto puede dar un ligero beneficio de rendimiento en cualquier caso).

Gilles 'SO- deja de ser malvado'
fuente
No pensé en / tmp, pero tmpfs resuelve este problema de una manera agradable. Solo haz un apagado real: s.
Johan
1
¡Gracias por enseñar encfs! ¡Esto es fantástico!
user39559
1

Yo uso exclusivamente TrueCrypt para tales cosas. Aprobado por OSI o no, creo que nunca me ha decepcionado, y he necesitado cifrado varias veces.

easyegoism
fuente
1

La forma rápida y fácil es tary compressy luego bcrypt.

tar cfj safe-archive.tar.bz2 Directorio / 
bcrypt safe-archive.tar.bz2 
# le pedirá una contraseña de 8 caracteres dos veces para bloquearla.
# Pero, recuerde eliminar su Directorio después de esto,
rm -rf Directory / 
# ¡Y espero que no olvides la contraseña, o tus datos se han ido!

Marcas safe-archive.tar.bz2.bfe, que puede cambiar de nombre si se siente paranoico al respecto.

Para abrir el paquete encriptado,

bcrypt safe-archive.tar.bz2.bf3 # O, como se llame
tar xfj safe-archive.tar.bz2 
# ¡Y tu directorio ha vuelto!

Si está listo para ponerse más desordenado, sugiero truecrypt, y hacer volúmenes cifrados.
Pero, no creo que sea necesario para datos regulares (como no relacionados con la seguridad nacional, por ejemplo).

PD: tenga en cuenta que no estoy sugiriendo que bcrypt sea ​​débil o incapaz de seguridad nacional de ninguna manera.

Responda a los comentarios sobre mi respuesta anterior.
Traté de dar una respuesta simple, y estoy de acuerdo en que mi elección de no sugerir Truecrypt como la primera opción puede ser inapropiada para algunos aquí.

La pregunta pide una manera fácil de encriptar un directorio.
Mi medida de seguridad aquí se basa en dos cosas,

  1. ¿Qué quieres asegurar y
  2. ¿De quién quieres asegurarlo?

Califico esto como el nivel de tu 'paranoia'.

Ahora, sin decir que Truecrypt (u otros métodos similares) son más costosos,
todo lo que quiero decir es que una secuencia de bcrypt ejecutada en tmpfs es suficiente para su uso diario hoy
(no será así, probablemente, en aproximadamente una década, yo supongo, pero realmente lo es por ahora).
Y, también asumo que el valor de los datos que se aseguran aquí no será comparable para un intento de 'recuperación' de la clase mona-lisa.

Pregunta simple entonces: ¿espera que alguien intente agarrar su computadora portátil apagada e intente recuperar datos de su espacio frío de RAM?
Si lo hace, probablemente debería reconsiderar su hardware y software en primer lugar, verificar a qué ISP se conecta, quién puede escuchar sus pulsaciones de teclas, y así sucesivamente.

PD: Me gusta Truecrypt y lo uso. El cumplimiento de OSI, o la falta de él, realmente no importa. Y, no estoy escenificando bcrypty el esquema propuesto aquí en competencia con él.

nik
fuente
2
Si bien doy la respuesta +1, para los verdaderamente paranoicos entre nosotros ... dependiendo del valor de sus datos, esta podría ser una mala idea. El usuario debe darse cuenta de que este método obviamente deja los archivos del directorio eliminado en el disco donde pueden ser potencialmente recuperados por los "chicos malos". Solo mire alrededor de SU para "recuperar archivos borrados en Linux" para ver qué tan seguro es eso ...
hotei
@hotei, sí, Truecryptabordará tales complicaciones. Otro truco sería usar un tmpfssoporte en RAM para trabajar con el directorio cifrado: copie el bfedisco RAM , trabaje con él allí, vuelva a cifrar y guarde el archivo cifrado nuevamente en el sistema de archivos.
nik
2
Yo iría un paso más allá que @hotei y diría que esto realmente no tiene calidad como encriptación ya que es muy fácil recuperar los archivos (hay un mercado entero dedicado a la recuperación de archivos). El cifrado debe ser cifrado. Esto es solo una falsa sensación de encriptación
TheLQ
2
@nik: No solo el método en su respuesta es inseguro como lo ha explicado hotei, sino que también es propenso a errores (¿qué pasa si olvida eliminar los archivos descifrados?). Incluso su propuesta de uso tmpfses muy arriesgada: ¿qué pasa si olvida volver a cifrar los archivos y pierde sus modificaciones? ¿Qué pasa si la computadora falla (perderá todas sus modificaciones)? También es innecesariamente complicado. Hay muchas formas reales de resolver este problema usando las herramientas apropiadas, solo use una de ellas.
Gilles 'SO- deja de ser malvado'
1
@nik Hubo una exposición en una universidad cercana que demostró que incluso después de una hora de que la memoria RAM no funcionaba, aún se podía ver una foto de la Mona Lisa que estaba cargada en la memoria. A menos que reinicie la máquina inmediatamente después, es muy fácil recuperar los datos de la RAM. Truecrypt, IIRC, cifra su RAM.
digitxp
1

Si solo le preocupa perder su computadora portátil, Ubuntu ecryptfsya lo ha configurado.

Simplemente elija "directorio de inicio encriptado" cuando cree su cuenta de usuario y dele una contraseña decente. Esto protegerá lo que esté dentro de su carpeta de inicio.

Sí, cifrará más que ~/work, pero es perfecto.

Para el /tmpuso tmpfs.

Pros:

  • No necesita hacer nada más, Ubuntu hace todo por usted.
  • Tus amigos pueden usar tu computadora sobre la marcha, solo necesitarán una contraseña si quieren acceder a tus archivos.

Estafa:

  • Hay otros lugares donde se hacen datos de fugas: la respuesta de Gilles es la más completa (+1 para él).

Entonces, si no cree que algún experto forense intente obtener datos de las cosas que ha impreso, esto es lo suficientemente bueno.

ecryptfstambién puede cifrar el intercambio, pero le recomiendo que simplemente desactive el intercambio a menos que le haya sucedido que se quedó sin RAM. La vida es mejor sin intercambio. (o simplemente ejecuta ecryptfs-setup-swapy sigue las instrucciones para cambiar fstab)

Advertencia : En cualquier caso, a menos que acabe de recibir esta computadora portátil, ya hay muchas cosas escritas en su disco duro. Encontré un montón de cosas en la mía y nada lo aclararía. Debe realizar una copia de seguridad en otra unidad o partición, sobrescribir su sistema de archivos actual con ceros y restaurar sus archivos (por supuesto, solo restaure los archivos confidenciales después de configurar el cifrado).

usuario39559
fuente
1

La forma más fácil y rápida de configurar esto es instalar ecryptfs-utils y cryptkeeper :

sudo apt-get install ecryptfs-utils cryptkeeper

Luego, una vez hecho, mira en tu bandeja del sistema. Verá un icono de dos teclas. Haga clic en él y elija Nueva carpeta cifrada. Escriba el nombre y haga clic en el botón Adelante (curiosamente en la parte inferior izquierda, no a la derecha). Luego, ingrese la contraseña que desea, reconfirme y haga clic en Reenviar nuevamente, y luego en Aceptar.

Esto montará la carpeta encriptada y puede copiar archivos en ella. Cuando termine, si cierra la sesión o desmarca esa carpeta montada (haga clic en el icono Llaves en la bandeja del sistema para hacerlo), se requerirá una contraseña nuevamente antes de volver a montarla.

Volomike
fuente