16 sept. 2007

Truecrypt: La forma más sencilla de crear un DVD encriptado en Linux o Windows

Actualización 5-9-08: Ahora es mucho más sencillo utilizar Truecrypt en Linux, tanto instalarlo (versiones para las distros más importantes) como usarlo, gracias a su potente GUI, tan fácil como con la versión Windows, así que muchos de estos pasos ya no son necesarios.
Si te es muy útil, dona, y continuarán con su desarrollo.

Truecrypt nos permite crear un archivo de cualquier tamaño y nombre (también puede estar oculto) al que podremos acceder como un directorio más del ordenador y en el que todo lo que dejemos se encriptará de forma transparente para el usuario.
De esta forma podemos crear un archivo de 4,3 Gigas y luego lo podremos grabar en un DVD una vez que lo hayamos llenado; además es GPL y tiene miles de usuarios con lo que es muy confiable.

Este artículo es relativo a Truecrypt bajo linux; para los usuarios de windows consultad esta página o esta otra.

Tras haber analizado y probado otras opciones como las que indica este artículo de Linux Magazine, finalmente he desistido de encriptar el sistema de archivos o encriptar los archivos individualmente y me he encontrado que Truecrypt es la mejor opción para los que no dominen los sistemas de encriptación, como yo.


Comenzando

La versión de linux de Truecrypt no trae una ventana de configuración por sí misma, sino que es un programa de línea de comandos y aunque tiene interfaces creadas por terceros como OneKrypt y TcGUI (éste último más avanzado, aunque no conseguí que me funcionara correctamente), podemos prescindir de ellas ya que, como vamos a ver, crear volúmenes y montarlos es muy sencillo, ya que te va preguntando las opciones.
Para instalarlo podemos recurrir al paquete ya preparado para nuestra distribución o descargar el código fuente y compilarlo.
En esta página hay un pequeño manual de cómo compilarlo. Como yo tengo un núcleo (kernel) modificado no me fue necesario instalar los fuentes del núcleo, pero me daba un error al principio de la compilación que me indicaba que no tenía activada la opción "device_mapper", por lo que tuve que editar la configuración y compilarlo de nuevo. Generalmente esta opción ya viene activada.


Utilizando Truecrypt

Crear un volumen es tan sencillo como abrir el programa de terminal y escribir:
Truecrypt -c
Y nos irá preguntando por las distintas opciones; si desconocemos el significado de alguna podemos darle a enter para aceptar el valor por defecto, que es el recomendado.

Una vez creado el archivo podemos montar el volúmen en una carpeta a la que tengamos acceso, o crear una nueva donde queramos:
mkdir ./truecrypt (creamos una carpeta cualquiera)
truecrypt -u {directorio y archivo creado} {directorio y carpeta que hemos creado}

En esta página tenéis un manual más detallado con todos los pasos y cómo automatizar el proceso con scripts.

Limitaciones en Truecrypt 4.3a

Dado que es un programa que salió originalmente para Windows y luego se portó a linux, no aprovecha al 100% todas las características de este último:
- Es necesario formatear la unidad encriptada si queremos tener otro sistema de archivos que no sea FAT. El sistema FAT tiene muchas limitaciones, no diferencia mayúsculas de minúsculas, no admite ciertos caracteres, es propensa a errores si se desconecta incorrectamente, etc. Viene bien para compartir archivos entre windows y linux pero nada más. Al crear la unidad Truecrypt podría darnos la opción de Ext2 además de la fat. Los sistemas de archivos con journaling (ext3, reiserfs, jfs, xfs, ntfs) tienen problemas de seguridad como para ser usados con truecrypt.
- No aprovecha la aceleración por hardware del motor Padlock de los microprocesadores Via C3 y C7, aunque puede que lo haga en versiones futuras. Aunque la encriptación y desencriptación se realiza razonablemente rápido (a unos 10 Megas/seg. en un C7 a 2 Ghz) no estaría de más aprovechar este recurso en caso de existir para conseguir hasta 100 veces más velocidad y conseguir que sea una encriptación totalmente invisible para el usuario.


Más acerca de la aceleración en tareas de encriptación de chips Via

Copiado de Via:
1. Algoritmo Hash Seguro: SHA-1 and SHA-256 – Hasta 5 Gigabits por segundo de transferencia.
2. Encriptación AES: ECB, CBC, CFB, y modo OFB – otro método de encriptar información hasta 25 Gigabits por segundo.
3. Multiplicador Montgomery: Una herramienta de ayuda a la encriptación si se utiliza un algoritmo de llave pública RSA.
4. Protección de ejecución NX: Si se activa, impide a la mayoría de los gusanos proliferar en tu equipo.
5. Generador de Números Aleatorios: Dos generadores de números aleatorios pueden crear números al azar a una velocidad de 1600 miles a 20 millones por segundo.


Enlaces:
http://www.via.com.tw/en/initiatives/padlock/

http://www.logix.cz/michal/devel/padlock/ (Linux)
http://www.logix.cz/michal/doc/article.xp/padlock-en
http://www.viaarena.com/default.aspx?PageID=22&DSCat=161&DCatType=1


Para acabar...
Truecrypt tiene tantos usos como alcance tu imaginación, también puedes encriptar esa memoria usb donde llevas tus documentos creando una unidad y dejando un poco de espacio libre para poder instalar Truecrypt en caso de que tengas que acceder al volumen encriptado en un ordenador que no tenga este útil programa.

2 comentarios:

  1. Yo ya conocía TryCrypt, pero lo uso para guardar datos en un dedo USB que uso en Windows. Tenía pendiente ponerme con Linux...

    Desde luego, no se me había ocurrido usarlo en un DVD. ¡Es una idea interesante!

    Y una lástima que el padlock aún no lo soporte, aunque si usa AES, debería de ser fácil hacerlo...

    A ver si me pongo algún día. Igual cae una entrada en el blog y todo ;-)

    ¡Muchas gracias!

    ResponderEliminar
  2. Pues sí debería ser fácil implementar el padlock, ya que sólo habrá que llamar a las funciones del kernel... pero los desarrolladores de truecrypt prefieren una encriptación por software código abierto a por hardware en código cerrado (aunque debería ser a elección del usuario). Por otro lado sólo seríamos cuatro chalados los que lo usáramos... aunque cada vez seremos más.
    Y gracias a tí por tus interesantes comentarios!!
    Hay bastante miga para hacer una entrada, adelante!

    ResponderEliminar

Puede dejar su comentario. Los comentarios descalificativos o sin relación ninguna con el tema tratado serán eliminados sin previo aviso. Antes de plantear una duda, asegúrate de que la respuesta no está en otra entrada del tema visitando la etiqueta que hay al final del artículo para verlos todos; muchas veces lo que planteas puede haber sido corregido o comentado en otra entrada posterior.