La encriptacion de ficheros en Linux y Windows

Una medida posible y perfectamente válida a la hora de proteger sus datos resulta ser la encriptación.

Mediante un algoritmo suficientemente complicado, un texto o cadena de caracteres se convierte en algo ilegible, de manera que sólo el proceso inverso (y a veces con ayuda de una contraseña) puede devolver al archivo su forma original.

Si este algoritmo se ejecuta y diseña correctamente (basándose en las extrañas propiedades de astronómicos números primos), el atacante no tiene absolutamente ninguna posibilidad de desencriptar el mensaje a menos que posea las claves (que DEBEN constar de decenas de caracteres).

Uno de los temas más espinosos de la encriptación es el asunto de la recuperación y custodia de las contraseñas. Si en una compañía alguien necesita legítimamente el fichero y la persona que conoce las contraseñas no está disponible, simplemente, no se puede recuperar. No es como cuando te dejas las llaves en el interior del vehículo, que siempre hay alguien que, a través de muy dudosas técnicas, puede abrirlo. Esto no ocurre, si no, la encriptación no tendría sentido.

Otros problemas surgen con la custodia y recuperación de datos. Si se confía en una sola persona, ¿Qué ocurre si es despedida y se niega en redondo a proporcionar las claves?, o, peor aún y rozando el sentido tétrico, ¿si ocurre un desgraciado accidente? Las grandes empresas no sólo mantienen a una persona para poder recuperar datos extremadamente importantes. Juegan con subconjuntos de personas que se complementan para poder, entre ellos, desencriptar los datos.

Por ejemplo, puede haber 5 personas cada una con un “trozo” de clave, de manera que cualesquiera 3 de ellos, al unir sus mini-claves, forman la contraseña completa y cualquiera de ellas por separado, no sirven para nada. Hay que resaltar que los medios matemáticos para llevar esto a cabo son extremadamente complejos, usando funciones polinómicas y sistemas de ecuaciones de grados superiores.

Para las pequeñas empresas, no hay más remedio que confiar en un administrador que sea capaz de recuperar las claves del resto de personal, y rezar para que sus actos sean legítimos.

PGP para Windows:
Probablemente el mejor programa de encriptación disponible hoy en día. PGP apunta principalmente a la plataforma Windows.

El programa de encriptación de ficheros estándar junto con varias herramientas de manejo son el grueso del programa, y a esto se le pueden añadir distintos módulos. Es fácil de usar, e incluso soporta la posibilidad de “split keys” (se necesitan múltiples personas para tener acceso a la contraseña).

Si alguna vez se olvida la frase de paso y no se ha habilitado la función de política de recuperación de claves, resulta IMPOSIBLE recuperar la información. Si se ha sido precavido, tras responder 5 preguntas secretas, una nueva clave privada sería enviada al servidor.

Una gran ventaja son los plugins para la mayoría de clientes de correo, que permiten encriptación y firma electrónica de los mensajes.

Hay que tener en cuenta que bajo Windows no se puede trabajar con los ficheros encriptados, se deben desencriptar para hacer cualquier operación, por lo que si se usan a menudo, la información puede estar revoloteando por el disco duro en texto plano.

Windows 2000 EFS:
Es una interfaz de fácil uso para encriptar ficheros. Una ventaja interesante resulta de la posibilidad de crear un directorio (ej: c:secretos) y entonces todo lo que se cree en él será automáticamente encriptado.

EFS soporta recuperación de claves, de hecho obliga a configurar alguna clase de política de recuperación antes de usarlo, y el usuario administrador es típicamente al que se le permite hacerlo. Esto puede llevar a cierta confusión, pues el administrador podría poner en claro cualquier fichero de usuarios del sistema. Por ello la configuración de esta aplicación comienza durante la instalación del propio sistema operativo Windows 2000 si se quieren evitar este tipo de compromisos.

BestCrypt para Windows y Linux:
Sigue la filosofía del PGP, pero está disponible para ambas plataformas. Tiene un sistema parecido, pero no soporta recuperación de claves, por lo que todo depende de la capacidad para custodiar y mantener en lugar seguro su contraseña.

Otras soluciones Linux:
Para esta plataforma las posibilidades se limitan drásticamente. Las versiones de programas antiguos como PPDD no funcionan para las nuevas versiones de kernel 2.4 por lo que se pueden dar por perdidos. Uno de ellos, “International Kernel patch” ha dejado en los últimos meses de sacar versiones nuevas, y su futuro resulta incierto.

Tan limitadas son las posibilidades para los usuarios Linux como de que el estilo EFS o PGP se adapte para esta plataforma. Las buenas noticias son para los usuarios Windows (decididamente, la mayoría) que poseen aplicaciones aceptables a precios razonables.

Es importante acostumbrarse a la encriptación de los archivos importantes. Se podría ver como el “último retoque” para la seguridad. Si, a pesar de todos nuestros esfuerzos, el archivo con la información ha caído en manos del “enemigo”, podremos estar tranquilos pensando que sólo podrá mirar el envoltorio, o que al menos necesitará de una buena dosis de paciencia (o ingeniería social) para poder celebrar su triunfo.

Para saber más:
http://tcfs.dia.unisa.it/
http://www.jetico.com/
http://www.pgp.com/

Sergio de los Santos
Fuente: SecurityFocus