Cifra directorios en GNU/Linux con eCryptfs

A la hora de resguardar nuestra información y privacidad ningún esfuerzo está de sobra, y el cifrado de datos a veces puede ahorrarnos varios dolores de cabeza.

Seguramente conoces algunas herramientas destinadas a la tarea de encriptar ficheros como GnuPG con la que podemos encriptar ficheros uno a uno (tarea un poco larga si necesitamos encriptar un gran número de ficheros) Y Cryptsetup con la que encriptar todo el contenido del disco duro (o bien una partición) será posible

Pero si necesitas una herramienta que te brinde lo mejor de esas dos aplicaciones, entonces necesitas eCryptfs

eCryptfs, es una aplicación que ejecutamos por línea de comandos y con la que podemos cifrar directorios en GNU/Linux a 256 bits y con la que también podremos crear directorios de cifrado y descifrado tanto de manera manual como automática.

Esta herramienta está integrada en el kernel Linux desde la versión 2.6 y es la que se usa cuando activamos en Ubuntu el directorio Home encriptado.  Una ventaja que nos brinda al estar dentro del núcleo es que ya cuenta con una optimización superior y con esta podemos esperar el rendimiento máximo a la hora de usarla.

Entonces si vas a usarlo solo necesitas instalar el paquete ecryptfs-utils:

$ sudo mount -t ecryptfs <dir. origen> <dir. destino>

Luego de eso va a pedir que ingresemos la contraseña que utilizaremos y otras preguntas que podremos dejar con sus características predeterminadas pulsando enter. Una vez finalizado y que ya indiquemos los directorios que serán encriptados  en el directorio destino, estos aparecerán también en el directorio origen pero con el contenido ya encriptado.

Lo que se encuentra dentro del directorio son los ficheros encriptados antes de ejecutar el comando mount, y permanecerán ocultos hasta que usemos el comando unmount y es así como veremos los ficheros desencriptados otra vez.

$ sudo umount /dir/enc

Estas son las preguntas que hace eCryptfs son interactivas, y aquí te las traigo para que tengas una idea más clara de cuales son:

• La passphrase o la clave para la encriptación.
• El algoritmo de cifrado que de manera predeterminada es AES.
• Magnitud de la clave, que es de 16 bytes de manera predeterminada
• Plaintext passthrough para poder llegar a ficheros que no han están cifrados.
• Encriptar los nombres de los ficheros, solamente encripta el contenido por defecto.

Algo que hay que tener en cuenta es que si hay ficheros en el directorio origen que no están cifrados, si activamos el Plaintext passthrough, podemos tener acceso a esos ficheros y a su contenido desde el directorio de destino, pero hay que activarlo previamente ya que esta desactivado y no será posible accesar a ese contenido.

Así mismo cuando activamos el cifrado de los nombres de los ficheros debemos indicarle la firma de la clave que usaremos, esta es la misma que se usa para cifrar el contenido, sin embargo hay ocasiones donde debemos cambiarla.  Al hacer uso de esta característica, los nombres de los ficheros estarán en el directorio de origen solo como cadenas de caracteres “pseudo-aleatorioas”

Cuando colocamos una contraseña por primera vez, eCryptfs nos indicara que esa contraseña no se ha usado antes y nos preguntara si deseamos continuar, cuando estemos seguros de que esta escrita correctamente escribimos “yes”, a continuación nos preguntara si queremos almacenar la firma de la clave en el fichero /root/.ecryptfs/sig-cache.txt si lo almacenamos ya no nos hará esas preguntas de nuevo. Sin embargo, si almacenamos las claves al escribir “yes” pero luego nos vuelve a aparecer las preguntas anteriores, no hemos ingresado la clave correctamente.