La encriptación o cifrado de archivos

Guadalupe Galicia Lpez

La encriptacin o cifrado de archivos, textos, etc. es una herramienta que todos los usuarios de Linux deberamos conocer y que, lamentablemente, pocos conocen y utilizan a diario. Esto es especialmente llamativo si tenemos en cuenta la reputacin que tiene Linux como "sistema operativo seguro"; esta es una herramienta ms que Linux pone al alcance de tu mano para mejorar tu seguridad. El mtodo ms sencillo para encriptar informacin es utilizando GNU Privacy Guard (GPG). Este mini howto describe su instalacin y manejo en Ubuntu de pies a cabeza. Me llev casi 2 das escribirlo, as que espero que les sea de utilidad.

Cmo funciona GPG GPG utiliza un sistema hbrido que combina encriptacin simtrica y asimtrica. .

La encriptacin asimtrica trabaja siempre con un par de claves. Una de ellas ser tu clave "pblica" y la otra tu clave "privada". Como bien lo indica su nombre, la clave pblica se la puede dar a aquellas personas a las que les quieres mandar mensajes encriptados y no hay ningn peligro si una persona ajena la ve, es ms, suelen publicarse en servidores pblicos para facilitar su acceso; la clave privada, en cambio, debe ser secreta y no tienes que compartirla con nadie. Lo ms bello de todo esto es que, como veremos a continuacin, ambas claves son creadas directamente por GPG en base a tus datos personales. El ltimo paso es "sellar" esas dos claves a travs de una "passphrase". As que, al final, la nica_contrasea que vas a tener que acordarte es tu "passphrase" .

Pasando en limpio, gracias a la encriptacin asimtrica, si el remitente usa la clave pblica del destinatario para cifrar el mensaje, una vez cifrado, slo la clave privada del destinatario podr descifrar este mensaje, ya que es el nico que la conoce. Por tanto, se logra la confidencialidad del envo del mensaje: nadie salvo el destinatario puede descifrarlo. Si el propietario del par de claves usa su clave privada para cifrar el mensaje, cualquiera puede descifrarlo utilizando su clave pblica. En este caso se consigue por tanto la identificacin y autentificacin del remitente, ya que se sabe que slo pudo haber sido l quien emple su clave privada (salvo que alguien se la hubiese podido robar). . Un ltimo comentario que me parece interesante mencionar es que los sistemas de cifrado asimtricos se inventaron con el fin de evitar por completo el problema del intercambio de claves de los sistemas de cifrado simtricos. Con las claves pblicas no es necesario que el remitente y el destinatario se pongan de acuerdo en la clave a emplear. Todo lo que se requiere es que, antes de iniciar la comunicacin secreta, el remitente consiga una copia de la clave pblica del destinatario. Es ms, esa misma clave pblica puede ser usada por cualquiera que desee comunicarse con su propietario. .

ADMINISTRACION DE SERVIDORES 2


Qu tan seguro es GPG? El algoritmo utilizado por GPG es DSA/ ElGamal, ya que es "libre" y no recaen sobre l patentes "privativas". Respecto de la longitud de la clave, depende de los requerimientos del usuario. Es necesario balancear entre la seguridad y la optimizacin de los procesos. Cuanto mayor sea una clave, menor ser el riesgo de que el mensaje sea descodificado si es interceptado, pero tambin aumentar el tiempo que emplear para el clculo de los procesos. El tamao mnimo que requiere GnuPG es de 768 bits, aunque mucha gente opina que debera ser de 2048 (que es el mximo con GnuPG en este momento). Cuando la seguridad es una prioridad ms alta que el tiempo, la opcin es elegir el tamao de clave ms grande que se permita. .

Instalando GPG en Ubuntu Ubuntu ya viene "de fbrica" con GPG y una interfaz grfica para GPG llamada Seahorse. Para acceder a Seahorse slo tenemos que ir a Aplicaciones > Accesorios > Contraseas y claves de cifrado. Antes de eso, les recomiendo abrir un terminal y escribir:

sudo aptitude install seahorse-plugins sudo killall nautilus

Esto lo que hace es permitirnos integrar GPG a Nautilus. De ahora en ms, si hacemos clic derecho en un archivo, veremos que aparecen dos opciones ms: "Encriptar" y "Firmar". Ms abajo veremos cmo utilizar estas nuevas herramientas.

Crear las claves Antes de comenzar a encriptar mensajes y archivos, como vimos, es necesario crear primero nuestras claves asimtricas y nuestro "passphrase". Para ello vamos a Aplicaciones > Accesorios > Contraseas y claves de cifrado. Una vez all vamos a Archivo > Nuevo > Clave PGP.



El sistema nos pedir a continuacin que introduzcamos nuestro nombre, direccin de correo electrnico y un comentario. ste ltimo es opcional, mientras que los dos primeros son obligatorios. La direccin de correo electrnico que se escoja debera ser una vlida, ya que sta ser usada para firmar el identificador de usuario. Si esta direccin se modifica en algn modo, la firma no corresponder. Las claves sern generadas en base a estos datos. . En el apartado Opciones avanzadas de clave, pods seleccionar un tipo diferente de cifrado. La recomendada es DSA Elgamal de 768 bits pero te recomiendo que la cambies a "DSA Elgamal de 2048 bits" ya que es considerada lo suficientemente segura y flexible. La fecha de caducidad es la fecha en la que la clave dejar de ser til para realizar cifrado u operaciones de firma. 6 meses es un tiempo razonable para ello. Vas a tener que cambiar la fecha de caducidad o generar una nueva clave o subclave despus de que pase este lapso de tiempo.



El ltimo paso consiste en introducir una contrasea. Ntese la diferencia entre los trminos anglosajones para la palabra contrasea: el trmino "password" indica una "palabra de paso", mientras que el trmino "passphrase" indica una "frase de paso". Por tanto esta contrasea se debe componer de ms de una palabra. Para que una contrasea sea efectiva (segura), deber : . -ser larga; -combinar maysculas, minsculas y nmeros; -contener carcteres especiales (no alfanumricos); -ser difcil de adivinar. Por lo tanto, que no sean nombres, fechas significativas, nmeros de telfono, nmeros de documentos

En general, para crear una contrasea fuerte es aconsejable intercalar maYsCUlas con mInsCulas, nmeros, otros carcteres no alfanumricos, etc. Al escoger las palabras y frases debemos evitar aquellas palabras demasiado obvias, o fechas significativas, y nunca usar citas de libros o frases famosas. Dicho esto, debemos asegurarnos de que la contrasea que elijamos sea lo suficientemente difcil para que no pueda ser traspasada por un ataque de fuerza bruta, ni siquiera por un ataque de diccionario, pero lo suficientemente fcil como para que la recordemos. Si olvidramos una contrasea nuestra clave quedara totalmente inutilizada, y los criptogramas con ella cifrados, indescifrables. Ante esta posibilidad se recomienda crear siempre certificados de revocacin junto con las claves . Una vez introducidos todos los datos requeridos, empieza el proceso de generacin de las claves, que tarda un tiempo considerable dependiendo del tamao de stas y la velocidad de tu compu. Durante este proceso el programa recoge datos aleatorios que usar para generar las claves. Una vez terminado, cerr Seahorse.

Servidores de claves pblicas Publicar mis claves pblicas Los servidores de claves pblicas son utilizados para distribuir, precisamente, las claves pblicas. De ese modo, es muy fcil buscar a alguien (por su nombre o correo electrnico) en la base de datos y encontrar sus claves pblicas para enviarle mensajes encriptados (que slo l/ella podr descifrar). Para "subir" tus claves pblicas a estos servidores, slo tens que abrir Seahorse, seleccionar tu clave e ir a Remota > Sincronizar y publicar claves. Aparecer una alerta avisndonos que esto provocar la publicacin de las claves pblicas seleccionadas.



Obtener las claves pblicas de mis amigos Abr Seahorse y and al men Remota > Buscar claves remotas. Ingres el nombre o el correo electrnico de la persona que buscs. Luego, seleccion la clave correspondiente. Cuando termines vas a ver que la nueva clave se agreg a la pestaa "Otras claves".

(Des)Cifrando archivos y carpetas



Una vez que el par de claves ha sido generado, cifrar y descifrar archivos es bastante simple. Solo tienes que seleccionar un archivo, hacer clic derecho y seleccionar "Cifrar". En el dilogo que aparece, selecciona la clave que creaste anteriormente, y clic en OK. Si seleccionaste una carpeta para cifrar, te va a preguntar si quieres cifrar cada archivo dentro de la carpeta por separado o si prefers que se cree un archivo ZIP que luego ser cifrado. La segunda opcin es la mejor en la mayora de los casos. Si ests cifrando un archivo, una vez que el cifrado est completo, deberas crearse un archivo del mismo nombre pero con la extensin .pgp. Una vez terminado el proceso, podes borrar el archivo viejo. Si cifraste una carpeta, deberas encontrar dos nuevos archivos: la versin cifrada con la extensin .pgp y un archivo .zip con la versin original de la carpeta. Tanto el ZIP como la carpeta original, pueden ser borrados despus del cifrado. Por razones de seguridad, las versiones no cifradas de los archivos deben ser eliminados permanentemente, en vez de simplemente enviarlos a la papelera de reciclaje. Pero antes asegurarte de probar descifrando el archivo cifrado, para ver que todo va bien. Para ello, slo tienes que hacer doble clic en el archivo .pgp e ingresar la contrasea cuando te la pida. El archivo original reaparecer entonces. En caso de ser una carpeta, el archivo .zip aparecer, y debers luego extraer el contenido del mismo.

Descifrando archivos en mi otra computadora. Este no es un sistema diseado para crear archivos cifrados portables (como TrueCrypt). Para descifrar tus propios archivos en otra compu, tens que exportar tu clave y luego importarla en la segunda compu. Esto representa un riesgo de seguridad. Sin embargo, algunas veces puede ser necesario realizar esta tarea (por ejemplo, si tens una PC y una notebook y quers tener un nico par de



claves GPG y no una para cada compu como si se tratase de "identidades" diferentes). As que, aqu van los pasos a seguir en ese caso: . En la compu en la que creaste las claves, inici Seahorse (Aplicaciones > Accesorios > Contraseas y claves de cifrado), y hac clic derecho en tu clave personal y seleccion "Propiedades". . En el cuadro de dilogo que aparece, clic en la pestaa "Detalles", y luego en el botn "Exportar" al lado de "Exportar la clave completa". Guard el archivo en el escritorio. Encontrars que un nuevo archivo ha sido creado con la extensin .asc. Son tus claves en texto plano. . Copi el archivo .asc a una memoria USB, y de ah a la segunda compu. Ahora en esa compu inici Seahorse y hac clic en el botn "Importar". Naveg hasta donde guardaste el archivo .asc, y hac clic en "Abrir". Esto importar la clave. Cerr Seahorse y hac doble clic sobre cualquier archivo cifrado con tu clave para descifrarlo. Te va a preguntar el "passphrase", as que escribilo. Despus de esto, el archivo original se guardar en la misma carpeta donde est el archivo .pgp . Por ltimo, ten en cuenta que la hora y fecha de los computadores donde crees/importes/exportes las claves debe ser correcta. Por varias razones tcnicas, Seahorse y el comando gpg no pueden importar una clave si la hora y fecha en el PC es menor que la fecha en la que aparece creada. Por supuesto, esto significa que si la compu donde creaste la clave tiene una fecha errnea, podra darte bastantes problemas la creacin y uso de la clave. .

Cifrar texto Existe un complemento de Gedit para cifrar el texto seleccionado. Para habilitarlo, and a Editar > Preferencias > Complementos. Eleg "Cifrado de texto". Una vez habilitado el plug-in, se habilitarn las opciones en Editar > Cifrar/Descifrar/Firmar.

GPG y Firefox Existe un plug-in para Firefox (FireGPG) que brinda una interfaz grfica integrada para aplicar operaciones de GPG (incluyendo (des)cifrado, firma y verificacin de firma) sobre cualquier texto en una pgina web. FireGPG tambin permite trabajar con webmails (Gmail, etc.), aunque en el momento en que yo lo prob la integracin con Gmail estaba "rota". Para ver una lista completa de webmails con los que trabaja FireGPG:http://getfiregpg.org/s/webmails Bajar FireGPG: http://getfiregpg.org/stable/firegpg.xpi

Acelerando un poco el proceso de cifrado... Para (des)cifrar informacin utilizando siempre una misma "identidad", te recomiendo que vayas a Sistema > Preferencias > Cifrado y depsitos de claves. Luego acced a la pestaa "Cifrado", y donde dice "Clave predeterminada" seleccion la clave que siempre vas a utilizar para (des)cifrar informacin. Si sos curioso, te recomiendo que tambin le pegues una mirada a la pestaa "Frase de paso PGP" para tunear



al mximo tu GPG.

Firmar y Verificar Muchas veces, uno no quiere mandar un mail cifrado, pero s quiere que el destinatario tenga la certeza de que fui yo quien lo mand. Para eso, se utilizan las firmas digitales. Todo lo que hace falta hacer es verificar el mail utilizando GPG y la clave pblica del emisor . Para encriptar un mail, como vimos, se utiliza un par de claves. Una de ellas es secreta y la otra pblica. En el caso de la firma digital, todas las personas que reciban un mail firmado por mi podrn comprobar que ese mail fue escrito por mi y que el mail no fue alterado maliciosamente en el camino, utilizando mi clave pblica, ya que yo lo firm utilizando mi clave privada. Por ese motivo, uno de los grandes problemas de la encriptacin es, precisamente, que el emisor tiene que estar bien seguro que la clave o, en el caso de la firma digital, que sta pertenezca realmente a la persona que dice ser la duea de la firma. Despus de todo, yo puedo afirmar que soy "Monica Lewinsky" y poner su nombre en mi firma digital. Para resolver este problema, existe la firma de las claves pblicas. As, cuando alguien firma mi clave pblica, est confirmando que esa clave me pertenece. En otras palabras, estn dando fe de que esa clave es ma. La firma mutua de claves conforma, al decir de Robert De Niro, una: "web of trust" o "red de confianza". Para ms informacin sobre el tema les recomiendo visitar http://www.rubin.ch/pgp/weboftrust.

Para firmar una clave en tu depsito de claves: 1) Seleccion la clave que quers firmar de las pestaas Claves confiadas u Otras claves reunidas, 2) Elij Firmar en la barra de herramientas o Archivo > Firmar, 3) Seleccion con qu minuciosidad comprobaste la clave,



4) Indic si la firma debera ser local a tu depsito de claves y si tu firma puede revocarse, 5) Hac clic en Firmar. GPG y Thunderbird Existe un plug-in para Thunderbird y Seamonkey llamado Enigmail que te permite escribir y recibir mensajes firmados y/o encriptados utilizando GPG. La primera vez que corras este plug-in aparecern una serie de formularios que debers completar. Tambin incluye guas que explican cmo utilizar GPG.

Cmo cifrar archivos desde WindowsLa encriptacin de un archivo lo hace ilegible para cualquier persona que no posea las credenciales necesarias para abrirlo.Aunque existe abundante -y en ocasiones caro- software especializado en encriptacin, Windows ya te da la posibilidad de cifrar archivos de forma muy sencilla e intuitiva. Te gustara saber cmo cifrar un archivo en menos de un minuto, y usando nicamente Windows? A tener en cuenta Antes de lanzarte como un loco a encriptar todo cuanto tengas en tu alcance, hay unas cuantas cosas que deberas tener en cuenta, para no tener que lamentarte despus. Lo primero: la encriptacin implica un riesgo: el riesgo de que ni siquiera t puedas abrir el archivo si algo anda mal, tu ordenador explota y pierdes las credenciales. No obstante, ms adelante veremos cmo hacer una copia de seguridad de las credenciales, para evitar que esto suceda. Lo segundo a tener en cuenta es que un archivo encriptado ser ilegible sin los permisos correspondientes. Es decir, lo puedes copiar y llevrtelo por ah, pero eso no significa que lo puedas abrir.



Cifrando archivos con Windows 7 Ahora que te has decidido a cifrar algo, nos ponemos manos a la obra. Lo primero, localiza el archivo en el Explorador de archivos, haz clic derecho, y pulsa Propiedades.

Ahora, en la pestaa General, presiona el botn Avanzados.



Marca Cifrar contenido para proteger datos, y presiona Aceptar. Despus es muy probable que Windows te muestre la siguiente ventana, en donde te explica que ser ms seguro comprimir la carpeta contenedora del archivo.

Lo que dice tiene sentido, as que considera si quieres cifrar slo el archivo, o la carpeta entera, y presiona Aceptar.

Llegados a este punto, tu archivo ya est cifrado: lo puedes comprobar ya que su nombre aparece de color verde en el Explorador de archivos. Como puedes comprobar, el proceso es muy rpido y sencillo. En tu Windows podrs utilizar ese archivo sin ningn problema, desde tus aplicaciones habituales. Copia de seguridad La primera vez que crees un archivo cifrado, Windows te preguntar si deseas crear una copia de seguridad de los credenciales. Especialmente si vas a utilizar esta funcin con frecuencia, es ms que recomendable que hagas dicha copia de seguridad: de no ser as, podras perder el acceso a tus archivos para siempre.



Este proceso se lleva a cabo mediante un asistente que generar un archivo PFX. Si ms adelante reinstalas Windows y necesitas obtener acceso a dichos archivos cifrados, tendrs que instalar estos certificados. Hacerlo es tan fcil como hacer doble clic en el archivo PFX, y seguir el Asistente para importacin de certificados.



Modificar los permisos Puedes modificar los permisos de acceso a estos archivos cifrados. Para ello, ve otra vez a lasPropiedades del archivo, pestaa General, Avanzados.



Presiona en Detalles.

Si deseas que otro ordenador tenga permisos, antes debers exportar su certificado (el archivo PFX), e importarlo al ordenador desde el que lo ests viendo. Una vez est instalado, lo podrs seleccionar en esta ventana. Cmo descifrar un archivo Supongamos que has cifrado un archivo, pero te has dado cuenta de que no te merece la pena. Descifrarlo es extremadamente sencillo (siempre y cuando lo hagas desde el ordenador que lo cifraste, o tengas permiso para ello) En el explorador de archivos, ve a las Propiedades del archivo, General, Avanzados. Desmarca la casillaCifrar contenido para proteger datos, y presiona Aceptar.



ATAQUE MAN IN THE MIDDLEPuede que a algunos el ataque Man in the middle (o MitM) no les diga mucho pero es una de las herramientas bsicas a la hora de conocer la informacin que fluye a lo largo y ancho de nuestra red local (o intranet). A grosso modo lo que pretendemos es hacernos pasar por el router de nuestra red (por el que pasan todas las comunicaciones tanto externas como internas) y de este modo capturar las conversaciones que nuestros hermanos, compaeros de trabajo (si el administrador de red de la oficina es lo suficientemente malo como para no tomar las medidas oportunas) o el famoso vecino que nos rob la wifi (al no saber las consecuencias que esto le traera) estn manteniendo. Ya sabemos cmo obtener sus contraseas, veamos ahora a qu dedican su tiempo libre y de qu hablan .Aunque pueda parecer extremadamente complejo no lo es en absoluto (esa es la ventaja de Internet: nos permite aprender a hacer cosas que antes ni habamos soado) bastando con lanzar un par de comandos. Software necesario En principio slo necesitamos:

dsniff nos permitir dirigir a nuestra mquina los paquetes direccionados al router fragrouter para habilitar el enrutado (ip forwarding)

Para instalarlos slo debemos visitar Synaptic o lanzar desde la terminal apt-get install dsniff fragrouter



Puesta en marcha Lanzamos en una terminal sudo arpspoof -i TARJETA_RED -t IP_VICTIMA IP_ROUTER Donde

TARJETA_RED es la que utilizamos para conectarnos a la red (eth0, eth1, wlan0, ) IP_VICTIMA la del equipo cuyas conversaciones queremos escuchar (puedes ver los equipos conectados actualmente a la red siguiendo los pasos que explicamos en su momento para detectar intrusos en la red) IP_ROUTER puedes obtenerlo con un ifconfig en la terminal (recuerda que es la puerta de enlace)

En otra terminal lanza fragrouter -B1 Capturar informacin de red A partir de este momento todos los paquetes que enve el equipo que estamos espiando (IP_VICTIMA) pasarn por nuestro equipo. Basta utilizar cualquiera de las herramientas de sniffing: Wireshark, Ettercap, para capturarlos y seleccionar aquellos que nos resulten de inters. Esta receta se centra en cmo perpetrar el ataque en Linux, en prximas entregas, y en funcin de la aceptacin del mismo explicaremos, entre otros: cmo capturar los correos electrnicos sesiones de chat pginas web visitadas etc

Instalacin y Mantenimiento a ServidoresEl software del servidor de su red es fundamental para la conectividad y el buen funcionamiento de su entorno de comunicaciones, le proporcionamos un servicio de instalacin y configuracin de servidores de archivos, de bases de datos, servicios web, correo electrnico etc. basados en tecnologa Windows o Linux. Nuestra amplia experiencia en sistemas de red nos permite darle solucin a la migracin de sistemas Windows a Linux.



- Servidores Windows NT, 2000, 2003 y LINUX - Servidores de Bases de datos: SQL server, MySQL, PostgreSQL, Oracle - Servidor de Archivos e Impresoras Samba - Servidores de Intranet e Internet: Apache, PHP, DNS

Tambin si ya dispone de una conexin a internet en la red de su Empresa/Institucion, ID Solutions le ofrece una configuracin personalizada de: Web Server: Configuramos un servidor al interior de la red de su Empresa, donde puede publicar su propio sitio web. Mail Server: Le permite administrar las cuentas de correo para cada uno de sus empleados, estableciendo, de este modo, un sistema eficiente de comunicacin interna y con el mundo. Web Mail : Le permite administrar y acceder a su correo electrnico corporativo desde fuera y dentro de su red, a travs de una interfaz de pagina web. Proxy Server: Optimice el uso de internet en su red, limitando el acceso a internet en funcin del horario, usuario y/o contenidos. Priorizacin de paquetes: Realizamos la priorizacin de paquetes para que los servicios que son ms importantes para su empresa, sean tratados convenientemente, haciendo un uso ms eficiente del ancho de banda disponible. Anti Virus y Anti Spam: Filtre los mensajes con virus y el correo no solicitado dirigidos a su dominio. Seguridad: Colaboramos con el diseo de su red interna, la organizacin de privilegios de usuario, evaluamos riesgos y ayudamos a establecer medidas de seguridad para la red de su Empresa.


La encriptación o cifrado de archivos

Documents

Transcript of La encriptación o cifrado de archivos