miércoles, 27 de febrero de 2008

Pendrive cifrado con cryptsetup en Debian

Esta receta explica como utilizar cryptsetup para cifrar el sistema de ficheros de un pendrive o disco USB externo y luego montarlo cómodamente.

Introducción
Si llevas tus claves o tus prácticas de "operativos" en el pendrive, lo último que quieres es perderlo y que alguien se lo pase bomba mandando mensajes de "calvorota" y tal con tu cuenta de la uni. Para evitarlo nada mejor que cifrarlo y asunto resuelto. Verás que fácil...

Ingredientes
cryptsetup - configures encrypted block devices
pmount - mount removable devices as normal user

Cifrar una partición
Crear el contenedor: # cryptsetup luksFormat /dev/sde1
Abrir el contenedor: # cryptsetup luksOpen /dev/sde1 pincho
Formatear la partición: # mkfs.ext3 /dev/mapper/pincho
Montar la partición: # mount /dev/mapper/pincho /mnt/punto
Desmontar la partición de la forma habitual: # umount /mnt/punto
Cerrar el contenedor: # cryptsetup luksClose /dev/mapper/pincho

Montaje automágico
Una de las cosas interesantes de este sistema es que pmount ofrece soporte para este tipo de particiones cifradas. Así que es tan fácil montar un pendrive cifrado como uno normal. Simplemente se enchufa y gnome-volume-manager (el demonio de "Unidades y soportes extraibles") se encarga de pedir la contraseña y hacer todo el proceso de montaje y desmontaje de forma transparente.


Comentarios
Una pequeña pega de cryptsetup es que no proporciona negabilidad plausible. En cristiano: si el soporte llega a manos de un "agente enemigo", sabrá que hay datos cifrados en él aunque no pueda leerlos, vamos, que sabrá que escondes algo.
Un criptosistema ideal no deja huellas de su uso, es decir, no hay manera de distinguir datos aleatorios de datos cifrados. Este tipo de feature la proporciona por ejemplo TrueCrypt. Realmente yo creo que, a menos que seas espía o te dediques a pasar secretos militares en tus ratos libres, este nivel de privacidad es innecesario, al menos a día de hoy.


Referencias
dm-crypt: a device-mapper crypto target
LUKS - Linux Unified Key Setup
Howto use Cryptsetup with LUKS support
Encrypting the USB flash drive
Howto use an encrypted container under Windows XP and Linux

Fuente: crysol.org/node/866

Otros articulos relacionados:
- Usando dmcrypt para encriptar particiones
- Cifrando una partición con cryptsetup
- Dm-crypt (Wikipedia)

No hay comentarios: