| Artículos | 01 OCT 2001

Mantenga seguros sus datos con Windows 2000

Tags: Histórico
Sistema de encriptación de archivos EFS
José M. Alarcón.
En Windows 2000 se introdujo la encriptación basada en sistemas de clave pública. Ésta se lleva a cabo directamente en el sistema de archivos, sin que el usuario tenga que hacer nada especial. En este artículo repasaremos cómo funciona esta característica, qué ventajas tiene y cómo podemos utilizarla.

Una de las ventajas iniciales de usar el sistema de archivos NTFS en Windows NT era que, aunque alguien lograse utilizar un disquete de inicio para intentar acceder al disco duro (saltándose la seguridad proporcionada por el sistema operativo), lo tenía bastante difícil, ya que esas particiones no eran visibles para otros sistemas. Sin embargo, y como era de esperar, esto duró poco tiempo, porque enseguida aparecieron herramientas para MS-DOS y otros sistemas (principalmente para Linux) que sí permitían el acceso libre a las particiones NTFS, por lo que cualquiera -por poco hábil que fuese- podía asaltar nuestros datos importantes si lograba acceso físico al ordenador.
Windows 2000 posee una característica, el sistema de archivos encriptado, que está pensada precisamente para solucionar el problema de la privacidad de una vez por todas.

Cómo podemos proteger nuestra información importante
Una opción para proteger nuestros datos es utilizar algún tipo de software que permita el cifrado de los archivos importantes mediante una clave (hay muchos disponibles gratuitamente en la Red). De esta forma, aunque alguien logre acceder al disco duro no tendrá manera de obtener la información. Al menos en teoría.
Esto, aunque bien puede ser una solución factible, tiene algunas desventajas:
- La seguridad es débil: lo normal es que no se utilicen claves muy complejas, sino más bien algo fácil de recordar como una fecha, nuestro animal favorito, etc. Esto hace que el contenido de los archivos pueda verse comprometido si el asaltante usa un ataque de diccionario o incluso un ataque de fuerza bruta. Además, generalmente usaremos la misma clave para todos los archivos, por lo que una vez descubierta la primera todos quedarán a disposición de nuestro asaltante. Las claves, de todas formas, nunca serán muy buenas ni excesivamente largas, por lo que la seguridad es más débil todavía.
- Quedan archivos temporales: muchas aplicaciones (por ejemplo MS Word) crean archivos temporales de recuperación mientras se están utilizando. En ocasiones se pueden producir fallos en el programa que evitan el borrado final de estos archivos, quedando su contenido accesible a cualquiera. No sólo eso, sino que aunque se borren del índice de archivos, físicamente siguen en el disco duro y cualquiera con una herramienta de edición de disco puede leerlos. El hecho de haberse borrado su entrada del índice de archivos no implica que no sigan allí; de ahí el éxito de algunas herramientas de eliminación física de los archivos.
- Incomodidad: aunque el programa funcione muy bien su uso no es transparente al usuario, de manera que se ve obligado a recordar una o varias claves. Además, si se olvida de utilizarlo con algún archivo sus datos quedan al descubierto, cosa que ocurre a menudo por mucho que uno se lo proponga.
- No hay forma de recuperación posible: si encriptamos un archivo mediante clave y luego se nos olvida, no hay manera de acceder a su contenido.
El sistema de cifrado de archivos de Windows 2000 resuelve todas estas limitaciones proporcionando un método de protección seguro basado en el uso de claves públicas y siendo totalmente transparente para el usuario.

¿Cómo se hace?
Lo cierto es que, de cara al usuario, el uso del sistema de cifrado de archivos (EFS) no puede ser mucho más sencillo. Para poder cifrar un archivo o todos los contenidos de una carpeta basta con seleccionarla en el Explorador y acceder a sus propiedades en el menú contextual. En la pestaña que aparece por defecto (General) se pulsa el botón de propiedades Avanzadas... tal y como ilustra la Figura 1. En el nuevo diálogo hay una opción, situada en la parte inferior, que reza: Cifrar contenido para proteger datos. Basta con marcar esta casilla para que el archivo seleccionado (o los contenidos actuales y futuros de la carpeta seleccionada) se encripten automáticamente en el disco duro y sólo puedan ser leídos en claro por el usuario que activó su cifrado.
Es así de sencillo. Sin embargo debe recordar algunas restricciones de EFS:
- Sólo se pueden cifrar archivos y carpetas en particiones con el sistema de archivos de Windows 2000, es decir, con NTFS5.
- No se pueden cifrar archivos ni carpetas comprimidos. Debemos desactivar la casilla Comprimir contenido para ahorrar espacio en disco (situada en segundo lugar desde abajo en el diálogo de propiedades avanzadas de la Figura 1) antes de activar EFS en un archivo o carpeta.
- Si hemos compartido una carpeta cifrada a través de la red local, los demás usuarios no tendrán acceso a sus archivos, aunque sí podrán listar sus contenidos.
- Si usamos EFS en una carpeta, todos los archivos que se creen en su interior se cifrarán automáticamente, incluidos los que no están bajo nuestro control, como los temporales de MS Word y similares.
- No se pueden cifrar los archivos del sistema. Todos aquellos marcados por Windows con el atributo de Sistema no se cifran aunque lo indiquemos explícitamente.
- Si copiamos datos cifrados a un volumen que no sea NTFS5 se produce su desencriptación automática y todo su contenido vuelve a ser legible por cualquiera.
- Esto es muy importante: si arrastramos y soltamos con el ratón un archivo o carpeta cifrados con el ánimo de copiarlo o moverlo a otra ubicación dentro de un volumen NTFS, éste no conserva su característica de encriptación, quedando descifrado automáticamente. Si queremos efectuar una copia o movimiento manteniendo cifrados los contenidos, debemos usar los comandos copiar (o cortar) y pegar del menú Edición del Explorador de Windows. No sería el primero que se lleva una desagradable sorpresa por no tener en cuenta este punto.
Los archivos y carpetas cifrados aparecen en el explorador con el atributo E, para indicar su condición.
Existe la posibilidad de usar una utilidad de línea de comandos llamada cipher para cifrar y descifrar archivos y directorios, pero es más recomendable que los usuarios empleen el método que se acaba de explicar. Si quiere obtener más información sobre el uso de esta utilidad escriba cipher /? en la consola del sistema.

Qué tipo de cifrado se utiliza
Cada vez que se crea o modifica un archivo que tiene el atributo de cifrado, el sistema de archivos genera una clave aleatoria que es específica para cada archivo individual y no se repite. A esta clave se le denomina FEK (clave de cifrado del archivo, del inglés File Encryption Key). Con ella se cifra el contenido del archivo utilizando un algoritmo de clave privada (o de cifrado simétrico), que son mucho más rápidos y requieren menos potencia de cálculo que los algoritmos de clave pública. EFS está preparado para trabajar con cualquier algoritmo de cifrado simétrico, pero en la implementación actual de Windows 2000 se utiliza DES de 56 bits. Al usar claves aleatorias de esta longitud la seguridad es mucho más elevada que con las claves que nosotros podamos inventar, y aunque no se trata de un algoritmo inviolable sí ofrece un elevado grado de seguridad y es suficiente para la mayor parte de los casos. Imaginamos que en posteriores versi

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información