| Artículos | 01 FEB 2008

Sistemas de archivos de cifrado

Tags: Histórico
Gonzalo Álvarez.

Salvaguardar la confidencialidad de los datos sensibles constituye un objetivo básico de seguridad de toda organización. Se habla mucho de utilizar SSL, IPSec y accesos VPN cifrados para protegerlos durante su transporte a través de redes, pero el cifrado de los datos en el disco, sin embargo, no está tan extendido. En este artículo se explica el funcionamiento del sistema de archivos de cifrado de Windows (EFS) para proteger los archivos del equipo frente a posibles amenazas a la confidencialidad.

Toda organización que maneje archivos confidenciales debería plantearse en su política de seguridad cómo gestionarlos durante su almacenamiento y tratamiento en disco. Puede pensarse que si los archivos están protegidos mediante listas de control de acceso (ACL), entonces solamente los usuarios autorizados podrán acceder a la información. Sin embargo, debe tenerse en cuenta que este tipo de autorización puede saltarse fácilmente si se cuenta con acceso físico al disco duro. Basta con instalar ese disco duro en un equipo con otro sistema operativo como Linux, lo que permitirá acceder a todo su contenido independientemente de los permisos, los cuales son ignorados. También resulta posible arrancar el ordenador con un Live CD o DVD con otro sistema operativo o con herramientas de recuperación de sistemas como BackTrack (www.remote-exploit.org/backtrack.html).
Por consiguiente, siempre que el atacante tenga acceso físico al equipo en el que se almacena la información, bien porque lo ha robado, bien porque se ha introducido en la organización, se requiere de un mecanismo más allá de la autenticación y autorización que permita protegerla. La criptografía viene a solucionar este problema mediante el cifrado. Existen muchas posibilidades a la hora de cifrar la información contenida en un equipo: pueden cifrarse los archivos individualmente, o crearse una unidad especial cuyo contenido está cifrado, o cifrarse todo el sistema de archivos, o incluso el disco a nivel de arranque. En esta entrega se explicará cómo utilizar el sistema de archivos de cifrado (Encrypting File System o EFS) integrado en el sistema operativo desde Windows 2000 y soportado con algunas novedades y adiciones en el resto de versiones posteriores del sistema operativo Windows. En una próxima entrega se explicará el resto de alternativas.
En el caso de que la organización gestione datos de carácter personal, entonces la Ley Orgánica de Protección de Datos (LOPD) obliga a protegerlos mediante mecanismos de cifrado. En concreto, en su artículo 20.4 establece que “cuando los soportes vayan a salir fuera de los locales en que se encuentren ubicados los ficheros como consecuencia de operaciones de mantenimiento, se adoptarán las medidas necesarias para impedir cualquier recuperación indebida de la información almacenada en ellos”. Como se ve, el cifrado debe formar parte de toda política de seguridad de una organización en la que la confidencialidad sea un requisito para ciertos archivos.

Funcionamiento de EFS
EFS ofrece una solución altamente segura, integrada con el sistema de archivos NTFS, totalmente transparente para el usuario y con la capacidad de recuperar datos cifrados en caso de pérdida de claves. EFS se basa en el uso de criptografía de clave pública y de algoritmos de cifrado simétrico de reconocido prestigio entre la comunidad criptográfica mundial, resultando muy apropiado para organizaciones con requisitos de seguridad convencionales.
Con EFS se pueden cifrar tanto archivos individuales como carpetas enteras con todos sus archivos y subcarpetas de forma recursiva. Cifrar un archivo o carpeta resulta sorprendentemente simple: seleccione el archivo o carpeta en cuestión y haga clic sobre él con el botón secundario del ratón. A continuación, seleccione Propiedades en el menú contextual y en la ficha General, pulse el botón Opciones avanzadas. En la sección Atributos de compresión y cifrado de la ventana de la Figura 1 verifique la casilla Cifrar contenido para proteger datos. Cuando se le consulte en la ventana de la Figura 2 si desea cifrar sólo el archivo o también la carpeta que lo contiene, elija la opción adecuada.
Para descifrar un archivo se repite el proceso anterior y se desactiva la casilla Cifrar contenido para proteger datos.
Un pequeño truco para no tener que repetir todos esos pasos cada vez que desee cifrar un archivo consiste en añadir la opción de Cifrar al menú contextual del Explorador de Windows. Abra el Registro de Windows, seleccione la clave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced y cree un nuevo valor DWORD llamado EncryptionContextMenu, al que debe asignar el valor 1. En adelante, cuando haga clic con el botón secundario del ratón sobre una carpeta o archivo, aparecerá la opción Cifrar en el menú contextual.
Observará que el nombre del archivo o carpeta cambia a color verde, como indicativo visual de que sus contenidos se encuentran cifrados. A partir de este momento, puede trabajar con sus archivos de forma normal, haciendo doble clic sobre ellos para abrirlos o ejecutarlos o abriéndolos desde otras aplicaciones. EFS se encarga de descifrarlos antes de pasarlos a la aplicación correspondiente. Cuando haya terminado de trabajar con ellos o cada vez que pulsa el botón Guardar o similar, el archivo queda cifrado en el disco. Como puede verse, la transparencia de cara al usuario es total. Si otro usuario inicia una sesión en el mismo ordenador con otra cuenta, aunque tenga permiso para listar el archivo, si lo intenta abrir recibirá un mensaje de error (“Acceso denegado”) porque está cifrado y desconoce la clave para descifrarlo.
Más de un lector se estará preguntando: ¿Qué clave utiliza EFS? ¿Cómo es posible que los archivos estén cifrados de manera segura si por ningún sitio se ha indicado clave alguna? Para responder a estas preguntas se vuelve necesario comprender el funcionamiento interno de EFS. Para cifrar el contenido de los archivos EFS utiliza algoritmos simétricos o de clave secreta como DESX o TripleDES. Cada vez que se cifra un archivo, EFS genera para la tarea una clave aleatoria llamada clave de cifrado de archivo (File Encryption Key o FEK). Ahora surge el problema de qué hacer con la clave, porque cualquiera que pudiera verla podría descifrar el archivo. La solución adoptada por EFS consiste en cifrarla con la clave pública del usuario y almacenarla así cifrada junto al archivo cifrado. De esta forma, sólo el conocedor de la clave privada correspondiente a la clave pública será capaz de descifrar la FEK y con ella el archivo. ¿Por qué no se cifra el archivo directamente con la clave pública del usuario? Por motivos de rendimiento: los algoritmos de clave secreta como DESX son muy rápidos y, por tanto, adecuados para cifrar grandes archivos. No así los algoritmos de clave pública, que por ser tan lentos sólo resultan apropiados para cifrar un volumen pequeño de datos, como por ejemplo una clave de 128 bits para DESX o de 168 bits para TripleDES. Esta pareja de claves pública y privada se crea automáticamente la primera vez que el usuario cifra un archivo y se almacena de for

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información