gocryptfs (Español)

From ArchWiki

Estado de la traducción: esta traducción de Gocryptfs fue revisada el 2020-08-06. Si existen cambios puede actualizarla o avisar al equipo de traducción.

De gocryptfs:

gocryptfs utiliza un cifrado basado en archivos que se implementa como un sistema de archivos FUSE que se puede montar. Cada archivo en gocryptfs se almacena con el correspondiente archivo cifrado en el disco duro.
Los aspectos más destacados son: cifrado de contraseña de Scrypt, cifrado de bloque GCM para todo el contenido del archivo, cifrado de bloque EME para nombres de archivo con un vector de inicialización por directorio.

Consulte la página principal del proyecto gocryptfs para obtener más información sobre sus características, puntos de referencia, etc. Consulte Data-at-rest encryption (Español)#Cuadro comparativo para obtener una descripción general de métodos alternativos y EncFS como una alternativa directa.

Instalación

Instale gocryptfs o gocryptfs-gitAUR.

Como sistema de archivos FUSE, gocryptfs es totalmente configurable por el usuario (sin necesidad de poderes administrativos) y almacena sus archivos de configuración en el directorio del usuario.

Utilización

Vea gocryptfs(1) y sus ejemplos primero.

Advertencia:
  • Para lograr su objetivo de diseñar un cifrado autenticado, gocryptfs implementa un modo de cifrado AES-EME (para nombres de archivos, no el contenido). Si bien este modo aún no se ha usado/auditado ampliamente, ofrece protección de integridad para los datos, una característica que no está disponible para métodos alternativos de cifrado directo.
  • Consulte el bug report del seguimiento del proyecto con respecto a los hallazgos de la primera auditoría de seguridad para obtener más información.
Sugerencia: ejecute gocryptfs -speed para probar el rendimiento de los métodos de cifrado disponibles. Tenga en cuenta que el modo más lento AES-SIV-512-Go es obligatorio (y se selecciona automáticamente) para el modo inverso.

Ejemplo usando el modo inverso

Una aplicación importante para los métodos de cifrado basados ​​en archivos son las copias de seguridad cifradas. Los sistemas de archivos basados ​​en FUSE son flexibles para esto, ya que permiten una amplia gama de destinos de las copias de respaldo utilizando herramientas estándar. Por ejemplo, un punto de montaje FUSE encriptado con gocryptfs puede ser fácilmente creado directamente en una ubicación Samba/NFS o Dropbox, sincronizado con un servidor remoto con rsync, o basta con copiarse manualmente en un almacenamiento de respaldo remoto.

Advertencia: gocryptfs en modo inverso copia los archivos gocryptfs.diriv y gocryptfs.conf dentro del directorio encriptado. De este modo, si lo sincroniza en línea en un almacenamiento en la nube, lo mejor es excluir el archivo gocryptfs.conf si la exposición de este archivo le supone un problema de seguridad. Permanecería protegido solo si no se encuentra la contraseña... Siéntase libre de editar nuevamente si hay una manera de configurar gocryptfs para que no copie más estos archivos dentro del directorio cifrado, sino dentro de un directorio específico que el usuario quiera usar (como ~/.config/gocryptfs/).

El modo inverso de gocryptfs es particularmente útil para crear copias de seguridad cifradas, ya que prácticamente no requiere capacidad de almacenamiento adicional en la máquina para realizar las copias de seguridad.

A continuación se muestra un ejemplo de usuario archie que crea una copia de seguridad de /home/archie:

Primero, archie deberá inicializar la configuración para el directorio home:

$ gocryptfs -init -reverse /home/archie
Choose a password for protecting your files.
Password:
...

En segundo lugar, creará y montará un directorio vacío para la versión cifrada del directorio home:

$ mkdir /tmp/crypt
$ gocryptfs -reverse /home/archie /tmp/crypt
Password:
Decrypting master key

Your master key is:
...
Filesystem mounted and ready.
$
Sugerencia: la opción -exclude carpeta está disponible durante el montaje. Tenga en cuenta que con un software como rsync pueden producirse errores o advertencias si las exclusiones se realizan más adelante. [1]

Tercero, archie creará una copia de seguridad del directorio encriptado, una copia local simple para este ejemplo:

$ cp -a /tmp/crypt /tmp/backup

y hecho.

El directorio encriptado puede permanecer montado durante la sesión del usuario, o desmontarse manualmente:

$ fusermount -u /tmp/crypt
$ rmdir /tmp/crypt

Para restaurar el contenido desde la copia de seguridad cifrada, se monta una vista de texto sin formato utilizando el modo normal de gocryptfs:

$ mkdir /tmp/restore
$ gocryptfs /tmp/backup/ /tmp/restore
Password: 
Decrypting master key
...
Filesystem mounted and ready.
$

Ahora se pueden restaurar los archivos necesarios.

Véase también

  • A first security audit de gocryptfs
  • RFC5297 Synthetic Initialization Vector (SIV) Authenticated Encryption Using the Advanced Encryption Standard (AES)