¿QUÉ
ES EL CIFRADO DE DISCO? VENTAJAS Y DESVENTAJAS
El cifrado de disco es un concepto que abarca las técnicas y herramientas que nos permiten proteger, mediante cifrado, la información de nuestros discos duros, memorias usb o, incluso, ficheros individuales.
Mediante una contraseña o una clave más compleja ciframos, generalmente con algoritmos que se consideran “robustos” la información, haciendo que ésta sea inaccesible para personas no autorizadas. Lógicamente, uno de los puntos importantes es que nos aseguremos de que esa contraseña o clave solamente la conocemos nosotros o personas que nosotros autorizamos.
Un elemento claramente imprescindible de este cifrado es que debe ser transparente para el usuario y las aplicaciones, es decir, que podamos escribir en los discos o carpetas cifrados, de la misma manera que lo haríamos en las que no están cifradas y, que aplicaciones como pueden ser las de Office, traten los archivos como lo harían si no existiera el cifrado. Eso sí, siempre hemos de tener en cuenta que, dependiendo de la complejidad y fortaleza del cifrado y el tipo de herramientas, el equipo necesitará trabajar un poco más y podemos tener una pérdida leve de capacidad, normalmente, inapreciable por el usuario, pero pérdida de rendimiento a fin de cuentas.
Dentro del concepto de cifrado de disco, es bueno que hagamos una diferenciación entre el cifrado de disco completo y el cifrado parcial del contenido del disco o el de ficheros individuales.
El cifrado de disco es un concepto que abarca las técnicas y herramientas que nos permiten proteger, mediante cifrado, la información de nuestros discos duros, memorias usb o, incluso, ficheros individuales.
Mediante una contraseña o una clave más compleja ciframos, generalmente con algoritmos que se consideran “robustos” la información, haciendo que ésta sea inaccesible para personas no autorizadas. Lógicamente, uno de los puntos importantes es que nos aseguremos de que esa contraseña o clave solamente la conocemos nosotros o personas que nosotros autorizamos.
Un elemento claramente imprescindible de este cifrado es que debe ser transparente para el usuario y las aplicaciones, es decir, que podamos escribir en los discos o carpetas cifrados, de la misma manera que lo haríamos en las que no están cifradas y, que aplicaciones como pueden ser las de Office, traten los archivos como lo harían si no existiera el cifrado. Eso sí, siempre hemos de tener en cuenta que, dependiendo de la complejidad y fortaleza del cifrado y el tipo de herramientas, el equipo necesitará trabajar un poco más y podemos tener una pérdida leve de capacidad, normalmente, inapreciable por el usuario, pero pérdida de rendimiento a fin de cuentas.
Dentro del concepto de cifrado de disco, es bueno que hagamos una diferenciación entre el cifrado de disco completo y el cifrado parcial del contenido del disco o el de ficheros individuales.
Cifrado
de ficheros y carpetas
En ocasiones, no necesitamos que el disco duro completo esté protegido o cifrado y nos es suficiente el cifrado de ficheros concretos, carpetas o partes del disco (particiones).
Generalmente, las herramientas de cifrado de disco nos permiten cifrar tanto en disco completo como ficheros individuales sin mayores problemas, simplemente nos encontraremos con enfoques diferentes a la hora de utilizarlas, pudiendo para estos últimos, generalmente, tener incluso una integración con los propios gestores de ficheros del sistema operativo (Explorer en plataformas Microsoft, Finder en las de Apple, Dolphin, Konqueror, etc. en los Linux).
En ocasiones, no necesitamos que el disco duro completo esté protegido o cifrado y nos es suficiente el cifrado de ficheros concretos, carpetas o partes del disco (particiones).
Generalmente, las herramientas de cifrado de disco nos permiten cifrar tanto en disco completo como ficheros individuales sin mayores problemas, simplemente nos encontraremos con enfoques diferentes a la hora de utilizarlas, pudiendo para estos últimos, generalmente, tener incluso una integración con los propios gestores de ficheros del sistema operativo (Explorer en plataformas Microsoft, Finder en las de Apple, Dolphin, Konqueror, etc. en los Linux).
Importante:
muchos sistemas operativos incorporan funcionalidades de serie que permiten el
cifrado de carpetas y ficheros, de la misma manera que permiten el cifrado de
discos completos. Comentaremos algunos ejemplos y mostraremos su uso básico más
adelante.
Hay que comentar que, aparte de herramientas específicas de cifrado de ficheros y carpetas, muchas utilidades de compresión de archivos como pueden ser ZIP, RAR, 7Zip y otras, permiten cifrar el contenido de los ficheros comprimidos (con el algoritmo AES), lo que en muchas ocasiones es más sencillo y más operativo puesto que, prácticamente todo el mundo cuenta con herramientas de compresión y descompresión de ficheros de casi cualquier formato.
Incluso aun contando con herramientas que nos permitan
el cifrado de disco completo, es probable que a menudo nos encontremos con
situaciones en las que necesitemos cifrar simplemente un fichero o carpeta. Por
ejemplo, para enviar por correo electrónico una serie de archivos o una carpeta
a un tercero. Es por esto que debemos revisar con atención todas esas
funcionalidades a la hora de escoger una herramienta de cifrado que encaje con
lo que necesitamos.
Todas las herramientas de cifrado de discos, ficheros o carpetas, suelen tener un comportamiento similar en lo que se refiere al mecanismo de cifrado, utilizan un algoritmo rápido (en el 100% de los casos simétrico) que permita realizar las operaciones de lectura y escritura de forma razonablemente rápida aunque, no lo olvidemos, siempre habrá una pérdida de rendimiento por el esfuerzo de realizar las operaciones de cifrado y descifrado.
El uso del cifrado de disco tiene una serie de riesgos asociados que no podemos dejar de comentar. El principal es que si no tenemos la disciplina de emplear claves complejas o, incluso, ficheros de claves, la robustez del cifrado se limitará a la de nuestra contraseña, que podría ser fácilmente descubierta mediante ataques de fuerza bruta o por técnicas alternativas.
Todas las herramientas de cifrado de discos, ficheros o carpetas, suelen tener un comportamiento similar en lo que se refiere al mecanismo de cifrado, utilizan un algoritmo rápido (en el 100% de los casos simétrico) que permita realizar las operaciones de lectura y escritura de forma razonablemente rápida aunque, no lo olvidemos, siempre habrá una pérdida de rendimiento por el esfuerzo de realizar las operaciones de cifrado y descifrado.
El uso del cifrado de disco tiene una serie de riesgos asociados que no podemos dejar de comentar. El principal es que si no tenemos la disciplina de emplear claves complejas o, incluso, ficheros de claves, la robustez del cifrado se limitará a la de nuestra contraseña, que podría ser fácilmente descubierta mediante ataques de fuerza bruta o por técnicas alternativas.
Cifrado
simétrico
Para tratar de mantener el rendimiento del sistema al máximo, en prácticamente todas las soluciones de cifrado de disco se utilizan algoritmos simétricos. No sería razonable otra aproximación, puesto que el esfuerzo computacional necesario para emplear por ejemplo sistemas de clave pública, ralentizaría las operaciones de disco de forma tal que nadie querría utilizar este tipo de soluciones.
Algoritmos típicos que se utilizan en el cifrado de disco pueden ser el tan extendido AES, que es el más común si analizamos las diversas herramientas, pero algoritmos como Serpent o Twofish son alternativas que se utilizan por sus especiales características de velocidad.
Para tratar de mantener el rendimiento del sistema al máximo, en prácticamente todas las soluciones de cifrado de disco se utilizan algoritmos simétricos. No sería razonable otra aproximación, puesto que el esfuerzo computacional necesario para emplear por ejemplo sistemas de clave pública, ralentizaría las operaciones de disco de forma tal que nadie querría utilizar este tipo de soluciones.
Algoritmos típicos que se utilizan en el cifrado de disco pueden ser el tan extendido AES, que es el más común si analizamos las diversas herramientas, pero algoritmos como Serpent o Twofish son alternativas que se utilizan por sus especiales características de velocidad.
Uso
de TPM
Este requisito, la posibilidad de emplear esta característica que viene de serie en casi todos los equipos más modernos, tiene tanto ventajas como desventajas.
¿Para qué sirve el TPM Trusted Platform Module? Pues debido a su especial ubicación en el proceso de cifrado (recordemos que es un chip, hardware) permite, por ejemplo, acelerar las operaciones de generación de claves o de cifrado. Pero además cuenta con la característica de la custodia de la clave, lo que hace muy difícil el acceso a ésta por parte de un potencial intruso o usuario malintencionado.
Esta característica es muy útil para las herramientas que hacen uso del TPM para almacenar la clave de cifrado, lo que permite arrancar el sistema operativo, sin solicitarle la contraseña al usuario, de forma transparente. Por el contrario, si no hemos realizado una copia de seguridad de la clave de cifrado, podemos enfrentarnos a una situación muy seria ya que en caso de avería del ordenador (pero estando el disco duro intacto), podría ser imposible acceder a nuestros datos.
Herramientas como Bitlocker en plataformas Microsoft, Bestcrypt, Mcafee Endpoint Encryption y algunas otras, soportan el uso de TPM. En cambio, en el caso de TrueCrypt, el desarrollador ha optado por no soportarlo.
Este requisito, la posibilidad de emplear esta característica que viene de serie en casi todos los equipos más modernos, tiene tanto ventajas como desventajas.
¿Para qué sirve el TPM Trusted Platform Module? Pues debido a su especial ubicación en el proceso de cifrado (recordemos que es un chip, hardware) permite, por ejemplo, acelerar las operaciones de generación de claves o de cifrado. Pero además cuenta con la característica de la custodia de la clave, lo que hace muy difícil el acceso a ésta por parte de un potencial intruso o usuario malintencionado.
Esta característica es muy útil para las herramientas que hacen uso del TPM para almacenar la clave de cifrado, lo que permite arrancar el sistema operativo, sin solicitarle la contraseña al usuario, de forma transparente. Por el contrario, si no hemos realizado una copia de seguridad de la clave de cifrado, podemos enfrentarnos a una situación muy seria ya que en caso de avería del ordenador (pero estando el disco duro intacto), podría ser imposible acceder a nuestros datos.
Herramientas como Bitlocker en plataformas Microsoft, Bestcrypt, Mcafee Endpoint Encryption y algunas otras, soportan el uso de TPM. En cambio, en el caso de TrueCrypt, el desarrollador ha optado por no soportarlo.
Check Point Full Disk Encryption
De la misma manera que en el anterior fabricante, la solución Check Point Full Disk Encryption cuenta con la gran ventaja de la integración con sistemas de gestión empresariales. Así, los usuarios podrían recuperar el acceso a un disco cifrado en caso de no recordar la contraseña.
Adicionalmente, Check Point cuenta con una herramienta que se llama Media Encryption que permite gestionar el cifrado en discos extraíbles y externos.
De la misma manera que en el anterior fabricante, la solución Check Point Full Disk Encryption cuenta con la gran ventaja de la integración con sistemas de gestión empresariales. Así, los usuarios podrían recuperar el acceso a un disco cifrado en caso de no recordar la contraseña.
Adicionalmente, Check Point cuenta con una herramienta que se llama Media Encryption que permite gestionar el cifrado en discos extraíbles y externos.
Mcafee Endpoint Encryption
Mcafee cuenta con un producto avanzado para el cifrado de discos completos que se conoce como Endpoint Encryption (antes conocido como Safeboot). Esta herramienta en concreto solamente está soportada en sistemas operativos Microsoft y Apple Mac OS X.
Mcafee cuenta con un producto avanzado para el cifrado de discos completos que se conoce como Endpoint Encryption (antes conocido como Safeboot). Esta herramienta en concreto solamente está soportada en sistemas operativos Microsoft y Apple Mac OS X.
No solamente permite el cifrado de discos duros de un
ordenador, sino que también tiene capacidades para cifrar discos externos, por
lo que permite mantener un mecanismo de intercambio de la información homogéneo
en una empresa (en vez de necesitar el uso de herramientas distintas para el
cifrado de los discos duros y para el cifrado de los discos removibles).
Esta solución cuenta con funciones empresariales interesantes debido a su integración con una herramienta de gestión (consola EPO). Uno de los puntos más fuertes de esta integración en consola es que si un usuario no recuerda sus credenciales de acceso al disco cifrado, existen diversos procedimientos de recuperación de esta clave con la asistencia de un administrador.
Esta solución cuenta con funciones empresariales interesantes debido a su integración con una herramienta de gestión (consola EPO). Uno de los puntos más fuertes de esta integración en consola es que si un usuario no recuerda sus credenciales de acceso al disco cifrado, existen diversos procedimientos de recuperación de esta clave con la asistencia de un administrador.
REFERENCIAS:
