11 febrero 2009

TrueCrypt, cifrado del disco de sistema en 20 pasos

TrueCrypt es una conocida herramienta que nos permite crear particiones, discos y volúmenes cifrados. Una de las características menos conocidas es su aplicación a la partición o disco duro donde reside el sistema operativo. Esto es posible gracias a un agente que es instalado antes de arrancar el equipo y que solicita la contraseña para continuar.

Cifrar el disco de sistema debería ser obligatorio para cualquier profesional, sobre todo en equipos portátiles que trabajan con datos de carácter personal o confidencial, ya que no se penaliza prácticamente el rendimiento y evita fugas de información.

Existe una sensación de falsa seguridad al pensar que esta medida no es necesaria ya que el ordenador dispone de contraseña en la BIOS o antes de autenticarse en el sistema operativo. Pero esto, una vez sustraída la unidad de disco duro permite acceder a toda la información en el almacenada, entre la que figuran los nombres de los últimos ficheros accedidos, certificados digitales, credenciales y un largo etcétera.

Desde SbD vamos a describir paso a paso como podemos asegurar la información que contiene el sistema. Pese a que es muy sencillo recomendamos probar en un equipo de prueba antes de realizarlo sobre uno en el que se puedan perder datos, además de leer cuidadosamente toda la información que la propia aplicación muestra.

Podeis seguir paso a paso el siguiente video:



O seguir las siguientes instrucciones imprimibles:

1.- Una vez instalada la última versión, abrimos la aplicación y pulsamos sobre "Create Volume"



2.- Seleccionamos "Encrypt the system partition or entire system drive" y pulsamos "Next".



3.- TrueCrypt permite tener un sistema operativo de "cartón-piedra", para en caso de utilizar otra contraseña arrancar como si fuese real. Este sistema no es detectable y puede ser útil si vamos a cruzar la frontera de Arabia Saudi con porno y quieren obtener la contraseña mediante "Fuerza Bruta". Para este caso, utilizaremos el método normal y nuevamente "Next".




4.- Otra opción es cifrar únicamente una partición o todo el disco. En este caso yo solo dispongo de Windows instalado y por lo tanto cifraré el disco completo. Click sobre Next!



5.- En la siguiente pantalla se nos plantea si cifrar el HPA (Host Protected Area), si no se dispone de RAID o alguna otra aplicación que pueda hacer uso de esta parte del disco duro, se marca la opción "Yes" y continuamos al marcar Next.






6.- La siguiente opción permite especificar si se utiliza el sistema para un único sistema operativo o si el equipo mantiene una configuración "Multi-Boot", en mi caso, únicamente con Windows selecciono "Single-Boot" y ... exacto: Next.




7.- Pese a que podemos elegir el tipo de algoritmo para cifrado y hash, AES y RIPEMD-160 presentan resultados rápidos y fiables. Si queréis ver las diferencias se puede realizar una prueba al pulsar sobre "Benchmark". Una vez seleccionados: Next.




8.- Hora de introducir una contraseña, el uso de ficheros con claves no está permitido para cifrados del sistema operativo. N-E-X-T.




9.- Durante el proceso de generación de claves, solicita mover el ratón dentro de la propia ventana de truecrypt. Después de darle unos meneos, se presiona el botón Next.



10.- La captura siguiente muestra el salt generado. Si estáis conformes pulsais Next (si no, ya me contaréis porque no)



11.- Una vez se han creado las claves se genera un disco de rescate, que hay que grabar con vuestro software favorito. OJO, no vale el mismo disco para un sistema que para otro, ya que este disco lleva embebidas las claves generadas. Antes de continuar se realiza una comprobación para asegurar que el disco se ha copiado correctamente. Si no detecta el disco en la unidad no se puede avanzar. En la siguiente pantalla se introduce la ruta donde se almacena la imagen que se ha de grabar.



12.- Se pulsa Next sobre la ventana que informa sobre la correcta creación de la imagen.



13.- En este punto grabamos el CD y se realiza la comprobación de su contenido en la siguiente imagen.



14.- Antes de cifrar el disco se permite ejecutar una limpieza (wipe) de los archivos eliminados de forma permanente. Realmente, una vez está cifrado el disco la información que pueda quedar residual estará también cifrada por lo que es no es necesario y ahorraremos tiempo si dejamos la opción "None (fastest)". Ah! -- Next.



15.- Antes de cifrar se lleva a cabo un test para comprobar que el "preboot" encargado de solicitar la contraseña antes de iniciar el equipo funciona correctamente. Presionamos Test



15.1.- Aceptamos el aviso que advierte que el sistema tal vez no arranque si el
preboot se instaló incorrectamente. (En este casó hay que reiniciar con
un disco de rescate tradicional y restaurar el inicio).



15.2.- Aceptamos el reinicio.



16.- Al arrancar el equipo debe aparecer la siguiente pantalla solicitando la contraseña introducida en el paso 8. La tecleamos y pulsamos Enter.




17.- Se notifica el correcto inicio del equipo. Ahora empieza la fiesta. Pulsamos sobre "Encrypt" y el sistema cifrará nuestro disco. Esto puede durar de 30 minutos a unas cuantas horas...




18.- Una vez leída la siguiente ventana con más advertencias, aceptamos si estamos conformes.








19.- Esperamos a que el disco se cifre por completo y aparezca el siguiente mensaje:



20.- Fin del proceso, pulsamos sobre "Finish" y ya dispondremos de nuestro sistema cifrado.


20 comments :

nico dijo...

No cabe duda de que eso aumentará la privacidad en nuestro equipo (siempre que lo apaguemos claro). Pero, ¿como influye esto en el rendimiento del sistema? ¿sería aconsejable quitar el archivo de intercambio de la partición del sistema?

Alejandro Ramos dijo...

Nico, dos apuntes, por un lado el problema de tener el equipo encendido se soluciona mediante otros controles, como el bloqueo mediante el protector de pantalla. Truecrypt tambien permite desmontar discos cifrados cuando no hay actividad (esto no aplica para particiones de sistema).

En cuanto al rendimiento, yo he perdido aproximadamente un 5% en lectutra de disco duro de 36Mb/s a 34Mb/s) y un 2% en CPU.

Puedes ejecutar hd-tune (http://www.hdtune.com/) antes y después. Si no te gusta el resultado, descifras. También es posible hacerlo en caliente.

Suerte!

Lobosoft dijo...

Buenas.

Uso TrueCrypt desde hace bastante tiempo, y lo cierto es que estoy muy satisfecho con sus resultados. Obviamente, la velocidad de acceso a las unidades se resiente un poco, en función del tipo de cifrado que hagamos, pero en general no está nada mal. Además, como apunta Alejandro es posible probarlo y, si no nos gusta, desinstalarlo sin mayor problema, así que te animo a probarlo, Nico.

Un saludo.

r0xSoFT dijo...

Un duda muuuyy tonta...


¿Si seguimos trabajando con el pc, los datos que sigamos introduciendo en el pc, estarán a salvo tambien?

¿O simplemente "encripta" el acceso al disco?


Un pregunta muy tonta....

Alejandro Ramos dijo...

r0xsoft, no existen preguntas tontas, solo algunos tontos que no preguntan.

Se cifra el disco y su contenido y no la forma en la que accede, por lo tanto si existiese algún archivo abierto (por ejemplo un documento word) también sería cifrado. De todas formas, para evitar problemas de bloqueo, es que no tengas aplicaciones abiertas mientras cifras.

r0xSoFT dijo...

@Alejandro Ramos


Muchas cenkius :p

Asfasfos dijo...

Dios Bendiga a Truecrypt :). Yo siempre llevo mi pendrive cifrado cuando tengo datos importantes, que te lo roban y te pueden hacer un "hijo de madera" :).

Realmente no se pierde mucho rendimiento de disco duro, cuesta mucho cifrarlo en un principio pero una vez que trabajas con el va bastante bien.

Anónimo dijo...

Realmente Truecrypth no afecta el rendimiento y funciona muy bien para Windows, sin embargo me parece ridículo que siendo SL no funcione para cifrar particiones de Ubuntu de la misma manera que funciona con Windows. Es estúpido.

Felipe dijo...

Una pregunta tonta, entiendo que si cifro un disco duro externo, sólo necesito el programa TrueCrypt en todos los Pc en los que lo vaya a utilizar ¿verdad? Claro está, además de conocer la clave de acceso.

Por otro lado, ¿se pueden hacer particiones cifradas en un disco externo? Lo digo porque a veces sólo interesa cifrar una parte del disco y el resto dejarlo libre. Por ejemplo, tener descifrado las chorradas temporales que copias y dejar encriptado sólo los archivos personales y profesionales.

Gracias

Alejandro Ramos dijo...

@Felipe, exacto, te hará falta el truecrypt, del que existe una versión Portable, es decir, puedes llevarlo en el propio disco externo en una partición sin cifrar.

Para el disco externo lo común es tener un contenedor, que no es más que un archivo, y montarlo con la versión portablem, más que una partición cifrada y otra no. Esto te facilitará hacer copias de seguridad rápidamente de tus archivos cifrados, únicamente copiando el contenedor.

Anónimo dijo...

hola,
en la modalidad de encriptar el disco de sistema, se pueden usar keyfiles? en caso afirmativo, cómo afectaría al arranque del pc? se podrían llevar en una memoria usb externa y que al arrancar los pida?

muchas gracias!!

Anónimo dijo...

En ubuntu puedes hacer la instalacion cifrando el disco, aunque no usando truecrypt.

No es complicado, y en la proxima instalacion en un pen usb pienso hacerlo. Asi me asegurare de si lo pierdo nadie vea mi bonito fondo de escritorio portatil ni mi lista de la compra, ni mis favoritos de firefox ..... XD

Francisco dijo...

Tengo un problema, Instalé el programa en el ordenador de mesa y encripte en un disco externo con el que viajo (por si lo pierdo o roban )el caso es que compré un portatil e instale Truecrypt, pero ahí surgió el problema . En el portatil no puedo leer el encriptado. es normal o hago algo mal?. En el pc de mesa me funciona a la perfeción. Gracias anticipadas a los que me puedan aportar alguna posible solución.

locologo dijo...

disculpen alguien conoce la modalidad de utilizar un archivo del mismo disco duro como clave de acceso pero no te da permiso de modificar ya que no eres administrador

Fliper24 dijo...

Hola todos
¿Si creo un volumen (para toda la partición, donde no esta el sistema operativo), no hay forma que se monte al iniciar el sistema operativo, o debo hacer el proceso de montarlo manualmente?
Gracias 

Eli dijo...

Yo tengo una duda, he desinstalado trueCrypt pero cuando inicio el sistema me sigue pidiendo la contraseña. Como puedo quitarla?

Fco. dijo...

se estaba cifrando mis DD con trueCrypt ero por error se apago mi equipo y ahora me arroja un error:
No boot sector on internal hard drive



No bootable devices --strike f1 to retry boot, F2
for setup utility

press f5 to run onboard diagnostics.



Alguien me podria ayudar.??

Kapital08 dijo...

Consulta, saben si se bloquea la PC con X cantidad de reintentos?, en caso de que sea afirmativa, hay alguna manera de modificar esa cantidad de reintentos?. Gracias!

Navi dijo...

Bueno eso depende, tienes la maquina en Dominio? son intentos para acceder con Windows? si es asi puedes configurar politicas de seguridad para modificar la cantidad de intentos para bloqueo, saludos

Anonymous dijo...

Una pregunta quisiera hacerles.
* Es necesario tener el disco que se creó para iniciar Windows o solo es por una vez nada más (sólo para la verificación).
* Si por ejemplo, he realizado un trabajo en Word o PDF la cual se van a cifrar, si esto lo envío a un compañero que no usa TrueCrypt, ¿Lo podrá visualizar, editar, imprimir o no? Y si es no,¿Cómo lo desencriptaría?.


Muchas Gracias