Cifrado de archivos en la nube ~ Security By Default

Hace ya algunos añitos que Yago comentaba en este mismo blog los mecanismos para cifrar archivos en tiempo real para posteriormente sincronizarlos con la nube. Como el panorama ha cambiado un poco, me tomo la libertad de actualizar ese artículo con las últimas novedades y otros métodos alternativos.

Siempre teniendo en cuenta que la nube no existe, solo son los ordenadores de otras personas tal y como muestra la pegatina que acompaña la entrada. Así que si realmente no quieres que alguien obtenga tus ficheros, no uses nubes públicas y monta un owncloud, seafile, SparkleShare o similares en tu propio servidor, lejos de las largas manos de los curiosos. Por supuesto, en el caso de estos productos, también se puede cifrar tal y como se describe a continuación. Si por pereza, coste, o porque realmente "las fotos del gato no son tan importantes" (y al final la clasificación del dato es lo realmente relevante), puedes asumir el riesgo utilizando servicios públicos como Dropbox, Google Drive, OneDrive o cualquier otro, y una de estas herramientas.

Boxcryptor: versión gratuita y comercial (36€/año), requiere crear una cuenta en su portal. En la versión gratuita solo permite usar dos dispositivos; un PC y un móvil por ejemplo. Tampoco permite el uso de distintos servicios simultáneamente. Es multiplataforma como casi todas las demás. La aplicación crea una unidad virtual, que permite acceder en tiempo real a los ficheros de las carpetas de la nube y cifrarlos o descifrarlos según nuestra necesidad. Los nombres de los ficheros no se ocultan. Soporta cifrar ficheros para grupos de usuario. La aplicación móvil solo permite acceder a los ficheros en modo lectura. También existe acceso a la versión classic, que si cifra los nombres de fichero, pero no permite seleccionar que se cifra y que no, simplemente, cifra todo.

Gestión de permisos de Boxcryptor

Cloudfogger: actualmente esta aplicación es gratuita y no tiene sistema de licenciamiento, aunque muy posiblemente lo implanten pronto. Limitan el uso de dispositivos a 5. Multiplataforma, con clientes para dispositivos móviles, Su principal problema es que no cifra el nombre del fichero y la aplicación móvil tampoco permite escribir. Requiere cuenta en su portal.

Panel principal de cloudfogger.

viivo: creado por Pkware tiene una licencia de 5$ al mes y otra gratuita. Para Windows, Mac y IOS/Android. No cifra los nombres de ficheros. También permite compartir entre múltiples usuarios documentos cifrados. La versión comercial dispone de cifrado para móviles y dos factores de autenticación. Funciona de forma muy similar a cloudfogger, usando una carpeta directamente en el directorio sincronizado y de forma transparente para el cliente.

Viivo, configuración de carpetas.

Sookasa: licencia gratuita y profesional de 10$/mes, permite solo el uso de dropbox y google drive. Similar a las anteriores, no cifra los nombres de los ficheros. Para el usuario es transparente que se cifra. Soporte para Windows, OSX, Android e IOS. No limita el número de dispositivos en su versión gratuita, ni tampoco limita el de ficheros. Dispone de capacidades de auditoria en su versión comercial. La aplicación es muy (demasiado) sencilla.. Como en todas las demás, la app móvil no permite escribir en los directorios cifrados.

Sookasa: panel de preferencias.

SharedSafe: no sé cómo se las han apañado para hacer algo que han mostrado tan sencillo todos los demás de una forma tan compleja que es necesario dedicarle 20 minutos a la aplicación para entenderla. Concepto completamente distinto al anterior, no es multiplataforma, no dispone de aplicaciones móviles... Bueno, en definitiva, tiene mucho margen para mejorar...

SharedSafe: configuración

EncFS MP: posiblemente una de las mejores alternativas. Es gratuita y multiplataforma. Se basa en lo mismo que las anteriores: referenciando una carpeta (que debe estar dentro de la carpeta sincronizada con la nube), cifra los archivos y sus nombres. Con el software y la contraseña se accede al contenido "montando" el directorio sobre una unidad virtual. Realmente es la actualización de EncFS. En Linux funciona perfectamente, otra cosa muy distinta es en Windows. Aunque existe compatibilidad, cuando se maneja un número muy alto de ficheros el rendimiento cae a niveles que deja de ser funcional. También tenemos que olvidarnos de plataformas móviles. No requiere darse de alta en ningún tercero.

EncFS MP

Truecrypt/LibreCrypt/VeraCrypt: Otra de las opciones más usadas y conocidas. No se basa en cifrar carpetas, lo hace mediante un único fichero (almacenado en el directorio sincronizado) que luego es montado en una unidad virtual. El inconveniente de esto es que dependiendo del software de almacenamiento hará una subida completa o parcial de este fichero cifrado cada vez que se añada contenido a él y y este fichero suele tener un tamaño muy elevado. Al fin y al cabo debe ocupar todo el espacio que deseemos tener libre en la unidad virtual una vez es montada.

Después de probarlas, no obtengo conclusiones claras ni un claro vencedor. En mi experiencia y durante el proceso me quedé con encfsmp, pero teniendo muy claro que tengo un límite de ficheros y que más de ese número, empezarán los problemas. Seguiremos viendo como evolucionan.