9.1.3.6. Cifrado de discos

Aunque ya hemos ilustrado cómo cifrar un archivo puntual tanto con openssl como con GNUpg, este procedimiento sólo es útil si se quiere portar un archivo y es absolutamente impracticable si lo que se pretende es almacenar archivos en disco, ya que exige cada vez que se quiera realizar la modificación del contenido, un descifrado y un cifrado manual. En la práctica, lo que se hace es cifrar la totalidad o parte de un sistema de archivos a fin de que todo lo incluido en esa zona esté cifrado y no pueda ser leído (o escrito) a menos que se conozca la contraseña. Para ponerlo en práctica hay cuatro estrategias que son de más bajo a más alto nivel:

1. El cifrado por hardware, esto es, implementado en el propio dispositivo, que se llama SED.

2. El cifrado de dispositivos de bloques (p.e. una partición)

3. El cifrado usando el propio sistema de archivos, si es que éste lo soporta. ext4 soporta cifrado desde la versión 4.1 del kernel de Linux.

4. El cifrado del contenido de parte de un sistema de archivos, que, junto a FUSE, es la aproximación que usa software como:

   • encfs, que ha sido el software más usado, pero que es actualmente desaconsejable por sus problemas de seguridad.

   • cryfs, que tiene la limitación de no permitir aún el cambio en la contraseña de cifrado.

   • gocryptfs, que será el que utilicemos por no tener la limitación anterior.

Contenidos

• 9.1.3.6.1. Cifrado por hardware
• 9.1.3.6.2. Cifrado de bloques
• 9.1.3.6.3. Cifrado con el sistema de archivos
• 9.1.3.6.4. Cifrado de directorio