.. _disk-encrypt: Cifrado de discos ***************** Aunque ya hemos ilustrado cómo cifrar un archivo puntual tanto :ref:`con openssl ` como :ref:`con GNUpg `, este procedimiento sólo es útil si se quiere portar un archivo y es absolutamente impracticable si lo que se pretende es almacenar archivos en disco, ya que exige cada vez que se quiera realizar la modificación del contenido, un descifrado y un cifrado manual. En la práctica, lo que se hace es cifrar la totalidad o parte de un sistema de archivos a fin de que todo lo incluido en esa zona esté cifrado y no pueda ser leído (o escrito) a menos que se conozca la contraseña. Para ponerlo en práctica hay cuatro estrategias que son de más bajo a más alto nivel: #. El cifrado por *hardware*, esto es, implementado en el propio dispositivo, que se llama |SED|. #. El cifrado de dispositivos de bloques (p.e. una partición) #. El cifrado usando el propio sistema de archivos, si es que éste lo soporta. *ext4* soporta cifrado desde la versión 4.1 del kernel de *Linux*. #. El cifrado del contenido de parte de un sistema de archivos, que, junto a FUSE_, es la aproximación que usa software como: * encfs_, que ha sido el *software* más usado, pero que es actualmente desaconsejable por sus problemas de seguridad. * cryfs_, que tiene la limitación de `no permitir aún el cambio en la contraseña de cifrado `_. * gocryptfs_, que será el que utilicemos por no tener la limitación anterior. .. image:: files/estrategias.png .. rubric:: Contenidos .. toctree:: :glob: :maxdepth: 1 06.discos/[0-9]* .. |LUKS| replace:: :abbr:`LUKS (Linux Unified Key Setup)` .. |SED| replace:: :abbr:`SED (Self-Encrypting Drive)` .. _FUSE: https://es.wikipedia.org/wiki/Sistema_de_archivos_en_el_espacio_de_usuario .. _encfs: https://github.com/vgough/encfs .. _cryfs: https://www.cryfs.org/ .. _gocryptfs: https://nuetzlich.net/gocryptfs/