Plasma Vault es una de las aplicaciones que nos ofrecen las últimas versiones de KDE Plasma, es decir, de la 5.11 en adelante. Nos permite cifrar y esconder carpetas del equipo, subiendo un escalón más el nivel de seguridad de nuestra información. Es software libre, integrado perfectamente con el escritorio Plasma y muy intuitivo en su utilización.

Algo destacable de Plasma Vault es que, además de ser en sí misma una característica increíblemente útil, es tan simple de usar que incluso las personas con mínimos conocimientos informáticos pueden utilizarla con relativa facilidad. No me extenderé mucho en cuanto a la interfaz, y es que no puedo agregar mucho más que lo que escribió ya Jorge o lo que explicó en su video Victorhck.

Por supuesto que, desde el momento en que instalamos nuestras distribuciones, tenemos la posibilidad de cifrar el disco, incluso la partición swap. Entonces, con todo este extenso y poderoso cifrado, ¿para qué alguien querría utilizar KDE Vault? ¿Por qué nos ofrece dos protocolos de cifrado? ¿y por qué esos y no otros protocolos? Estas son las preguntas que espero poder aclarar en las siguientes líneas…

¿Para qué me puede servir?

Puede pasar que al instalar nuestro sistema no queramos encriptar nuestra carpeta /home por diferentes razones. Por otra parte, aunque la carpeta /home esté encriptada esto no siempre nos protege la información; como por ejemplo, en el caso de cuando el sistema se está ejecutando y la información sensible está a la vista de alguien, que pueda tener acceso al sistema. Es este vacío de seguridad el que nos permite cubrir Plasma Vault, ya que se pueden cifrar, diferentes carpetas de manera más «granular» y descifrarlas fácilmente en caso de ser necesario.

De esta manera podemos ceder confianzudamente nuestro equipo a nuestro amigo/vecino/pariente, para que «consulte» su mail, resultados deportivos, o lo que sea, ya que nuestras carpetas con datos relacionados con el trabajo (o vida íntima -guiño guiño-) seguirán allí fuertemente encriptadas. Por otro lado hay quienes, por diferentes motivos, se ven obligados a utilizar servicios en la nube del tipo de Dropbox, Onedrive, Box, Google Drive, etc. por lo que el encriptado de los datos que se suban a estos servicios podría resultar conveniente.

Interfaz gráfica de Plasma Vault

En cuanto a la interfaz gráfica perse, Plasma Vault se ve como un pequeño candado en el panel, en la bandeja de sistema. Desde allí podremos crear una carpeta encriptada mediante la selección de unas pocas opciones. Y realmente son muy pocas opciones, ya que desde las primeras versiones se vienen reduciendo a solo lo necesario, y que es básicamente, la selección del protocolo de encriptado.

De esta manera seleccionamos y configuramos el motor que se encargará de cifrar los datos. Podemos seleccionar el ya viejo conocido EncFS, o el más nuevo CryFS. Aunque el autor también asegura que puede utilizarse dm-crypt, esta no es una opción que venga por defecto.

La máquina debajo del capó: El protocolo de encriptado

Primeramente debo aclarar que no soy un experto en esta materia, sino todo lo contrario. Aquí estamos para aprender, y dicho esto, los detalles y aclaraciones que quieran comentar serán muy enriquecedoras.

EncFS: Un viejo lobo de mar

Es uno de los sistemas de archivos criptográfico basado en FUSE más antiguos. Según la wikipedia, un sistema de archivos en espacio de usuario (FUSE) es una interfaz de software para sistemas operativos tipo Unix que permite a un usuario sin privilegios crear su propio sistemas de archivos. Esto se logra al ejecutar el código del sistema de archivos, en el espacio del usuario, mientras que el módulo FUSE proporciona solo un «puente» a las interfaces reales del kernel.

En resumen, en EncFS los archivos crifrados permanecen en el sistema de archivos y ellos pueden ser descifrados, cuando son accedidos a partir del sistema de archivos virtual creado. Este sistema fue sometido a una auditoría de seguridad independiente realizada por Taylor Hornby (Defuse Security) en el año 2014 la cual detectó algunos fallos de diseño e implementación. Es cierto, ha corrido mucha agua desde el 2014 con la versión 1.8, y actualmente encontramos publicada la versión 1.9.4 con algunas mejoras en seguridad, como pueden ver en su lista de cambios, pero al parecer los problemas de fondo se solucionaran recién con la prometida versión 2.0, de la que no tenemos ninguna novedad.

Algunos de los problemas conocidos de este sistema: El primero es que crea un archivo encriptado por cada archivo a encriptar, y los archivos encriptados poseen la misma estructura de directorios que los archivos y directorios a encriptar. Esto puede catalogarse como un fallo de seguridad, ya que un atacante puede averiguar ciertas cosas a partir del número de archivos, su tamaño y estructura de directorios.

Un problema un poco más delicado es el hecho de que un archivo es potencialmente vulnerable a técnicas de «cracking» cuando el atacante tiene acceso a varias versiones encriptadas de un mismo archivo. Por estas razones no es un sistema que se recomiende para información delicada que será subida a una nube privativa.

Pero no todas son pálidas, sigue siendo un sistema muy confiable y de elección para muchos, principalmente por la confianza que brinda su probada estabilidad. Además ante una eventual versión 2.0 de EncFS se deberían solucionar los problemas antes mencionados.

CryFS: Moderno y con empuje

Este es un sistema más moderno y soluciona los problemas que se le achacan al veterano EncFS.

Si bien se suele utilizar para el cifrado local, este protocolo se creó específicamente para ser utilizado junto con Dropbox u otros proveedores de almacenamiento en la nube. En este momento, solo funciona en Gnu/Linux y según sus creadores las versiones para Mac y Windows están en desarrollo.

En lugar de crear un archivo cifrado por cada archivo del sistema de archivos FUSE, CryFS los divide en fragmentos y los cifra por separado. Debido a esto, el atacante no puede deducir nada con solo mirar los datos encriptados. Tampoco expone la estructura de directorios a través de la organización de los datos encriptados.

Carpeta cifrada con protocolo EncFs. Estructura de directorios conservada, archivos cifrados individualmente y conservado metadatos.
Carpeta cifrada con CryFS. Cifrado de estructura de archivos y metadatos.

La contracara del hecho de ser un sistema nuevo es que no hay auditorías de seguridad. Y si bien no tiene los mismos problemas que EncFS, tal vez tenga otros.

Es por esta razón que plasma ofrece la posibilidad de elegir entre EncFS y CryFS: el usuario puede decidir utilizar una solución muy probada pero con problemas conocidos, o por el contrario, una solución que en la teoría es más segura pero que todavía no se sabe si realmente lo es.

Un dato «curioso» es que en la página oficial informan que todavía no consideran estable la versión actual y recomiendan realizar las copias de seguridad periódicas, por más que hasta ahora no haya casos reportados de problemas o pérdidas de datos. Por lo que queda a discreción del usuario de Plasma utilizarlo o no. 😉

Tal vez al leer estos párrafos nos quede la idea de que solo podemos que elegir la opción «menos mala», ya que una de ellas presenta problemas confirmados de seguridad y la otra no se anima a declararse «estable». Pero luego de varios meses de pruebas y para el uso de habitual que les doy al encriptado no me topé con ningún inconveniente, por lo que utilizo Vault sin sentir ninguna intranquilidad. También entiendo que las personas que usen estas aplicaciones exigen de ellas un alto nivel de seguridad y estabilidad por la importancia de los datos que quieren proteger. Muchos no utilizarían jamás un sistema de estos solamente por el hecho de que exista una mínima, minúscula, posibilidad de corrupción de algún byte que haga perder un archivo.

Antes de que pregunten, existen otras alternativas para cifrar carpetas de manera segura como eCriptFS, Veracrypt o dm-crypt, y si bien pueden resultar muy seguras, el creador de Vault no se decantó por estas por algunas limitaciones en la usabilidad. Aunque en algún tiempo seguramente tendremos novedades con respecto a luks para el encriptado de archivos individuales. A modo de resumen les presento a continuación una tabla con algunas características básicas de los principales protocolos de cifrado.

Algunos protocolos de cifrado y sus características básicas.

Otra tema recurrente que surge cuando hablamos de cifrado y seguridad de datos es la aplicación GnuPG. GnuPG es una implementación del estándar OpenPGP (también conocido como PGP). GnuPG permite encriptar y firmar datos y comunicaciones; presenta un sistema de administración de claves, junto con módulos de acceso para todo tipo de directorios de claves públicas.

Existe gran diferencia entre cifrar correos, archivos, directorios o discos duros

GnuPG está diseñado para correo electrónico y no encripta archivos o directorios, sino mensajes. En consecuencia, el formato de GnuPG no tiene ninguna estructura en forma de directorios. Cuando se cifra un archivo con GnuPG, en realidad se está creando un mensaje cifrado. En fin, GnuPG es útil para encriptar archivos individuales, incluso existe gpgdir, que nos permite cifrar archivos y subdirectorios recursivamente, pero este no es el propósito para el cual fue pensado.

En cuanto a Luks, la idea es similar, el cifrado de archivos y directorios tampoco es lo mismo que el cifrado de un disco duro. Para cifrar archivos y directorios, el programa de cifrado lo hace respetando bloques y por lo tanto no tiene importancia el concepto de directorios y archivos.

Las personas que desean un cifrado basado en archivos generalmente lo desean con el fin de almacenar en servicios en la nube como Dropbox, y el cifrado de un volumen no es lo óptimo para este fin, porque estos servicios deben transferir archivos completos cada vez que se actualizan. Esto no es aceptable debido al gran consumo (ineficiente) de ancho de banda ya que el cambio de un solo byte en un archivo haría necesario actualizar y subir todo el bloque correspondiente. Es cierto, sería más seguro no usar servicios en la nube en primer lugar. Pero el punto es que si uno lo necesita o quiere hacerlo es mejor tener algún nivel de protección antes que ninguna.

Conclusión

Plasma Vault es una de esas aplicaciones que no pueden faltar. Nos permite proteger nuestros datos en pocos segundos mediante una interfaz superintuitiva.  Y para esto utiliza protocolos de cifrado de datos muy robustos.

Imágenes

La  imagen destacada se distribuye con licencia CC0 creative commons, y puede descargarse desde Pixabay.com.

Las capturas de pantalla pertenecen al autor del artículo.

Bibliografía

Github.com – Plasma-Vault

Cukic.co – Vault for the privacy of your data

Cukic.co – Vaults encryption in plasma

ViktorHck in the Free World – Plasma Vault para cifrar de manera sencilla carpetas en el escritorio KDE

Omgubuntu.co.uk – Plasma vault create encrypted folder linux

Fossmint.com – Plasma vault create encrypted directories on kde desktop

Maslinux.es – Plasma vault crea facilmente directorios cifrados en el escritorio kde

Linuxconfig.org – Create encrypted folders with plasma vault

Seduccionlinux – Plasma vault crea carpetas cifradas

Cryfs.org – comparison

Github.com – Encfs ChangeLog

Forum.ubuntuusers.de – gnupg vs encfs vs ecryptfs vs truecrypt vs lu

4 1 voto
Article Rating
Subscribe
Notificarme de
guest

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

8 Comments
más antiguo
más nuevo más votado
Reacciones en línea
Ver todos los comentarios
truko22

Una pregunta si formateo, como recupero esa caja fuerte, que debo resguardar y como lo recupero, por que es muy útil esta función.

Jorge

Excelente artículo Javier como siempre, y gracias por la mención.

Raúl

¿Hay alguna forma de montar las «vaults» automaticamente al hacer login (obviamente, pidiendo la contraseña)? En uno de los usuarios uso siempre una caja fuerte y me gustaría que se montara sola al iniciar sesión, tras pedir la contraseña, ya que muchas veces lo olvido y guardo los datos de ese directorio sin cifrar, los tengo que borrar, montar la caja fuerte y volver a guardarlos…
¡Gracias!

Ramón

cómo recuperar cajas fuertes para otro ordenador?