Cifrar carpeta documentos

Existen formas de cifrar carpeta Documentos, en donde se guardan contenido personal o privado. Una de ellas consiste en un cifrado por archivo (FBE), tal como haría Android en sus versiones posteriores a la 7. Este método estará a salvo de intrusos con la posibilidad de recuperar el acceso remotamente. Para eso necesitas permisos de administrador, un lapiz y un papel.

Recuerda que este paso es para usuarios con conocimiento de la terminal, algunos detalles fueron omitidos para simplificar los procedimientos.

Requisitos#

• Debes tener el paquete ecryptfs-utils. Desde la termina puedes instalar:

sudo apt-get install ecryptfs-utils

• Necesitarás espacio para copiar la carpeta “Home”. Para reducir la carga, mueve tus documentos (Home) en otra unidad de disco USB. Después de terminal, traslada los archivos a su origen.
• Esta función no planea cifrar el disco duro para no limitar el rendimiento y arranque del equipo. Además, si quieres revertir tendrás que borrar esta cuenta y volver a crearla. No obstante, puede consumir un poco de memoria RAM y CPU.

Procedimiento para cifrar carpeta Documentos#

1. Carga el módulo, que se añadirá en la lista de arranque;

sudo modprobe ecryptfs

2. Cierra sesión e inicia desde la terminal virtual;
3. Ejecuta desde la terminal, siendo username el nombre de usuario;

sudo ecryptfs-migrate-home -u username 

4. Una vez que está cifrado la carpeta documentos, ejecuta ecryptfs-unwrap-passphrase para conseguir la clave de recuperación y guardarlo en caso que sea necesario;
5. Reinicia el equipo o escribiendo el comando “sudo reboot”;
6. Cuando abras el gestor de archivos tendrás dos carpetas Home, la que estás usando y una copia sin cifrar, si deseas muévelo o bórralo;
7. Ahora, terminado de cifrar la carpeta Documentos, está listo para usar.

Gestionar carpeta cifrada#

SiriKali es un cliente para visualizar el estado de archivos cifrados bajo esta modalidad. Está disponible en los repositorios. Además, está disponible para Windows.

Para este ejemplo, podrás apreciar la carpeta donde se realizó los cambios. Esta se visualiza como montada después de iniciar sesión y bajo el sistema «ecryptfs». Para ver la información selecciona haz clic derecho con el volumen y selecciona «Propiedades».

Notas aclaratorias para cifrar carpeta Documentos#

• Otro método es realizar este proceso, en lugar de la TTY, es tener una cuenta temporal.
  • Créala desde el “Centro de control>Cuentas”;
  • Abre la terminal desde la cuenta temporal y borra dicha cuenta cuando finalices al 100%;
  • Ese método no es infalibe, debes borrar toda la carpeta para eliminar la cuenta de usuario.
• La carpeta en dónde se guarda los documentos está en /home/.ecryptfs/[nombredeusuario]. La subcarpeta .Private contiene los archivos de usuario cifrados e inaccesibles para otros sistemas operativos sin la clave.
  • Además de la ya cifrada, dentro de la carpeta /home tienes una copia de los archivos del usuario. Puedes trasladarla o borrarla directamente.
  • No cifra otras carpetas del sistema como /var.
• También puedes cifrar la partición SWAP con sudo apt-get install cryptsetup y sudo ecryptfs-setup-swap.
  • No recomendamos seguir esta opción por su alto consumo y que alteraría el rendimiento del equipo.
• En caso que tu equipo esté en Emergency Mode y quieres reinstalar Deepin, te recomendamos seguir los siguientes pasos para trasladar a una unidad externa.
• Ten en cuenta al conservar la carpeta cifrada después de actualizar desde la verisón 15. A partir de esa versión, usuarios reportaron que es imposible mover los archivos a la papelera.

Alternativas a ecryptfs#

En 2018 se reportó un bug en Ubuntu, debido a su inestabilidad el paquete se eliminó en los repositorios. Además, se reportó que en en Deepin 20, el paquete cryptsetup-initramfs está obsoleto y que ya no depende del paquete cryptsetup-run. Existen otras opciones mejores.

La mejor opción posible es que Systemd (desde su versión 245) se encargue de realizar cifrado en la carpeta de documentos. Puedes probar el cifrado creando una nueva cuenta de usuario desde la terminal. Consta principalmente de los siguientes comando (fuentes 1, 2 y 3):

• sudo authselect enable-feature with-systemd-homed
• systemctl enable --now systemd-homed.service
• sudo homectl create [nombredeusuario] --uid=1050 --storage=luks --fs-type=btrfs --luks-extra-mount-options=defcontext=system_u:object_r:user_home_dir_t:s0 (reemplaza el nombre de usuario y el uid por los que prefieras)
• Opcionalmente se puede asignar permisos de administrador (aunque no al mismo nivel de root)
  • sudo homectl update [nombredeusuario] --member-of=sudo
  • sudo homectl update [nombredeusuario] --member-of=wheel
• Alguna herramientas útiles:
  • sudo homectl inspect [nombredeusuario]
  • sudo homectl update [nombredeusuario] --luks-discard=true --luks-offline-discard=true (recomendado para discos sólidos)

Ten en cuenta que se usarán contenedores LUKS, que facilitará la recuperación de datos en caso de que se necesite abrirlos desde Windows o una nueva instancia de Deepin. Además, Deepin 25 no tiene incorporado opciones para abrir las cuentas de forma nativa (tal como ocurría con las cuentas creadas por ecryptfs). Los usuarios no pueden eliminar directamente en el centro de control, debes usar el comando homectl y el tipo de orden que encontrarás en la fuentes.

Un detalle importante es el tipo de almacenamiento. Este sistema suele crear un «contenedor» que ocupa demasiado espacio de almacenamiento, en especial con discos SSD. Es por lo cual que se usan los comandos adicionales --luks-discard=true --luks-offline-discard=true. Debido a que el sistema suele estar un espacio determinado de almacenamiento, puedes probar reasignando el contenedor a su máxima capacidad con homectl resize [nombredeusuario] max (más detalles en Github: 1 y 2). El contenedor nunca ocupará toda la partición de Deepin, ya que se debe dejar espacio para software y actualizaciones.

En el caso de Distrobox, se reportó que para crear contenedores es necesario configurar por separado los archivos de configuración etc/subuid y etc/subgid y ejecutar con podmansystem migrate (fuente: Github). Si necesitas puedes ejecutar los comandos sudo usermod --add-subuids 524288-65536 [nombredeusuario] y sudo usermod --add-subgids 524288-65536 [nombredeusuario]. Por desgracia, no puedes realizar esta modificación en esa cuenta de usuario, deberás realizar desde una cuenta de respaldo para que los resultados sean los deseados.

Adicionalmente tenemos a:

• LUKS: Sí, también para cifrado completo en disco. Disponible al instalar el sistema operativo desde cero. También puedes crear por separado con ayuda de ZuluCrypt. Ten en cuenta que no tiene un mecanismo de cifrado diferente, por lo que puede ralentizar el equipo.
• VeraCrypt: Este programa multiplataforma ofrece cifrado de particiones con opción de ocultado. Es una opción más certera y sencilla de aplicar, pues cifrará una partición aparte (resultando útil para cifrar documentos pero no la caché de algunos programas).
• fscrypt: Solución de Google para cifrar carpetas. La documentación para cifrar archivos home está en esta web. Requiere de conocimientos técnicos ya que se ejecuta en la terminal.

Lectura adicional#

• Wiki de Debian
• ecryptfs