HV blog

Sindicacion RSS :: Escuchar Musica mientras nos lees

Me ha dado por armar y me he puesto a ver como se pueden encriptar particiones… pero se me ha ocurrido algo mejor: como encriptar una pequeña partición en un USB portátil para poder meter ahí todo lo que quieras y que sea absolutamente imposible que nadie (bueno, lo mismo los de la NSA, pero vamos, en españa ni creo que puedan) pueda ver lo que hay dentro. eso si, dejando otra particion grande sin encriptar para usar el usb de cualquier otra forma, para dejarselo a quien sea, para pasarse archivos unos a otros…lo que sea.

Nota : El autor de este post, inmotra, está en New Orleans y su ordenador ha sido comprado en EEUU y no tiene ñ. Tampoco tiene acentos, asi que perdonad las abundantes patadas al diccionario.

estoy siguiendo la web:

http://www.howtoforge.com/ubuntu_dm_crypt_luks
y
http://ubuntu-tutorials.com/2007/08/17/7-steps-to-an-encrypted-partition-local-or-removable-disk/

en esta ultima viene todo perfectamente en 7 pasos

venga, ahi va la explicacion de como hacerlo:

Primero hacer una copia de seguridad de todo lo que haya dentro con cp, eso antes que nada

luego instalar las herramientas necesarias y cargar los modulos del kernel:

$ sudo aptitude install cryptsetup hashalot

para poner los modulos:

$ sudo modprobe aes
$ sudo modprobe dm-crypt
$ sudo modprobe dm-mod

y meterlos en /etc/modules para que se carguen siempre (a no ser que seas un paranoico del copon y no quieras que esten cargados por alguna extrania razon… que entonces es mejor cargarlos cada vez que los vas a usar):

$ sudo vim /etc/modules

vete al final y aniades esos 3, es decir, 3 lineas que sean:

aes
dm-crypt
dm-mod

cuidado con ese ultimo xq en el link que he puesto el dm-mod viene con guion bajo pero es un guion normaldesmontar el usb:sudo umount /dev/sdb (en mi caso, en el tuyo donde este puesto, si es q esta puesto)borrar la particion y crear dossudo fdiskp   (para imprimir, si hay una sola particion entonces mira el numero y borra esa, si hay varias probablemente sepas el xq y puedas elegir la que quieras quitar)d<num>    (el numero de la particion que quisieras borrar)

n
p
1

   a la primera pregunta no respondas, a la segunda ponle +numMB, donde num es el numero de megas de la particion (1000 es un giga). esta sera la particion "publica" sin encriptar, el espacio restante sera el de la encriptada

n
p
2

enter, enter , a las dos preguntas

ten en cuenta que la segunda particion tiene que tener por lo menos 256 sectores, sino no te va a funcionar el invento

ahora a borrar todos los datos que hubiera todavia en el disco duro para que no puedan recuperarse mas que con microscopios electronicos y metodos estadisticos para ver que bit era cada cosa que tienen en los de la NSA (eso segun nuestro amadisimo profesor de seguridad)… pero vamos, para nuestro proposito creo que es suficiente, espero no estar ayudando a ningun terrorista a guardar los planes de nada en su usb..
para hacer eso:

$ sudo dd if=/dev/random of=/dev/sdb2 (en mi caso sdb2, pero va cambiando si quitas el usb y lo vuelves a poner, asi que hay q mirarlo bien a la hora de hacerlo)

cuidadin con no confundirse de particion que si borras algo asi no lo recuperas ni pagando todo lo que puedas pagar…
por cierto que tarda un bueeeeeeeeeeeeeeeeeeeen rato en hacerlo. unas cuantas horas normalmente, depende de lo grande que sea la particion que quereis limpiar. yo personalmente me aburri despues de hora y algo y solo habia grabado 16Kb… asi que va para muuuuy largo. casi es mejor hacer toda la movida y luego meter el archivo mas grande que entre y borrarlo despues, como esta encriptado el resultado sera informacion "aleatoria" no susceptible a ataques estadisticos o de cualquier otro tipo (vamos, eso si nos fiamos de que el algoritmo usado por las herramientas estas sea bueno, que hemos de suponer que si)

lo que hace el dd es llenar la particion con la informacion que salga de /dev/random, que es el generador de numeros aleatorios de linux. asi estara poniendo 0 y 1's a discreccion sin ningun orden, dejando ilegible lo que habia debajo. cuando se borra un fichero lo unico que se hace es dejar de referenciarlo en el disco, con lo cual no lo puedes encontrar, pero sigue estando ahi. alguien que sepa como buscarlo lo puede llegar a encontrar facilmente

esto es solo para la primera vez, es para darle formato a la particion:

$ sudo partprobe        (para que el kernel reconozca las nuevas particiones)

$ sudo cryptsetup luksFormat /dev/sdb2 -c aes -s 256 -h sha256
$ sudo cryptsetup luksOpen /dev/sdb2 CRYPTO
(vosotros el que sea, dadle al tabular dos veces para saber cuales son los posibles y poned el que os toque)
$ sudo mke2fs -j /dev/mapper/CRYPTO -L CRYPTO

y ya que estamos, formateamos tambien la otra con fat (para poder leerlo desde windows), no es un formato que a mi me encante, pero es el que menos problemas da a la hora de usar el USB en cualquier sitio:

$ sudo mkfs.vfat /dev/sdb1  (si es que habeis seguido las instrucciones que os he puesto, elegid en vez de la "b" la que os toque a vosotros)

vale, ya esta todo listo, ahora lo mejor sera que lo desmontes todo y uses los scripts de mas abajo para montar/desmontar. coge el de desmontar y ejecutalo. luego el de montar, ejecutalo y listo, ya lo tienes funcionando.

Script para montar y otro para desmontar:

$ sudo gedit mount.sh    (yo no uso gedit, pero lo mismo os gusta mas, personalmente lo he hecho con mi amado vim)

#!/bin/sh
sudo cryptsetup luksOpen $1 CRYPTO
sudo mkdir /media/CRYPTO
sudo mount /dev/mapper/CRYPTO /media/CRYPTO

para ejecutarlo:

$ sudo sh mount.sh /dev/sdb2

vale, ahora prestad atencion. no siempre es sdb2, va cambiando cada vez que enchufas el USB al ordenador, asi que unas veces puede ser sdb2, otras sde2, sdf2…o lo que sea. para saber cual es escribid el comando y /dev/sd entonces dadle dos veces al tabulador y saldran las posibilidades. pues descartad las que conozcais y quedaos con las que sepais que es (si veis una que tiene mas de 2 particiones obviamente no va a ser

para desmontarlo usad este script:

$ sudo vim umount.sh

#!/bin/sh
sudo umount /media/CRYPTO
sudo cryptsetup luksClose CRYPTO
sudo rmdir /media/CRYPTO

para ejecutarlo:

$ sudo sh umount.sh

y listo !!

cuando enchufeis el USB al ordenata dadle a cancelar al cuadro de dialogo que puede que os salga diciendo: este volumen esta encriptado, introducir la clave (o algo por el estilo), si poneis la clave ahi hara como que todo va bien, pero en realidad no lo montara bien (vamos, a mi no me lo monta bien) y parecera que el USB esta vacio… asi que no hacer eso

usad los 2 scripts estos y todo ira como la seda.

para copiar cosas:

$ sudo cp loquesea /media/CRYPTO

se necesitan permisos de root para meter cosas. se pueden cambiar los permisos de /media/CRYPTO  para que solo root pueda leer o moverse por los directorios/ejecutar cosas. si haceis esto ya es lo mas seguro que podeis tenerlo, xq necesitareis primero la clave del USB y permisos de root para montarlo y luego permisos de root para leer/escribir, con lo cual aunque dejeis el ordenador en una sala llena de gente nadie os podra robar las fotos de vuestra novia/novio/madre/loquesea

Advertencias:

para encriptar y desencriptar se necesita tiempo, asi que cuidadin con los archivos que meteis. podeis tiraros un rato laaargo laaargo para meter algo de unos cuantos gigas… pero si lo haceis esperad, xq aunque se quede como pegado si que lo estara copiando

si usais esto para almacenar cosas ilegales yo no quiero saber nada, ni os he dado ideas ni nada. esto es solo para armar y aprender a hacer cosas interesantes.

si estais en estados unidos cuidadin que lo de encriptar cosas a veces esta un poco mal visto y puede que los del gobierno, si sospechan que teneis movidas raras ahi dentro, se enfaden un poco jejeje

y recordad que todo esto depende de la clave que pongais, asi que usad una de por lo menos 8-10 caracteres alfanumericos y simbolos, mi clave es:

jajajajajajajajajaja, pero estamos tontos ?

Technorati Tags: Linux, Ubuntu, USB, encriptar, seguridad, tecnología

Compártelo