¿Hay alguna manera de hacer que mi disco duro sea inaccesible para todos menos para mí?


63

Permítanme contarles primero una historia de respaldo: un técnico informático me retó a darle mi computadora portátil y pedirle cualquier información que quisiera "ocultar" en mi disco duro. Afirmó que sería capaz de recuperar cualquier cosa, no importa lo que haga para ocultarlo.

Como no aprecio declaraciones absolutas como: "y no hay nada que puedas hacer al respecto", comencé a pensar en esto en mi cabeza. Me di cuenta de que un sistema operativo muy seguro no lo cortaría, ya que no necesita arrancar desde este disco duro específico para encontrar cosas en mi disco duro.

La pregunta genérica aquí es:

¿Hay alguna manera de proteger completamente todos los datos en un disco duro? (No necesito una explicación detallada sobre cómo hacerlo, solo necesito que me señales una dirección; puedo leer más al respecto)

Específicamente, sospecho que puedo necesitar:

  • Un sistema operativo que es muy seguro y posiblemente encripta todos los datos que almacena (ni idea si tal cosa existe).

  • Si lo anterior no existe, ¿hay alguna forma de cifrar manualmente los datos en mi disco duro y aún así poder arrancar desde ese disco duro?

En general, quiero que el disco duro sea lo menos accesible posible para cualquier persona que no sea yo (= conoce una contraseña / clave específica), por lo que cualquier solución es bienvenida.


35
Cifre y requiera una contraseña segura o una clave de cifrado que tenga en una memoria USB para descifrar. Acaba de perder el juego. Probablemente podría crear un archivo RAR protegido con contraseña con una contraseña segura. Lamento decirlo, pero puedo oler su ingenua actitud adolescente desde aquí.
Daniel Andersson

66
¡Es un truco! Si vale la pena que lo llamen técnico en informática, entonces probablemente solo quiera preparar algunas bromas


3
implantarlo en su cuerpo y hacer que vibre incómodamente cuando está en uso ...
Ratchet Freak

3
Dale una computadora portátil con datos de disco duro completamente al azar y desafíalo a encontrar el mensaje secreto escondido dentro. Si puede derivar un mensaje de esta secuencia de bits y alguna clave secreta, esto es técnicamente cifrado (factible con OTP y cualquier cifrado de secuencia), y tiene la ventaja de ser algo resistente a la citación, ya que puede mantener una clave ficticia que descifrará a algo inofensivo.
Thomas

Respuestas:


66

Es suficiente para cifrar los archivos más sensibles. Un archivo ZIP cifrado con AES de 256 bits y una buena contraseña larga es casi imposible de acceder sin la contraseña. (Evite usar el cifrado ZIP heredado conocido como cifrado de flujo PKZIP / ZipCrypto; se sabe que es débil).

También es posible encriptar una partición completa, ocultando todo en ella. Truecrypt es una especie de programa estándar de facto para el cifrado de particiones / imágenes en el hogar (y algunos negocios). Probablemente lo mejor de Truecrypt en comparación con las herramientas integradas en el sistema operativo es que es portátil : hay una versión para Windows, Mac OS X y Linux, que constituye la gran mayoría de los sistemas operativos de consumo.

Si desea ocultar todo , puede cifrar todas las particiones de su sistema, incluida la que inicia. No es posible leer datos de una unidad encriptada sin conocer la contraseña / clave. La cosa es que el sistema operativo Windows no siempre admite el arranque desde un disco duro cifrado. * Truecrypt tiene lo que llama cifrado del sistema . Lo han resumido bastante bien:

El cifrado del sistema implica la autenticación previa al arranque, lo que significa que cualquier persona que desee obtener acceso y usar el sistema cifrado, leer y escribir archivos almacenados en la unidad del sistema, etc., deberá ingresar la contraseña correcta cada vez que Windows se inicie (se inicia ) La autenticación previa al arranque es manejada por TrueCrypt Boot Loader, que reside en la primera pista de la unidad de arranque y en el Disco de rescate TrueCrypt.

Por lo tanto, el cargador de arranque Truecrypt se cargará antes de su sistema operativo y le pedirá su contraseña. Cuando ingrese la contraseña correcta, cargará el gestor de arranque del sistema operativo. El disco duro está encriptado en todo momento, por lo que incluso un CD de arranque no podrá leer ningún dato útil.

Tampoco es tan difícil cifrar / descifrar un sistema existente:

Tenga en cuenta que TrueCrypt puede cifrar una partición / unidad del sistema no cifrada existente en el lugar mientras el sistema operativo se está ejecutando (mientras el sistema se está cifrando, puede usar su computadora como de costumbre sin ninguna restricción). Del mismo modo, una partición / unidad del sistema cifrada con TrueCrypt se puede descifrar en el lugar mientras el sistema operativo se está ejecutando. Puede interrumpir el proceso de cifrado o descifrado en cualquier momento, dejar la partición / unidad parcialmente sin cifrar, reiniciar o apagar la computadora y luego reanudar el proceso, que continuará desde el punto en que se detuvo.


* Varios otros sistemas operativos admiten el cifrado de la unidad del sistema. Por ejemplo, Linux kernel 2.6 y versiones posteriores tienen dm-crypt , y Mac OS X 10.7 y versiones posteriores tienen FileVault 2 . Windows tiene dicho soporte con BitLocker , pero solo en las ediciones Enterprise / Business / Server, y solo en Vista y versiones posteriores. Como se indicó anteriormente, Truecrypt es más portátil, pero a menudo carece de la integración necesaria para cifrar las unidades del sistema, siendo Windows la excepción.


44
La verdadera cripta es lo que he usado y estoy muy contento con ella
Rippo

44
Una advertencia al cifrar una unidad no cifrada existente: si es de estado sólido, es posible que no se vuelva a escribir en los mismos sectores, porque los varía para extender la vida útil del disco. Por lo tanto, los datos en una unidad de estado sólido solo son seguros si se cifraron desde el principio.
Nathan Long

13
"La cosa es que la mayoría de los sistemas operativos no admiten de forma nativa el arranque desde un disco duro cifrado". Eso no es ni remotamente cierto. Windows tiene BitLocker , Mac tiene FileVault 2 .
josh3736

99
@ Josh: Esos son los sistemas operativos con más usuarios, no la mayoría de los sistemas operativos.
Ben Voigt

66
@BenVoigt, es un argumento un poco ridículo. "Claro, los sistemas operativos que se utilizan en 3/4 de los escritorios admiten de forma nativa FDE, ¡pero BeOS no lo hace!"
josh3736

51

Una frase: cifrado de disco completo, preferiblemente con una clave agradable, larga y sin diccionario. También puede mirar los sistemas que hacen esto con un archivo de claves externo. Básicamente, dado que todo el sistema, excepto el gestor de arranque, está encriptado, salvo un ataque de acceso directo a la memoria , es decir, use un FireWire u otro dispositivo que tenga DMA para obtener contenido de la memoria y / o use un ataque de arranque en frío para obtener información. Hacer esto es simple: solo asegúrese de que el sistema esté apagado y de que la batería se haya retirado justo antes de entregar el sistema. Si es solo un disco duro, ambos ataques son improbables

Probablemente solo le daría una oportunidad a TrueCrypt, usaría una contraseña MUY larga y aleatoria (la longitud hace que la fuerza bruta sea más difícil y la aleatoriedad evita un ataque de diccionario), y dejarlo ir a la ciudad con ella. Alternativamente, algunas versiones de Windows tienen Bitlocker, que es una opción fuerte de FDE integrada en Windows. Del mismo modo, hay soluciones para Linux como luks y dmcrypt.

O llene un disco con datos aleatorios ... y vea cuánto tiempo antes de que lo descubra;)


70
+1 O llenar un disco con datos aleatorios. oh sí
Tog

1
Ah, datos aleatorios: D Al igual que ese bit en Cryptonomicon (no se incluye una referencia más detallada porque estropearía uno de los bits divertidos ...)
tanantish

14

No caigas en trucos como "dame la contraseña para que pueda verificar los resultados".

Una conferencia de seguridad a la que fui pedí contraseñas al principio. A mitad de camino y el presentador dijo que el mayor riesgo de seguridad es USTED, ya que la mayoría de las personas habían dado su contraseña de forma débil.

(Y sí, solo encripte los datos relevantes).



9

Estoy de acuerdo con la otra respuesta TrueCrypt. Sin embargo, tengo un punto importante que agregar: la característica de negación plausible de TrueCrypt. Lo que eso significa es que TrueCrypt no deja ninguna firma identificable positivamente en los discos / archivos que encripta. Por lo tanto, nadie puede probar si un conjunto de bits en el disco son bits aleatorios o datos cifrados. Esto es tan importante que tuvo implicaciones en un caso judicial reciente.


Me interesaría saber qué caso judicial fue ese.
Chad Harrison el

3
Aquí está el enlace ca11.uscourts.gov/opinions/ops/201112268.pdf Gist: los usuarios de TrueCrypt no pueden ser obligados a divulgar sus contraseñas. Se aplica la quinta enmienda.
slowpoison

7

Muchas de las respuestas publicadas son buenas respuestas.

Como complemento, es posible que desee ver un asincrónicoherramienta de cifrado asimétrico como GnuPG . Es un poco más complicado que cifrar dentro de un archivo ZIP porque se trata de claves públicas y privadas . Creo que podría haber oído hablar de algunas universidades en Europa que descifran este tipo de cifrado con circunstancias muy especiales. Todavía querría poner las contraseñas y las claves en una unidad USB, o en otro lugar que no sea la unidad que le dará al retador.

Además, una vez un profesor me dijo que si quería algo absolutamente oculto, vuelva a cifrar el archivo cifrado con un nuevo conjunto de claves. De esa manera, si el cifrado de primer nivel se descifra de alguna manera, el atacante no lo sabría porque todo aún parecería cifrado.

Espero que esto ayude.


44
"Una vez un profesor me dijo que si querías algo absolutamente oculto, vuelve a cifrar el archivo cifrado con un nuevo conjunto de claves". está mal para la mayoría de los criptosistemas. Considere ROTn. Cifrado ROTn (ROTm (x)) = ROT {m + n} (X). El atacante ni siquiera se dará cuenta de que hiciste ROTn (ROTm (x)), sino que tratará de descubrir directamente m + n. No hay seguridad adicional.
emory

1
@emory Interesante de notar. Supongo que los profesores también son personas. Creo que entiendo a qué te refieres. Lo comprobaré.
Chad Harrison

GnuPG no es asíncrono, es asimétrico (en su modo predeterminado). También es compatible con el cifrado convencional (simétrico, de la misma clave).
un CVn

3
Además, me imagino que el profesor se refería a los algoritmos de cifrado un poco más sofisticados que los simples cifrados de sustitución. Si toma un texto sin formato P, luego encripte con (digamos) AES primero con la clave K1 y luego encripte el texto cifrado resultante con AES y una clave diferente K2 ( C = AES( AES(P,K1), K2 ), K1 ≠ K2) el texto cifrado resultante no tendrá ninguna semejanza con, digamos, la salida de AES (AES (P, K2), K1) (inversión del orden de las teclas). Esta propiedad no es válida para cifrados de sustitución simples como ROTn.
un CVn

@ MichaelKjörling Gracias por la corrección en asimétrica. Sabía que era algo , y a veces me cuesta recordarlo. ;)
Chad Harrison

6

Es interesante que muchas personas tengan que poner la palabra hide entre comillas, ya que parecen saber que en realidad no se oculta nada en sus sugerencias. Me pregunto si ese técnico informático levantó las manos en el aire e hizo los movimientos de las manos asociados con las comillas cuando también dijo "ocultar".

Lo dudo. Si bien el cifrado de cosas puede impedir el acceso, tener un archivo zip cifrado en su escritorio llamado "Nothing_to_see_here.zip" en realidad no oculta nada.

Algunas computadoras portátiles vienen con la capacidad de proteger con contraseña la unidad, donde una vez que se habilita a través de la BIOS, tiene dos opciones ... ingrese la contraseña o formatee la unidad. Dell es una de esas compañías que incluye esta función. Okay. TAMBIÉN puede llamar a Dell después de haber ingresado la contraseña incorrecta 3 veces, y puede darles el código de desafío presentado en su pantalla y le darán el código de respuesta para omitir la contraseña ... pero también cobran por ese servicio Si su garantía ha expirado. De nuevo ... esto no está ocultando nada.

Hay un mundo de diferencia entre permitir que alguien acceda a una habitación para que pueda buscar algo oculto (oculto) y simplemente impedir que ingresen por completo (cifrado).

Como no aprecio declaraciones absolutas como: "y no hay nada que puedas hacer al respecto"

No. No te gustó que este técnico te dijera esencialmente que él sabía algo que tú no y / o que él era mejor que tú en algo. Es por eso que inmediatamente trató de pensar en cómo mejorar a este técnico, en lugar de darse cuenta de que lo que estaba diciendo no significa nada! No te habría lastimado en lo más mínimo haber admitido allí mismo y que tal vez él podría ENCONTRAR cualquier archivo que hayas OCULTADO. Por supuesto, habría necesitado que definiera lo que significa esconderse en este contexto ... ya que (nuevamente) parece que "oculto" aparentemente significa cosas diferentes para diferentes personas. De todos modos, su problema con su desafío no tiene nada que ver con su jactancia, y todo lo que tiene que ver con su incapacidad para aceptar la posibilidad de que él sea realmente mejor que usted en algo. Por eso no puedes dejar el desafío solo. Es por eso que no aprecias declaraciones absolutas como esa. Porque la verdad es que hay momentos en los que sucederán cosas en tu vida y NO HABRÁ NADA QUE PUEDAS HACER AL RESPECTO.

¿Quiere una manera de evitar que se encuentren los archivos a los que accede regularmente? Manténgalos fuera de su computadora. ¿Qué hay sobre eso? Guárdelos en una unidad flash. Luego, puede mantener los archivos en su persona en todo momento, y nadie puede acceder a su computadora portátil para obtenerlos cuando no está cerca de su computadora portátil. ¿Quién hizo la estúpida regla de que todos sus archivos deben permanecer en su computadora portátil en todo momento? No estoy hablando de esta técnica de jactancia infantil y del juego en el que hayas convertido esto. Una vez que cifre el archivo, o lo oculte en una imagen, o lo quite de su computadora en una unidad flash, entonces su juego habrá terminado. ¿Por qué? Porque no definiste los parámetros de este desafío ... y puedo adivinar cuáles son.

  • El archivo tiene que estar accesible en algún lugar.
  • Debe desempeñar el papel del tonto ignorante que cree que solo pegar un archivo en algún directorio fuera de lo común es el grado de poder ocultarse.

Una vez que te alejas de cualquiera de estos, el juego ha terminado y "no entendiste lo que quería decir".


44
¿Pero si pierde la unidad flash o la deja en alguna parte? Oh querido ... Por cierto, dijo ocultar información , no archivos ... diferencia sutil, ya que la información cifrada está esencialmente oculta. Y es teóricamente posible romper cualquier cifrado.
Bob

1
Alguien dice que puedo encontrarte en cualquier lugar donde te escondas si jugamos a las escondidas ... y esto te molesta tanto que tienes que cambiar el juego a TAG donde necesitan tocarte para ganar. ¿Qué pasa si su disco duro se bloquea ... Oh querido. Y la información cifrada está bloqueada, no oculta. Si necesita una llave, está bloqueada. Si encontró el archivo encriptado, ¿eso significa que encontró la información? ¿Alguna vez dijo que tenía que poder VER la información, o simplemente ENCONTRARLA?
Bon Gart

3
Una pieza de información! = Un archivo. La información se obtendría leyendo el contenido de un archivo. Tener el archivo pero no poder leerlo significa que la información en su interior aún está oculta.
Yamikuronue

Entiendo que usted y Bob sienten que "información" no es igual a "archivo". Dime. ¿Qué pensaba exactamente el técnico informático en esta pregunta que significaba información? ¿Quiso decir "archivo"? ¿Iguala los dos? No necesitas super cifrado. Simplemente podría dividir esta "información" en pequeños fragmentos, convertirla en hexadecimal y crear directorios en C: \ Windows llamados esos fragmentos hexadecimales. Si los convierte en 32 caracteres, parecerán directorios normales. Solo usted sabe que si traduce los nombres, tiene su información.
Bon Gart el

Pero dado que el TÍTULO de la pregunta es "¿Hay alguna manera de hacer que mi disco duro sea inaccesible para todos menos para mí?" entonces para el propósito de esta discusión, la información ES IGUAL al archivo.
Bon Gart el


3

Utilizo unidades virtuales TrueCrypt que están protegidas por contraseñas muy largas y archivos de claves almacenados en un usb. También inicio tiempos de espera en unidades virtuales abiertas cuando la actividad está ausente durante un tiempo determinado. He estado usando este tipo de seguridad durante años. Proceso bases de datos muy grandes dentro de esas unidades virtuales sin ningún problema de rendimiento.


¿Está utilizando una CPU con soporte de hardware para AES, como Intel Sandy Bridge?
drxzcl

2

Ubuntu proporciona el cifrado de la unidad de inicio que es bastante seguro. Tuve que luchar para recuperar mis propios datos a pesar de que conocía mi propia clave. Aquí se puede encontrar información sobre el cifrado de la unidad de inicio :


2

El cifrado es inútil contra citaciones y / o torturas. Todo lo que la tecnología informática tiene que hacer es alegar, quizás de forma anónima, que el archivo que Nothing_to_see_here.zip está lleno de porno infantil. El FBI lo tomará de su tienda y exigirá la contraseña. Él les dirá que es su computadora.

Habrá algunas maniobras legales. Acabarás en la cárcel o quedarás libre. De cualquier manera, la tecnología informática ha aprendido algo interesante sobre su archivo secreto.

Alternativamente, podría alegar algún problema con la computadora portátil que necesita una reparación de $ x. Su autorización o falta de autorización de la reparación le dirá algo sobre el valor económico de Nothing_to_see_here.zip para usted.


2
Parece que la quinta enmienda en los EE. UU. Podría protegerlo de no dar su contraseña fuera de thebeltway.com/… esta menciona específicamente TrueCrypt privacycast.com/…
Matthew Lock

2

Luego tome el desafío, alguien ya le dijo, cree un archivo, coloque el archivo que desea "ocultar" dentro de un archivo RAR o 7-Zip , con encriptación completa para que no pueda verificar qué archivos están dentro del archivo comprimido. Use una contraseña segura con números, alfabeto y símbolos. Luego borre el archivo original con alguna herramienta como Secure Delete (o una herramienta similar).

Hecho, ahora no puede hacer casi nada que hacer.


2

Si desea el más alto nivel de seguridad, algo que incluso los gobiernos no pueden obligarlo legalmente a abordar, consulte TrueCrypt . Con TrueCrypt puedes convertir el espacio vacío en una partición montada. Como tal, si se inspecciona el sistema, debería verse como encabezados de datos antiguos, algo que vería en cada disco duro que haya eliminado datos. Dado que no hay evidencia de datos utilizables, legibles o recuperables, no está legalmente obligado a proporcionar acceso a dichos datos. También utiliza contraseñas cifradas de muchos niveles y un rendimiento sustancial también.

Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.