Re: Alternativas para sistemas de archivos cifrados
On Sat, 2011-03-26 at 21:45 -0300, Daniel Serpell wrote: El Fri, Mar 25, 2011 at 03:28:47PM -0700, Germán Póo-Caamaño escribio: [...] Pensé en usar dm-crypt, porque crea una dispositivo sobre el cual monto un sistema de archivos, pero he visto casos inversos, como ecryptfs (al parecer, 'popular' en Ubuntu). Lo que no me convence de ecryptfs es que guarda metadatos por archivo, y si entiendo bien, si copias el archivo desde un host a otro, permanece cifrado, lo cual puede ser bueno y malo (no me convence aún). En realidad no, la que pasa es que, como explicó Aldrin, puedes ver el archivo cifrado en tu sistema de archivos normal. Pero cuando accedes, lo haces a travez del punto de montaje de ecryptfs, por lo que vez el archivo plano. En mi caso, no encripto mi home completo, ya que tengo mucha basura que no me interesa encriptar. Tengo una carpeta llamada Private que se monta al iniciar la sesión y se desmonta al salir. Esto tiene el problema de que si alguien accede a tu sesión abierta, puede copiar los archivos encriptados, por lo que es necesario tener cuidado al respecto. Para encriptar las cosas importantes, tengo varios enlaces simbólicos en mi home para .config, .mozilla, Mail y Documents, hacia carpetas con el mismo nombre dentro de Private. El resto de las cosas, las copio a mano. Por ejmplo, tengo mis repositorios de mercurial dentro de Private. En el fondo tienes 2 home. Analizaré la situación, a primera vista significan varios ajustes. Hace tiempo que no instalo Linux, si hago cambio de equipo o disco, simplemente copio el contenido al disco nuevo, ajusto grub y ya está. Eso hace que mi estructura de directorios es persistente y que mis respaldos son copia del contenido. Es por ello que podría requerir varios ajustes (costumbre, respaldos, sincronización). Con respecto a la sesión abierta, es algo totalmente manejable. Se trata de un equipo que no está en mi poder y que sólo accedo en ciertos períodos. No hay otras cuentas. Pero me interesa proteger los datos cuando no estoy. Recomendaciones/experiencias? En el caso de ecyptfs, es cosa de instalar ecryptfs-tools y luego ejecutar ecryptfs-setup-private, así de facil. Gracias! -- Germán Póo-Caamaño http://www.calcifer.org/
Re: Alternativas para sistemas de archivos cifrados
On Tue, 2011-03-29 at 11:31 -0300, Daniel Serpell wrote: Hola, El Mon, Mar 28, 2011 at 04:20:15PM -0400, Aldrin Martoq escribio: On Mar 27, 2011, at 8:05 PM, Victor Hugo dos Santos wrote: 2011/3/25 Aldrin Martoq amar...@dcc.uchile.cl: En OS X había encriptado mi $HOME completo cuando llevé el tarro a servicio técnico (se puede encriptar/desencriptar en línea si tienes un poco de espacio libre y harta paciencia). Pero una vez que volvió le quite el $HOME encriptado, lo encontraba muy lento. ... raro.. la verdad es que no veo tanta diferencia entre estar cifrado o no mi HOME al menos comparando al ojo manana voy hacer una prueba con time para ver cuando tiempo se demorar en abrir algunos programas en un sistema cifrado y otro no. Estaba editando video y estaba notoriamente más lento. El disco es lo más lento de mi tarro actual, he pensado seriamente migrar a SSD. En mi experiencia con ecryptfs, lo que es sustancialmente más lento es el acceso a los metadatos de los archivos, por ejemplo al hacer ls en un directorio grande. Esto es debido a que, en vez de guardarse en el inodo del archivo, se guardan junto con los datos de cada archivo, encriptados, por lo que es necesario un seek para cada acceso a metadatos. [...] Donde más noto la diferencia en el día a día es en el uso de un DVCS, ya que tienen la costumbre de verificar las marcas de tiempo de todos los archivos para detectar si hay algún cambio antes de hacer diff, commit, etc. Ese es precisamente una de las cosas que me hicieron dudar de ecryptfs. Y me imagino que hacer un respaldo con rsync/rdiff-backup podría ser lento también. -- Germán Póo-Caamaño http://www.calcifer.org/
Re: Alternativas para sistemas de archivos cifrados
On Fri, 2011-03-25 at 21:10 -0300, Aldrin Martoq wrote: On Mar 25, 2011, at 7:28 PM, Germán Póo-Caamaño wrote: Estuve revisando sistemas de archivos cifrados/encriptados, y me encontré con más opciones con respecto a la última vez que le había echado una mirada. Así que me pregunto si algunos de ustedes tiene alguna experiencia con uno o varios que pueda compartir. Mi idea es solamente /home. Desde hace un tiempo he usado encfs para cifrar directorios, pero no son de uso frecuente y no me apetece para montar /home completo (puede ser un prejuicio mío). Es más bien para guardar información que requiero acceder pocas veces. En ubuntu instalé cryptkeeper, un applet que hace fácil y bonito usar ecryptfs. Con eso tengo una carpeta encriptada, la cual abro de vez en cuando para guardar cosas y la cierro. ¿Estas seguro que es ecryptfs y no encfs? Por lo que veo en http://tom.noflag.org.uk/cryptkeeper.html trabaja con encfs y no ecryptfs. De todas formas, el dato igual me sirve (no para la situación planteada), pero si para otros casos. [...] Usando ecriptfs tienes una carpeta encriptada donde hay un archivo/directorio espejo de cada archivo/directorio real. Puedes saber cuántos archivos/directorios y hay y su estructura, pero no su nombre o el contenido. Por ej: $HOME/crypted/.prueba_encfs que se monta en $HOME/crypted/prueba. Si creo un archivo 'hola.txt' dentro de una carpeta 'mundo', esto es lo que aparece: Esto huele a encfs :-) Actualmente uso encfs para un directorio también :-) Pero me interesa cifrar mi $HOME. -- Germán Póo-Caamaño http://www.calcifer.org/
Re: Alternativas para sistemas de archivos cifrados
Hola, El Mon, Mar 28, 2011 at 04:20:15PM -0400, Aldrin Martoq escribio: On Mar 27, 2011, at 8:05 PM, Victor Hugo dos Santos wrote: 2011/3/25 Aldrin Martoq amar...@dcc.uchile.cl: En OS X había encriptado mi $HOME completo cuando llevé el tarro a servicio técnico (se puede encriptar/desencriptar en línea si tienes un poco de espacio libre y harta paciencia). Pero una vez que volvió le quite el $HOME encriptado, lo encontraba muy lento. ... raro.. la verdad es que no veo tanta diferencia entre estar cifrado o no mi HOME al menos comparando al ojo manana voy hacer una prueba con time para ver cuando tiempo se demorar en abrir algunos programas en un sistema cifrado y otro no. Estaba editando video y estaba notoriamente más lento. El disco es lo más lento de mi tarro actual, he pensado seriamente migrar a SSD. En mi experiencia con ecryptfs, lo que es sustancialmente más lento es el acceso a los metadatos de los archivos, por ejemplo al hacer ls en un directorio grande. Esto es debido a que, en vez de guardarse en el inodo del archivo, se guardan junto con los datos de cada archivo, encriptados, por lo que es necesario un seek para cada acceso a metadatos. En tu caso, supongo que reemplazando el disco por un SSD debería hacerse mucho más rápido, pero nunca tan rápido como un sistema de archivos tradicional, ya que en ellos se puede leer varios inodos al leer un bloque del disco. Donde más noto la diferencia en el día a día es en el uso de un DVCS, ya que tienen la costumbre de verificar las marcas de tiempo de todos los archivos para detectar si hay algún cambio antes de hacer diff, commit, etc. Daniel.
Re: Alternativas para sistemas de archivos cifrados
2011/3/29 Daniel Serpell dserp...@gmail.com Hola, El Mon, Mar 28, 2011 at 04:20:15PM -0400, Aldrin Martoq escribio: On Mar 27, 2011, at 8:05 PM, Victor Hugo dos Santos wrote: 2011/3/25 Aldrin Martoq amar...@dcc.uchile.cl: En OS X había encriptado mi $HOME completo cuando llevé el tarro a servicio técnico (se puede encriptar/desencriptar en línea si tienes un poco de espacio libre y harta paciencia). Pero una vez que volvió le quite el $HOME encriptado, lo encontraba muy lento. ... raro.. la verdad es que no veo tanta diferencia entre estar cifrado o no mi HOME al menos comparando al ojo manana voy hacer una prueba con time para ver cuando tiempo se demorar en abrir algunos programas en un sistema cifrado y otro no. Estaba editando video y estaba notoriamente más lento. El disco es lo más lento de mi tarro actual, he pensado seriamente migrar a SSD. En mi experiencia con ecryptfs, lo que es sustancialmente más lento es el acceso a los metadatos de los archivos, por ejemplo al hacer ls en un directorio grande. Esto es debido a que, en vez de guardarse en el inodo del archivo, se guardan junto con los datos de cada archivo, encriptados, por lo que es necesario un seek para cada acceso a metadatos. En tu caso, supongo que reemplazando el disco por un SSD debería hacerse mucho más rápido, pero nunca tan rápido como un sistema de archivos tradicional, ya que en ellos se puede leer varios inodos al leer un bloque del disco. No se mucho del tema, pero Kingston va a sacar la 3 generacion de discos rigidos con un perfomance promedio de 450MB por segundo. Quizá eso ayude bastante. Donde más noto la diferencia en el día a día es en el uso de un DVCS, ya que tienen la costumbre de verificar las marcas de tiempo de todos los archivos para detectar si hay algún cambio antes de hacer diff, commit, etc. Daniel.
Re: Alternativas para sistemas de archivos cifrados
On Mar 27, 2011, at 8:05 PM, Victor Hugo dos Santos wrote: 2011/3/25 Aldrin Martoq amar...@dcc.uchile.cl: En OS X había encriptado mi $HOME completo cuando llevé el tarro a servicio técnico (se puede encriptar/desencriptar en línea si tienes un poco de espacio libre y harta paciencia). Pero una vez que volvió le quite el $HOME encriptado, lo encontraba muy lento. ... raro.. la verdad es que no veo tanta diferencia entre estar cifrado o no mi HOME al menos comparando al ojo manana voy hacer una prueba con time para ver cuando tiempo se demorar en abrir algunos programas en un sistema cifrado y otro no. Estaba editando video y estaba notoriamente más lento. El disco es lo más lento de mi tarro actual, he pensado seriamente migrar a SSD. Aldrin Martoq http://aldrin.martoq.cl/
Re: Alternativas para sistemas de archivos cifrados
2011/3/25 Germán Póo-Caamaño g...@calcifer.org: Lister@s, Senor Patinador. Estuve revisando sistemas de archivos cifrados/encriptados, y me encontré con más opciones con respecto a la última vez que le había echado una mirada. Así que me pregunto si algunos de ustedes tiene alguna experiencia con uno o varios que pueda compartir. Mi idea es solamente /home. Desde hace un tiempo he usado encfs para cifrar directorios, pero no son de uso frecuente y no me apetece para montar /home completo (puede ser un prejuicio mío). Es más bien para guardar información que requiero acceder pocas veces. mmm.. yo uso hace anos (encfs) para encriptar todo el $HOME y no he tenido problemas... ahora estoy probando ecryptfs en el portatil con ubuntu y tampoco he notado problemas. Pensé en usar dm-crypt, porque crea una dispositivo sobre el cual monto un sistema de archivos, pero he visto casos inversos, como ecryptfs (al parecer, 'popular' en Ubuntu). Lo que no me convence de ecryptfs es que guarda metadatos por archivo, y si entiendo bien, si copias el archivo desde un host a otro, permanece cifrado, lo cual puede ser bueno y malo (no me convence aún). como es esto del metadatos que mencionas básicamente creas una carpeta con los archivos cifrados y una otra con los archivos descifrados (al iniciar sesion)... lo que haces en la carpeta descifrada se reflejar automáticamente en la carpeta cifrada.. no hay mucho secreto... lo que si debes de tomar cuidado es que este método de cifrado (de todo el HOME), es valido mas que nada para asegurar los archivos cuando el PC esta apagado o cuando no estas conectado en tu sesión.. por que infelizmente, si alguien se conecta a tu PC (como root por ejemplo), entonces podrá tener acceso a tu carpeta descifrada. Para solucionar esto (caso tengas algunos archivos muy secretos) lo que hago es mantener un subdirectorio re-cifrado con otra contraseña y que lo monto de manera manual. Otro comentario.. por el general, los nombres de los archivos en la carpeta cifrada quedan cifrados (valga redundancia), por ejemplo: /home/victor/videos/rakuna_matata-por-sven_von_braun.ogg /home/victor/.vimrc /home/victor-cript/.SXerkAl-ads6k4bsin2pPh /home/victor-cript/.Ysh76a-XXysd-P+-aIrrTy bueno.. si tu usas algun sistema de respaldo.. el mas aconsejable (al menos para mi) es respaldar lo que esta cifrado, para evitar que vayan a recuperar tus datos sensibles desde el respaldo.. Asi que es dificil configurar en el sistema de backup cuales son las carpetas a respaldar o los archivos (*.tmp, *.mp3, *videos_pornos*, etc, etc) a excluir del respaldo en la carpeta cifrada !! Para solucionar esto, lo que hice fue configurar los sistemas de cifrados para no cifrar los nombres de archivos y carpetas... Nota: Algunos de mis colegas mencionan que no es del todo buena idea esto.. pero, al menos para mi esta fue la solución. salu2 -- -- Victor Hugo dos Santos Linux Counter #224399
Re: Alternativas para sistemas de archivos cifrados
2011/3/25 Aldrin Martoq amar...@dcc.uchile.cl: On Mar 25, 2011, at 7:28 PM, Germán Póo-Caamaño wrote: (...) En ubuntu instalé cryptkeeper, un applet que hace fácil y bonito usar ecryptfs. Con eso tengo una carpeta encriptada, la cual abro de vez en cuando para guardar cosas y la cierro. No es mi $HOME completo, solo una carpeta adicional. En OS X había encriptado mi $HOME completo cuando llevé el tarro a servicio técnico (se puede encriptar/desencriptar en línea si tienes un poco de espacio libre y harta paciencia). Pero una vez que volvió le quite el $HOME encriptado, lo encontraba muy lento. ... raro.. la verdad es que no veo tanta diferencia entre estar cifrado o no mi HOME al menos comparando al ojo manana voy hacer una prueba con time para ver cuando tiempo se demorar en abrir algunos programas en un sistema cifrado y otro no. (...) Usando ecriptfs tienes una carpeta encriptada donde hay un archivo/directorio espejo de cada archivo/directorio real. Puedes saber cuántos archivos/directorios y hay y su estructura, pero no su nombre o el contenido. Por ej: $HOME/crypted/.prueba_encfs que se monta en $HOME/crypted/prueba. Si creo un archivo 'hola.txt' dentro de una carpeta 'mundo', esto es lo que aparece: si.. se puede.. hay una opcion para no cifrar los nombres de archivos/directorios. salu2 -- -- Victor Hugo dos Santos Linux Counter #224399
Re: Alternativas para sistemas de archivos cifrados
Al menos yo he probado truecrypt, es bastante bueno, pero digamos que no lo ocupo diariamente Saludos El 25/03/11, Germán Póo-Caamaño g...@calcifer.org escribió: Lister@s, Estuve revisando sistemas de archivos cifrados/encriptados, y me encontré con más opciones con respecto a la última vez que le había echado una mirada. Así que me pregunto si algunos de ustedes tiene alguna experiencia con uno o varios que pueda compartir. Mi idea es solamente /home. Desde hace un tiempo he usado encfs para cifrar directorios, pero no son de uso frecuente y no me apetece para montar /home completo (puede ser un prejuicio mío). Es más bien para guardar información que requiero acceder pocas veces. Pensé en usar dm-crypt, porque crea una dispositivo sobre el cual monto un sistema de archivos, pero he visto casos inversos, como ecryptfs (al parecer, 'popular' en Ubuntu). Lo que no me convence de ecryptfs es que guarda metadatos por archivo, y si entiendo bien, si copias el archivo desde un host a otro, permanece cifrado, lo cual puede ser bueno y malo (no me convence aún). Recomendaciones/experiencias? -- Germán Póo-Caamaño http://www.calcifer.org/ -- Enviado desde mi dispositivo móvil Jorge Palma Escobar
Re: Alternativas para sistemas de archivos cifrados
Hola! El Fri, Mar 25, 2011 at 03:28:47PM -0700, Germán Póo-Caamaño escribio: Lister@s, Estuve revisando sistemas de archivos cifrados/encriptados, y me encontré con más opciones con respecto a la última vez que le había echado una mirada. Así que me pregunto si algunos de ustedes tiene alguna experiencia con uno o varios que pueda compartir. Yo utilizo ecryptfs deade hace bastante tiempo en ubuntu, sin ningún problema. Mi idea es solamente /home. Desde hace un tiempo he usado encfs para cifrar directorios, pero no son de uso frecuente y no me apetece para montar /home completo (puede ser un prejuicio mío). Es más bien para guardar información que requiero acceder pocas veces. Pensé en usar dm-crypt, porque crea una dispositivo sobre el cual monto un sistema de archivos, pero he visto casos inversos, como ecryptfs (al parecer, 'popular' en Ubuntu). Lo que no me convence de ecryptfs es que guarda metadatos por archivo, y si entiendo bien, si copias el archivo desde un host a otro, permanece cifrado, lo cual puede ser bueno y malo (no me convence aún). En realidad no, la que pasa es que, como explicó Aldrin, puedes ver el archivo cifrado en tu sistema de archivos normal. Pero cuando accedes, lo haces a travez del punto de montaje de ecryptfs, por lo que vez el archivo plano. En mi caso, no encripto mi home completo, ya que tengo mucha basura que no me interesa encriptar. Tengo una carpeta llamada Private que se monta al iniciar la sesión y se desmonta al salir. Esto tiene el problema de que si alguien accede a tu sesión abierta, puede copiar los archivos encriptados, por lo que es necesario tener cuidado al respecto. Para encriptar las cosas importantes, tengo varios enlaces simbólicos en mi home para .config, .mozilla, Mail y Documents, hacia carpetas con el mismo nombre dentro de Private. El resto de las cosas, las copio a mano. Por ejmplo, tengo mis repositorios de mercurial dentro de Private. Recomendaciones/experiencias? En el caso de ecyptfs, es cosa de instalar ecryptfs-tools y luego ejecutar ecryptfs-setup-private, así de facil. Suerte, Daniel.
Alternativas para sistemas de archivos cifrados
Lister@s, Estuve revisando sistemas de archivos cifrados/encriptados, y me encontré con más opciones con respecto a la última vez que le había echado una mirada. Así que me pregunto si algunos de ustedes tiene alguna experiencia con uno o varios que pueda compartir. Mi idea es solamente /home. Desde hace un tiempo he usado encfs para cifrar directorios, pero no son de uso frecuente y no me apetece para montar /home completo (puede ser un prejuicio mío). Es más bien para guardar información que requiero acceder pocas veces. Pensé en usar dm-crypt, porque crea una dispositivo sobre el cual monto un sistema de archivos, pero he visto casos inversos, como ecryptfs (al parecer, 'popular' en Ubuntu). Lo que no me convence de ecryptfs es que guarda metadatos por archivo, y si entiendo bien, si copias el archivo desde un host a otro, permanece cifrado, lo cual puede ser bueno y malo (no me convence aún). Recomendaciones/experiencias? -- Germán Póo-Caamaño http://www.calcifer.org/
Re: Alternativas para sistemas de archivos cifrados
On Mar 25, 2011, at 7:28 PM, Germán Póo-Caamaño wrote: Estuve revisando sistemas de archivos cifrados/encriptados, y me encontré con más opciones con respecto a la última vez que le había echado una mirada. Así que me pregunto si algunos de ustedes tiene alguna experiencia con uno o varios que pueda compartir. Mi idea es solamente /home. Desde hace un tiempo he usado encfs para cifrar directorios, pero no son de uso frecuente y no me apetece para montar /home completo (puede ser un prejuicio mío). Es más bien para guardar información que requiero acceder pocas veces. En ubuntu instalé cryptkeeper, un applet que hace fácil y bonito usar ecryptfs. Con eso tengo una carpeta encriptada, la cual abro de vez en cuando para guardar cosas y la cierro. No es mi $HOME completo, solo una carpeta adicional. En OS X había encriptado mi $HOME completo cuando llevé el tarro a servicio técnico (se puede encriptar/desencriptar en línea si tienes un poco de espacio libre y harta paciencia). Pero una vez que volvió le quite el $HOME encriptado, lo encontraba muy lento. Pensé en usar dm-crypt, porque crea una dispositivo sobre el cual monto un sistema de archivos, pero he visto casos inversos, como ecryptfs (al parecer, 'popular' en Ubuntu). Lo que no me convence de ecryptfs es que guarda metadatos por archivo, y si entiendo bien, si copias el archivo desde un host a otro, permanece cifrado, lo cual puede ser bueno y malo (no me convence aún). Usando ecriptfs tienes una carpeta encriptada donde hay un archivo/directorio espejo de cada archivo/directorio real. Puedes saber cuántos archivos/directorios y hay y su estructura, pero no su nombre o el contenido. Por ej: $HOME/crypted/.prueba_encfs que se monta en $HOME/crypted/prueba. Si creo un archivo 'hola.txt' dentro de una carpeta 'mundo', esto es lo que aparece: $ find $HOME/crypted /home/amartoq/crypted/prueba /home/amartoq/crypted/prueba/mundo /home/amartoq/crypted/prueba/mundo/hola.txt /home/amartoq/crypted/.prueba_encfs /home/amartoq/crypted/.prueba_encfs/n-EgIPNn31EIm4JY4MCUBUTe /home/amartoq/crypted/.prueba_encfs/n-EgIPNn31EIm4JY4MCUBUTe/nuY8GghJ6-DX6EaFIBTdwxjr /home/amartoq/crypted/.prueba_encfs/.encfs6.xml Si tienes montado prueba, puedes copiar los archivos con cualquier herramienta del SO. Aldrin Martoq http://aldrin.martoq.cl/