Un pequeño inconveniente con OneKript (y la solución)
Por Fernando Acero
Soy un un feliz usuario de TrueCrypt bajo Windows (trabajo) y bajo Linux (casa). Es excelente para cifrar la información que hay en los dispositivos portátiles, como discos duros y "pendrives" y lo que más me gusta, es que ni siquiera hace falta instalarlo en el ordenador de destino, si se configura el dispositivo en modo "viajero".
Solamente le veo una pega, es necesario tener permisos de administrador para poder instalar el controlador, cuando se trabaja bajo Windows. No obstante, se puede usar Winternals o una distribución Linux "live" con TrueCrypt instalado, para extraer o introducir en la unidad portátil cifrada aquellos archivos que necesitemos, solventando así el problema de la instalación del controlador sin permisos de Administrador en Windows...
Así que solamente tengo que llevar mi disco duro portátil y un CD con Winternals o con Ubuntu Live, para poder trabajar con TrueCrypt en cualquier ordenador Windows y con independencia de tener o no, permisos de Administrador en la máquina, claro que debo poder hacer que el sistema arranque desde el CD.
Otra solución sería usar TCExporer, que es una aplicación "portable" que permite trabajar con una unidad TrueCrypt en modo lectura/escritura en modo "viajero" y sin necesidad de tener permisos de administrador. Sin embargo, este programa tiene el problema de no poder abrir las unidades cifradas con TrueCrypt que además de contraseña, tienen un "keyfile". Algo que que está en conflicto con mi estándar de seguridad, puesto que mi "keyfile" siempre viaja a buen recaudo en otro dispositivo.
Ahora estoy estudiando la forma de "instalar" a la fuerza el controlador de TrueCrypt en Windows XP, usando Winternals como herramienta de edición y transferencia de archivos, aprovechando que por omisión, todo lo que se instala desde Winternals, tiene los permisos del administrador cara a las políticas del sistema cuando arranca. Hecha la ley, hecha la trampa.
Pero vayamos al grano, cuando trabajaba bajo Linux, este servidor, que es muy "friki", usaba TrueCrypt a pelo, es decir, desde una consola y tecleando los comandos de memoria, pero hace una semana decidí instalar su "GUI" GPL denominada OneKript, quizás me estoy haciendo viejo. El caso es que cuando intentaba montar una unidad cifrada usando OneKript, acababa con unos permisos (usuario y grupo) que no me permitían escribir en ella, teniendo que montarla y trabajar como "root", para poder escribir en la unidad externa cifrada. De hecho, el programa te dice que lo uses como "root" para disponer de todas las funcionalidades, pero como he dicho, no me hace gracia trabajar como "root" y tampoco considero nada cómodo, tener que abrir una sesión gráfica como root y arrancar OneKript desde ella.
Sin embargo, Truecrypt tiene un parámetro "-u" que permite montar las unidades con los permisos adecuados para el usuario que la monta, algo que es mucho más cómodo y lógico. De hecho, es el parámetro que usaba yo para montar las unidades desde la consola. La solución es muy sencilla si se usa la versión 0.7.2 de OneKript, que es la que está disponible actualmente en Sourceforge. Recordemos que OneKript es una aplicación que usa kmdr-executor y el programa se encuentra en mi caso, en /usr/bin/onecrypt.kmdr. Basta con editar dicho archivo como "root" usando un editor como vi, o similar y cambiar la línea:
@setGlobal(commandmount, truecrypt -p @lePassword.text)
Solamente tenderemos que añadir el parámetro -u al mandato de montaje, de esta forma, se usará siempre dicho parámetro cuando se monten las unidades, o lo que es lo mismo, las unidades se montarán siempre con el usuario y el grupo correspondientes al usuario que monta la unidad.
La línea ha de quedar así:
@setGlobal(commandmount, truecrypt -u -p @lePassword.text)
Ahora solamente hay que guardar los cambios y disfrutar de este excelente tandem de programas de cifrado. Una mejora interesante sería añadir este parámetro "-u" como opción con su cuadro de selección , al igual que aparecen las opciones "Protect Hidden" o "Read Only" actualmente en la "GUI". También hay que decir, que la "GUI" de Linux tiene menos funcionalidades que el programa TrueCrypt para Windows, por lo que tampoco estaría mal echar una mano al proyecto y mejorar las funcionalidades de la combinación TrueCrypt / OneKript, o incluso de TCExplorer, para que admita los "keyfiles".
Copyleft 2008 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved.
Gracias.
Hola,
Soy David Area, el creador de OneKript. Me alegro de que todavía se utilice el GUI. Como ya he indicado en Sourceforge, he abandonado el proyecto por falta de tiempo y porque había encontrado alguna alternativa más completa, pero da gusto ver que aun hay gente que lo considera útil.
Quería mencionar que el enlace a la página de Sourceforge es incorrecto. La dirección correcta es: http://onekript.sourceforge.net/ y no http://oneckript.sourceforge.net/. Un pequeño despiste jeje.
Gracias por seguir mejorándolo.
Un saludo.
Hola David
Hola David:
Te envié ayer un correo a una dirección que encontré por el código del programa o en la página web del proyecto, pero no se si todavía esta "viva". Ante todo David, muchas gracias por tu aportación al software libre. Estoy seguro de que muchos usuarios se decidieron a usar TrueCrypt gracias a tu interfaz gráfica OneKript, que hacía las cosas más sencillas.
Siento el error en el enlace, la verdad es que con los cambios en la escritura entre TrueCrypt y OneKript, es fácil hacerse un lío, muchas gracias de nuevo, por advertir el error y enviarnos este post avisando del error.
Por mi parte estoy encantado de haber podido colaborar, solamente es una pequeña aportación para un gran trabajo, el tuyo. Por supuesto, ya sabes que estoy a tu disposición para lo que quieras.
Muchas gracias por todo y un cordial saludo, Fernando Acero
automatico
Lo que sería interesante sería modificar los scripts de udev para que al enchufar un dispositivo USB lo accedieran automáticamente a través de truecrypt, de esta manera sería todo transparente siempre que dispusiéramos del keyfile.
que sepas que la opción -u
que sepas que la opción -u ha desaparecido en la version 5 de truecrypt. A cambio han hecho que monte sin problema las particiones cifradas NTFS (si hay fuse instalado)
Tienes razón..
Estimado anónimo:
Tienes razón, ahora TrueCrypt en su versión 5.0 para Linux viene con interfaz gráfica y usa la librería FUSE, por ello es necesario para su compilación:
- wxWidgets 2.8 library source code (available at http://www.wxwidgets.org)
- FUSE library (available at http://fuse.sourceforge.net and http://code.google.
com/p/macfuse)
Mediante FUSE se puede crear un sistema de archivos completo y funcional desde un programa ejecutado en el espacio de usuario, lo que hace pensar que ya no es necesaria la función -u y que los permisos serán los adecuados.
Por el momento estoy intentando compilar la versión 5.0 desde mi Mandriva 2007, pero ayer por la noche se me hizo tarde y no pude acabar de configurar todo lo necesario, espero hacerlo en fin de semana que viene.
Gracias por el apunte, quedando claro que mi procedimiento solamente es válido para las versiones de TrueCrypt que funcionan desde la consola y que por lo tanto, pueden usar OneKript para acceder a las funciones del programa mediante su "GUI".
Un saludo, Fernando Acero
Gracias por el artículo
Pues eso, gracias a ti he conocido TCExplorer y creo que me será de gran utilidad. El problema es que esta aplicación no funciona (todavía) con los volúmenes creados con la versión 5 de TrueCrypt. Espero que el desarrollador la actualice pronto.
Un saludo.
Ya que estamos, ampliamos la información
Ante todo, muchas gracias por tus palabras de agradecimiento, has sido muy amable. En segundo lugar, creo que hay que aclarar y comentar algunas cosas.
Como bien dices, no he logrado montar con el TCExplorer ninguna unidad creada con la nueva versión de TrueCrypt, la 5.0. También he de decir, que estoy teniendo problemas con la compilación de la versión Linux de la 5.0, todo marcha bien hasta que comienza el linkado de los archivos, puede que sea un problema con mi versión del linker, pero la verdad es que no he encontrado nada por la documentación y estoy con el sistema de prueba y error.
También tuve problemas con las librerías necesarias para la interfaz gráfica, pero lo solucioné instalando en el mismo directorio dos subdirectorios, uno con la versión multiplataforma y otro, con la versión para X11. Después, ejecuté ./configure desde dentro los dos directorios antes de proceder a compilar las librerías de "widgets" desde el directorio de TrueCrypt usando para ello, el mandato que aparece en la documentación de TrueCrypt y apuntando al subdirectorio de la versión multiplataforma. Es decir, que en el mismo directorio tengo tres, uno con la versión de los widgets para X11, otro con la versión mutiplataforma y otro con el código fuente de TrueCrypt. Como ventaja tenemos que la generación del módulo es independiente del núcleo de Linux. Como he dicho, hecho esto, todo marcha bien hasta que se intenta enlazar el código, problema que estoy intentando resolver en este momento usando mi Mandriva 2007 actualizada al día de la fecha.
Respecto a TCExplorer he de decir que tiene funcionalidades muy limitadas, por ejemplo, da problemas con algunos cifrados y códigos de hash. Por las pruebas que he realizado, si se desea usar, lo mejor es usar un cifrado simple basado en AES y como hash SHA-1, aunque esta última opción vaya en contra de mis convinciones más íntimas, pero eso es mejor que no poder cifrar o descifrar nada. TCExplorer solamente te permite abrir el contenedor de TrueCrypt y añadir archivos o sacar archivos, pero una vez introducidos no se pueden borrar, por lo que recurro a un truco para tener una mayor funcionalidad con TCExplorer. Yo lo que tengo realmente en el contenedor TrueCrypt son archivos ZIP, como si fueran directorios dentro del contenedor "tc". Cuando tengo que trabajar con uno de ellos, lo extraigo del contenedor al disco duro, cambio lo que tenga que cambiar en el mismo (añadiendo o quitando archivos o directorios del zip) y luego, lo vuelvo a meter en el contenedor "tc" sobrescribiendo el ZIP primitivo. El efecto es como si pudiera borrar o añadir archivos en el contenedor "tc" evitando los problemas derivados de las limitadas funciones de "TCExplorer".
Luego, para mayor seguridad, uso la opción de borrar el directorio temporal. El archivo zip que hay en el disco duro del ordenador después de haberlo transferido al contenedor "tc" usando TCExplorer, lo borro con una versión "portable" de eraser y el algoritmo del DoD. Para no tener problemas con los temporales, sobre todo, si los zip son de gran tamaño, lo mejor es copiar el programa TCExplorer al disco duro del ordenador y ejecutarlo desde allí, así los archivos temporales de TCExplorer se generarán en nuestro disco duro y no en el dispositivo portátil, que puede tener menos espacio disponible, evitando una posible corrupción de la información o un cuelgue del programa.
También tengo un contenedor de TrueCrypt con un tamaño de 4 GB en el directorio "Mis documentos", que uso en la forma que he comentado, para simular los "borrados y la adición de archivos". Como la configuración de mi ordenador del trabajo no me permite instalar nada, generé en casa con mi TrueCrypt para Linux y lo guardé en un lápiz USB de 8Gb, luego lo copié todavía vacío al ordenador. Antes de irme del trabajo, si es necesario, copio dicho archivo "tc" directamente al lápiz USB, sobrescribiendo el "tc" anterior. Hay que tener en cuenta, que en este caso la transferencia es de 4 Gb, por lo que dependiendo del dispositivo portátil, puede tardar algún tiempo. También lo podría haber creado usando Winternals o una "LIVE" con el TrueCrypt instalado de serie.
El uso de archivos zip es muy cómodo ya que Windows XP los trata como un directorio y además, nos permiten aprovechar mejor el espacio disponible en el contenedor "tc" y en el dispositivo de almacenamiento (disco duro o lápiz USB). Asimismo, disponer de varios ZIP como si fueran directorios, permiten organizar mejor la información y reducir los tiempos de transferencia entre el contenedor TrueCrypt y el ordenador y viceversa. También nos reducen los problemas derivados de TCExplorer y algunos nombres de fichero, que por ser demasiado largos, o por tener caracteres especiales, pueden hacer que se genere una excepción del programa y su posterior cierre.
Parece lioso, pero cuando le pillas el aire, no es demasiado complicado y tampoco da demasiados problemas. Como he dicho, esto es mejor que no poder transportar "no clasificada" de forma "razonablemente segura".
Como también comentas, sería muy bueno que este programa, el TCExplorer, evolucionase a mejor permitiendo más funcionalidades, como el uso de archivos de "claves", cifrados dobles o triples y el SHA-2 de 512 bits, espero que poco a poco se irá logrando, sobre todo, si aumentamos la base de usuarios.
Finalmente comentar que he cifrado toda la partición de Windows XP de un portátil con la versión 5.0 para Windows de TrueCrypt. Para poder usar el sistema y acceder al contenido, ahora es necesario introducir una contraseña antes del arranque y ya no hay Winternals que valga, o introduces la contraseña correcta antes del arranque, o no hay nada que hacer, ni puedes acceder al contenido del sistema, ni puedes arrancarlo, en definitiva, una gozada que recomiendo a todo el que tenga un portátil que mueva por el mundo.
Me gusta tanto este sistema que ya me gustaría que hubiera un "port" del TrueCrypt para las PDA.
Un saludo, Fernando Acero
han sacado la 5.0a
Fernando, prueba la 5.0a que han sacado, resuelve varias 'problemillas' clamorosos. Por ejemplo ya no hace falta GUI para montar volumenes... :)
Muchas gracias
Me acabo de bajar el código fuente de esta nueva versión, lo probaré esta misma tarde a ver si todo marcha adecuadamente. No obstante, como estoy "condenado" a usar TCExplorer, creo que me queda mucho tiempo de la versión 4 que compilé ayer para el nuevo núcleo de Linux.
Un saludo, Fernando Acero
Opinar