PDF Archive

Easily share your PDF documents with your contacts, on the Web and Social Networks.

Share a file Manage my documents Convert Recover PDF Search Help Contact



Linux Magazine .pdf



Original filename: Linux Magazine.pdf

This PDF 1.2 document has been sent on pdf-archive.com on 23/02/2013 at 10:02, from IP address 190.239.x.x. The current document download page has been viewed 1030 times.
File size: 2.3 MB (7 pages).
Privacy: public file




Download original PDF file









Document preview


PORTADA • CryptoCD

Grabación
Grabación de
de CDs
CDs yy DVDs
DVDs con
con un
un sistema
sistema de
de ficheros
ficheros encriptado
encriptado

DISCOS PROTEGIDOS

Un disco duro encriptado en el servidor no es muy útil si los datos que poseemos en CDs o DVDs caen en
manos ajenas. Vamos a mostrar algunas soluciones para encriptar los datos de los medios extraibles.
POR MATTHIAS JANSEN

S

e pueden almacenar datos sensibles en una zona encriptada del
disco duro y, si no se desea
mucho más, se podría comenzar inmediatamente tras leer este número de
Linux Magazine. Si se utilizan los datos
fuera de la oficina o de casa, lo más probable es que se almacene una copia en
un CD o en una memoria USB para
poder transportarlos. Pero hay que tener
en cuenta el riesgo que se corre al
hacerlo de esta forma. Las memorias
USB se utilizan como discos duros externos, así que su encriptación es sencilla.
La de los CDs y los DVDs es algo más

complicada, aunque puede realizarse de
diversas formas.
Este artículo explora un par de técnicas útiles para almacenar los datos
encriptados en un CD o DVD.

Opciones
La forma más simple de almacenar datos
encriptados en un CD es utilizando GPG
o alguna otra herramienta similar que
encripte los ficheros de forma individual,
y posteriormente grabar estos ficheros ya
encriptados al CD. Esta solución está
bien para muchas aplicaciones y proporciona un nivel de seguridad adecuado,

pero los riesgos se vuelven aparentes si
se inspecciona de forma más detenida.

Términos
AES: Estándar de Encriptación Avanzado (o el algoritmo Rijndael) es un
cifrado de bloques simétrico que
soporta bloques y tamaños de claves
de 128, 192 y 256 bits.
CBC: Cifrado de Bloques en Cadena
enlaza cada bloque encriptado con el
bloque encriptado previo. Esto hace
que sea imposible descifrar un bloque
sin conocer el bloque previo. La ventaja es que dos bloques de texto en

Listado 1a: Parche de Encriptación

claro con el mismo contenido produci-

01 wget ‘ftp://ftp.berlios.de/pub/cdrecord/cdrtools-2.01.tar.bz2’

rán diferentes textos encriptados. De

02 wget

este modo se evita que puedan bus-

‘http://burbon04.gmxhome.de/linux/files/cdrtools-2.01-encrypt-1.0rc2
.diff.gz’

ciona un valor inicial para CBC. Se usa

04 cd cdrtools-2.01

para el primer bloque, ya que aún no

05 zcat ../cdrtools-2.01-encrypt-1.0rc2.diff.gz | patch -p1

Número 25

en claro.
IV: El Vector de Inicialización propor-

03 tar xjvf cdrtools-2.01.tar.bz2

24

carse patrones que existan en el texto

WWW.LINUX- MAGAZINE.ES

se dispone de ningún bloque cifrado.

CryptoCD • PORTADA

Tabla 1: Paquetes Requeridos
Distribution

CD-Record-encstyle=old

CD-Record-encstyle=new

AES-Pipe

Debian

cryptsetup

loop-aes-utils,loop-aes-source

Ubuntu

cryptsetup

loop-aes-utils, loop-aes-source

Gentoo-USE-Flag old-crypt: utils-linux, sys-fs/ loop-aes

sys-fs/ cryptsetup

crypt: utils-linux, sys-fs/ loop-aes

Un usuario podría desencriptar manualmente el fichero y almacenarlo temporalmente en otro medio con permisos de
escritura. Como la encriptación y la desencriptación son manejadas de cualquier
forma, sin los beneficios de un sistema de
ficheros que fuerce la seguridad, esta
opción podría generar diversas versiones
del fichero, algunas encriptadas y otras
desencriptadas. Además de los incovenientes de diversos procesos de encriptado
y desencriptado, esta solución también
desperdicia capacidad de almacenamiento.
Una solución sencilla consistente en
volcar los bloques del dispositivo encriptados en el disco parece razonable. Desafortunadamente, en la actualidad es raro
encontrarse con DVDs cuya capacidad sea
mayor de 4 Gbytes. Así que habrá que
distribuir la partición en múltiples discos.
Para leer la imagen, el usuario tiene que
volver a juntar las piezas de nuevo. Con

ello, esta solución vuelve a desperdiciar el
espacio del disco, aunque al menos evita
el problema de tener que encriptar y
desencriptar los ficheros varias veces.
Este artículo examina dos soluciones a
este problema de la encriptación de CD/
DVD. La primera técnica hace uso de una
extensión de encriptación de la herramienta cdrecord. El otro método utiliza
AES Pipe, una herramienta que proporciona encriptación AES para un flujo de

datos arbitrario. Ambas suministran un
sistema de encriptación transparente para
los accesos de lectura, y son casi tan rápidos como un sistema de ficheros encriptado, aunque obviamente no hay posibilidad de modificar posteriormente el CD.

Tan Rápido como la Luz
La primera solución encripta los datos
directamente mientras se graban utilizando la herramienta cdrecord. Maximi-

Listado 2a: Variante Antigua
01 # mkisofs -J -R ~/daten/ | cdrecord dev=/dev/hda -encrypt
-encstyle=old -encpass=Passwort 02 [...]
03 NOTE: this version of cdrecord is an inofficial (modified) release of
04 cdrecord and thus may have bugs that are not present in the
05 original version. Please send bug reports and support requests to
06 <burbon04 at gmx.de>. For more information please see
07 http://burbon04.gmxhome.de/linux/CDREncryption.html. The original

Listado 1b: OSS DVD y
Encriptación
01 wget
‘ftp://ftp.berlios.de/pub/cdr
ecord/alpha/cdrtools-2.01.01a
05.tar.bz2’
02 wget
‘http://www.crashrecovery.org
/oss-dvd/cdrtools-2.01.01a05ossdvd.patch.bz2’
03 wget
‘http://crashrecovery.org/oss
-dvd/cdrtools-2.01.01a01-encr
ypt-1.0rc1.diff.gz’
04 tar xjvf
cdrtools-2.01.01a05.tar.bz2

08 author should not be bothered with problems of this version.
09 [...]
10 Starting to write CD/DVD at speed 48 in real TAO mode for single
session. Last chance to quit; starting real write 0 seconds.
Operation starts.
11 Turning BURN-Free off
12 Using aes-256-cbc encryption with plain password, plain IV. (e.g.
cryptoloop >2.4.22, 2.6).
13 [...]
14 Track 01: Total bytes read/written: 42958848/42958848 (20976
sectors).
15 # mount -t iso9660 /dev/cdrom /media/crypt -o encryption=aes256
16 # ls /media/crypt

05 cd cdrtools-2.01.01

17 cat.mpeg funny_cats.wmv

06 bzcat

18 newsreportfromIraq.wmv

../cdrtools-2.01.01a05-ossdvd
.patch.bz2 | patch -p1
07 zcat
../cdrtools-2.01.01a01-encryp
t-1.0rc1.diff.gz | patch -p1

19 Karate_Beetle.avi German_Engineering_Arab_Technology.wmv
20 sexy_nutcracker.mpg
21 felina_in_the_snow.mpg noteastgermany.mpg
22 Languageproblems.mpg

WWW.LINUX- MAGAZINE.ES

Número 25

25

PORTADA • CryptoCD

Figura 1: Dependiendo del parámetro -encrypt, la versión parcheada de cdrecord pasará los datos por una etapa de encriptación adicional antes
de grabarlos en el CD.

lian Decker escribió un parche [1] para el
software de grabación de Jörg Schilling
que soporta esta forma de encriptación. El
extracto del Listado 1a muestra cómo aplicar el parche. El ejecutable resultante permite a los usuarios proporcionar una clave
para la sesión de grabación actual. La

herramienta utiliza una encriptación AES
de 256 bits en modo CBC (véase “Términos”).
La versión GPL de cdrecord grabará los
CDs, pero no los DVDs. Se necesitan dos
parches para poder trabajar con DVDs, los
cuales han sido modificados para la nueva

Listado 2b: Una Variante Nueva
01 # mkisofs -J -R /daten/small/Witzig/Videos/ | cdrecord dev=/dev/hda
-encrypt -encstyle=new -encpass=password 02 [...]

versión 2.01.01a05 de cdrecord (de la rama
de desarrollo alfa de la herramienta).
El soporte de OSS DVD [2] añade la
posibilidad de grabar DVDs, y el parche de
encriptación del mismo servidor le proporciona las capacidades criptográficas (Listado 1b).
La necesidad de parchear a cdrecord es
la única reticencia de esta solución. Pero
hay buenas noticias para los usuarios de
Gentoo: sólo tienen que establecer la
opción USE on-the-fly-crypt cuando aparezca app-cdr/cdrtools.

03 NOTE: this version is an inofficial (modified) release of

Grabación Críptica

04 cdrecord and thus may have bugs that are not present in the

En ambos casos, el parche de encriptación
extiende la función write_track_data()
(Figura 1). Esta función se encarga de grabar el búfer interno en el CD/DVD. El parche hace uso de la implementación AES de
GPL del Dr. B. R. Gladman [3] para encriptar los datos, dividiéndolos en paquetes de
256 bits (32 bytes) y aplicándoles una clave
de 256 bits. Además, utiliza CBC para combinar 16 de estos paquetes para crear un
bloque de 512 bytes, y luego combina cuatro de estos bloques para crear bloques nuevos de 2048 bytes, que son los que cdrecord
graba en el CD.
La restricción de unidades de 512 bytes
limita su uso a CDs modo 1, que almacena
bloques de un tamaño de 2048 bytes. El
modo 2 hace uso de bloques de 2352 bytes,
que no son divisibles por 512. La versión
parcheada de cdrecord soporta varios parámetros nuevos. Para habilitar la encriptación sólo hay que establecer el parámetro
-encrypt. Existen tres métodos para proporcionar la contraseña requerida:
• Texto en Claro: -encpass= contraseña
• Valor Hexadecimal: -encpasshex=
70617373776F7264
• Fichero:
-encpassfile=
/home/nombre/secreto.key (tan sólo los
32 primeros bytes son significativos).
El tercer método es el preferible. Los dos primeros implican que la contraseña se alma-

05 original version. Please send bug reports and support requests to
06 <burbon04 at gmx.de>. For more information please see
07 http://burbon04.gmxhome.de/linux/CDREncryption.html. The
08 author should not be bothered with problems of this version.
09 [...]
10 Starting to write CD/DVD at speed 48 in real TAO mode for single
session. Last chance to quit;
starting real write 0 seconds. Operation starts.
11 Turning BURN-Free off
12 Using aes-256-cbc encryption with sha-256 hashed key, plain IV.
(e.g. dm-crypt)
13 [...]
14 Track 01: Total bytes read/written: 42958848/42958848 (20976
sectors).
15 # cryptsetup -r -c aes -s 256 -h sha256 create ecdrom /dev/cdrom
16 # mount -t iso9660 /dev/mapper/ecdrom /media/crypt
17 # ls /media/crypt
18 cat.mpeg funny_cats.wmv
19 newsreportfromIraq.wmv
20 Karate_Beetle.avi German_Engineering_Arab_Technology.wmv
21 sexy_nutcracker.mpg
22 felina_in_the_snow.mpg noteastgermany.mpg
23 Languageproblems.mpg
24 #

26

Número 25

WWW.LINUX- MAGAZINE.ES

CryptoCD • PORTADA

Figura 2: AES Pipe encripta un flujo de datos de la entrada estándar y los envía a la salida estándar, sin importar qué programa haya creado el
flujo. Por ello, se puede utilizar AES Pipe con otros comandos para grabar CDs en los scripts.

cene en el historial de la shell y si alguien la
procesa, se hará con ella.
Si la contraseña de entrada es muy corta,
el parche la ampliará hasta que ocupe 32
bytes. El código interpretará cualquier salto
de línea anterior al límite de 32 bytes como
parte de la contraseña. Esto es un truco para
impedir que un usuario pueda introducir la
contraseña manualmente desde la línea de
comandos.

Una Cuestión de Claves
Esta implementación distingue entre dos
estilos de claves. La variante antigua uti-

liza la clave directamente (y cualquier
ampliación), mientras que el nuevo estilo
le aplica primero el algoritmo SHA 256
(hash seguro). Las diferencias se hacen
notables en la encriptación.
Los datos grabados en el CD utilizando
la variante antigua pueden montarse
haciendo uso del dispositivo crypto-loop.
La nueva variante crea un CD para DMCrypt, el device mapper crypt.
El estilo antiguo sólo se recomienda si el
sistema en donde va a ser usado el CD
está ejecutando un kernel antiguo. La
nueva variante DM-Crypt requiere el uso

Listado 2c: Iosetup
01 # mkisofs -J -R /daten/small/Witzig/Videos/ | cdrecord dev=/dev/hda
-encrypt -encstyle=new -encpass=password 02 [...]
03 Starting to write CD/DVD at speed 48 in real TAO mode for single
session.
04 Last chance to quit, starting real write 0 seconds. Operation
starts.
05 Turning BURN-Free off
06 Using aes-256-cbc encryption with sha-256 hashed key, plain IV.
(e.g. dm-crypt)
07 [...]
08 Track 01: Total bytes read/written: 42958848/42958848 (20976
sectors).
09 # losetup /dev/loop0 /dev/cdrom
10 # cryptsetup -c aes -s 256 -h sha256 create ecdrom /dev/loop0
11 # mount -t iso9660 /dev/mapper/ecdrom /media/crypt
12 # ls /media/crypt
13 cat.mpeg funny_cats.wmv
14 newsreportfromIraq.wmv
15 Karate_Beetle.avi German_Engineering_Arab_Technology.wmv

del kernel 2.5.6 o posterior, aunque no
precisa de ningún parche. Para montar el
dispositivo crypto-loop del estilo antiguo,
creado por AES 256 bits, se necesitan
tener instalados varios parches Losetup.
No todas las distribuciones traen estos
parches instalados por defecto (véase la
Tabla 1). Las versiones nuevas de los
paquetes incluyen parches que podrían
ser incompatibles con la variante antigua.

Paranoia
AES Pipe posee diversas funciones para
complicarle la vida a los atacantes. Por
ejemplo, se pueden utilizar 64 claves de
encriptación. En el modo multiclave, el
programa encripta el primer sector con la
primera clave, el segundo con la segunda,
y así sucesivamente. En vez de utilizar el
vector de inicialización (IV, véase “Términos”), hace uso de la función hash MD5
IV.
Sin embargo, este modo sólo funciona
en combinación con un fichero encriptado
con GPG. El modo multiclave se usa automáticamente si el fichero GPG contiene al
menos 64 claves, con al menos 20 caracteres cada una, separadas por el carácter
salto de línea.
Otro modo de hacer que un ataque por
fuerza bruta sea inviable, es pasar las claves a través de varios miles de rondas de
AES, donde el parámetro -C factor especifica el número de miles. Esta solución
incrementa la carga de la CPU justo antes
de realizar la encriptación, pero hace que
sea muchísimo más difícil para un atacante probar diversas claves. El programa
también utiliza una semilla, especificada
por el parámetro -S, en caso de ser necesario. Sin embargo, ninguno de estos métodos funciona en el modo multiclave.

Conclusiones

16 sexy_nutcracker.mpg
17 felina_in_the_snow.mpg noteastgermany.mpg
18 Languageproblems.mpg

WWW.LINUX- MAGAZINE.ES

Tanto la versión modificada de cdrecord,
como la grabación de una imagen con
AES Pipe son útiles para crear discos

Número 25

27

PORTADA • CryptoCD

Listado 3: AES Pipe con Contraseña
01 # mkisofs -J -R . | aespipe | cdrecord dev=/dev/hdd 02 Password:

Problemas

03 cdrecord: Asuming -tao mode.
04 cdrecord: Future versions of cdrecord may have different drive
dependent defaults.
05 Cdrecord-Clone 2.01.01a06 (x86_64-unknown-linux-gnu) Copyright (C)
1995-2006 Jörg Schilling
06 [...]
07 Track 01: Total bytes read/written: 475136/614400 (300 sectors).
08 # mount -t iso9660 /dev/hdd /mnt/crypted -o loop,encryption=AES128
09 Password:
10 # ll /mnt/crypted/
11 total 22
12 drwxr-xr— 2 maz network 2048 1. Apr 20:21 Images
13 -rw-r—r— 1 maz network 18064 25. Jul 12:35 Crypto-CD.txt
14 -rw-r—r— 1 maz network 349 8. Jan 2006 distris.txt
15 -rw-r—r— 1 maz network 649 30. Mar 20:23 patch.txt

encriptados y montarlos de forma transparente en el sistema de ficheros. Gracias a
su naturaleza genérica, AES Pipe proporciona mayores posibilidades. Por otro
lado, el parche de cdrecord es difícil de
aplicar para los no expertos, especialmente si se está acostumbrado a utilizar
aplicaciones más sencillas que hacen de
interfaz con esta herramienta como K3B.
Pero hay que asegurarse de que se utiliza
la variante -encstyle= new para evitar las
incompatibilidades.

A por el Nuevo
Si se tiene un kernel compatible con DMCrypt, entonces lo mejor es utilizar la
variante nueva. El Listado 2a muestra el
procedimiento completo, desde la grabación hasta el montaje de los datos según el
estilo antiguo; y el Listado 2b muestra el
mismo procedimiento pero para el nuevo
estilo. Las primeras líneas en ambos listados crean un sistema de ficheros ISO y se
lo pasan a cdrecord. El parámetro para el
estilo antiguo es -encstyle=old (Listado
2a); y -encstyle=new para el nuevo estilo.
En ambos casos, el parámetro -encrypt
habilita la encriptación de los datos.
Las diferencias comienzan a hacerse
aparentes a partir del montaje del CD
encriptado. El Listado 2a utiliza una
extensión del comando mount (Línea 15),
mientras que la variante del Listado 2b
realiza una llamada a Cryptsetup (Línea
15) para preparar el montaje de los datos

28

Número 25

loop, utilizando losetup como solución y
usar Cryptsetup. (Véase el Listado 2c,
Línea 9).

por medio del dispositivo mapper (Línea
16). Téngase en cuenta que el parámetro
-r (Sólo Lectura) no está disponible en la
versión actual 0.1 de Cryptsetup. Sin esta
opción, Cryptsetup se negará a crear el
mapper para el medio protegido contra
escritura.
Para no tener que compilar la versión
CVS, se puede asignar el CD al dispositivo

Si se utiliza un fichero para pasar la clave
a Cryptsetup surge un posible problema
del método DM-Crypt. Cryptsetup ignorará el parámetro -h (algoritmo hash) y
aplicará la clave tal cual, sin realizarle la
función hash. Por otro lado, cdrecord
interpreta el valor como una clave, así que
ejecuta la función hash. En este caso es
imposible realizar la desencriptación de
los datos. Para evitar este problema, posiblemente se prefiera almacenar en el
fichero el valor hash de la clave para
ambos casos y utilizar los parámetros
-encstyle=
old
o
-encstyle=
aes256-cbc-plain con cdrecord. Cryptsetup
utilizará entonces la clave desde el fichero
tal y como estaba previsto.
Como este método realiza el proceso de
encriptación al vuelo durante la fase de
grabación, se puede integrar fácilmente
con programas que utilicen cdrecord como
herramienta de grabación. Únicamente
hay que añadirle los argumentos a la línea
de comandos de cdrecord como un parámetro definido por el usuario.
Si no se puede modificar cdrecord,
seguro que se preferirá utilizar el segundo
método, que hace uso del programa AES

Listado 4a: AES Pipe con Clave GPG
01 # mkisofs -J -R . | aespipe -K ~/test.gpg | cdrecord dev=/dev/hdd 02 Password:
03 cdrecord: Asuming -tao mode.
04 cdrecord: Future versions of cdrecord may have different drive
dependent defaults.
05 Cdrecord-Clone 2.01.01a06 (x86_64-unknown-linux-gnu) Copyright (C)
1995-2006 Jörg Schilling
06 [...]
07 Track 01: Total bytes read/written: 475136/614400 (300 sectors).
08 # mount -t iso9660 /dev/hdd /mnt/crypted -o loop,encryption=AES128
09 Password:
10 # ll /mnt/crypted/
11 total 22
12 drwxr-xr— 2 maz network 2048 1. Apr 20:21 Images
13 -rw-r—r— 1 maz network 18064 25. Jul 12:35 Crypto-CD.txt
14 -rw-r—r— 1 maz network 349 8. Jan 2006 distris.txt
15 -rw-r—r— 1 maz network 649 30. Mar 20:23 patch.txt

WWW.LINUX- MAGAZINE.ES

PORTADA • CryptoCD

Listado 4b: AES Pipe, GPG y Grabación
01 # yes “” | dd of=image.iso bs=512 count=16
02 # head -c 2925 /dev/urandom | uuencode -m - | head -n 66 | tail -n 1
| gpg —symmetric -a | dd of=image.iso conv=notrunc
03 # mkisofs -iso-level 3 -l -r /daten/ | aespipe -e aes256 -w 5 -K
image.iso -O 16 >> image.iso
04 # growisofs -dvd-compat -Z /dev/dvdrw=image.iso
05 [...]
06 # mount -t iso9660 /dev/hdd /mnt/crypted -o loop,gpgkey=/dev/hdd,enc
ryption=AES256,offset=8192
07 Password:

09 total 22
10 drwxr-xr— 2 maz network 2048 1. Apr 20:21 Images
11 -rw-r—r— 1 maz network 18064 25. Jul 12:35 Crypto-CD.txt
12 -rw-r—r— 1 maz network 349 8. Jan 2006 distris.txt
13 -rw-r—r— 1 maz network 649 30. Mar 20:23 patch.txt

Cauces Encriptados
AES Pipe encripta un flujo arbitrario de datos
de Stdin y genera el resultado en Stdout
(Figura 2). Se puede utilizar la salida proporcionada por mkisofs. El programa utiliza el
modo CBC y enlaza 16 paquetes de 32 bits
para formar bloques de 512 bytes. Al igual
que la versión parcheada de cdrecord, este
método es útil sólo si se utiliza para grabar un
CD modo 1.
La longitud de las claves puede ser de
128, 192 y 256 bits, como las proporcionadas por las funciones hash. Si no se indica
lo contrario, por defecto AES Pipe utiliza
el algoritmo AES con una clave de 128 bits
y como algoritmo hash para la clave SHA
256. La Línea 1 del Listado 3 muestra la
versión más sencilla con una contraseña
simple (Línea 2). La contraseña debe contener al menos 20 caracteres. La Línea 8
muestra cómo pueden ser montados los
resultados.
AES Pipe también dispone de la opción -K
para pasarle un fichero encriptado con GPG
como clave (Listado 4a). Este método proporciona a los usuarios la posibilidad de
transportar las claves de forma segura y sin
riesgos, en memorias USB, por ejemplo. Un
ladrón necesitaría el CD encriptado, la

30

Número 25

No sólo con Discos
AES Pipe encriptará cualquier flujo de
datos, así que se pueden crear archivos tar
encriptados:
tar cj /data | aespipe > U
data.tar.bz2.enc
aespipe -d U
< data.tar.bz2.enc | tar xj

Otra buena idea es la inclusión de copias de
seguridad encriptadas con tar en un medio:

08 # ll /mnt/crypted/

Pipe [4]. Sólo hay que utilizar cualquier
programa de grabación de CDs o DVDs
para grabar la imagen encriptada que proporciona AES Pipe.

lo alto de la Tabla 1 (GPG) y habrá que
parchear las herramientas losetup y
mount. La mayoría de las distribuciones
poseen ya este soporte incluido.

clave, la memoria USB y la contraseña para
la clave.
La variante GPG añade la posibilidad de
especificar múltiples contraseñas para un CD.
Para ello, se tendría que almacenar la clave
principal en distintos archivos y proteger
estos archivos con diferentes contraseñas.
Incluso se podría añadir una clave nueva sin
tener que volver a grabar el CD, en el caso de
que un usuario olvide su contraseña. Este
método también soporta el envío seguro por
correo del medio de almacenamiento si se
está utilizando para la encriptación una Clave
Pública para proteger el fichero GPG.
Basándose en esta idea, los administradores podrían grabar el fichero GPG al
comienzo del CD (Listado 4b). Es decir, se
está colocando la clave encriptada en el CD
que va a ser encriptado, por ello habrá que
proteger la clave con una contraseña
robusta. Para llevarlo a cabo, los administradores tendrían que crear un fichero de
tamaño fijo (Línea 1) con el fichero GPG en
el comienzo (Línea 2), y luego añadirle la
imagen encriptada (Línea 3), antes de grabar los resultados al CD/DVD (Línea 4).
Para montar el CD, el usuario tiene que
especificar la unidad de CD, la fuente, así
como el dispositivo (Línea 6). Un desplazamiento de 8192 (16 veces 512) permite a
mount encontrar el comienzo de los datos
encriptados. En [5] se puede ver un script
Bash que combina los pasos principales.
Esta solución añade una dependencia en

WWW.LINUX- MAGAZINE.ES

tar cj /data| aespipe| dd U
of=/dev/st0 bs=56
dd if=/dev/st0 bs=U
56 | aespipe -d | tar tj

AES Pipe también soporta la compresión
Bzip 2. La compresión sólo tiene sentido si
se realiza antes de la encriptación, ya que
no hay forma de comprimir los datos
encriptados. Además, esta variante impide
que tar produzca avisos indicando que ha
ignorado los datos basura. Los mensajes
como bzip2: (stdin): trailing garbage after
EOF ignored se producen porque AES Pipe
utiliza un bloque de tamaño fijo de 16 bytes
y añade los bytes que faltan con valores
nulos. Esto hace que tar y la función Bzip 2
se confundan.
La compresión no funcionará con imágenes ISO, ya que los CDs y los DVDs no
pueden montarse con losetup. Si se necesita comprimir los datos, hay que
hacerlo a nivel del sistema de ficheros. ■

RECURSOS
[1] Maximilian Decker, Encriptación al
vuelo para cdrecord/cdrtools: http://
burbon04.gmxhome.de/linux/
CDREncryption.html
[2] Parche DVD para la versión OSS de
cdrecord/ cdrtools: http://www.
crashrecovery.org/oss-dvd.html
[3] Implementación AES del Dr. Gladman:http://fp.gladman.plus.com/
AES/
[4] AES Pipe para el proyecto Loop AES:
http://loop-aes.sourceforge.net
[5] Script Bash para crear una imagen
encriptada: http://matthiasjansen.de/
~maz/create_enc_image


Related documents


PDF Document dropboxcache malware iicybersecurity
PDF Document linux magazine
PDF Document dino malware iicybersecurity
PDF Document listado yanina 16 9 17
PDF Document 20151130 fai practica 05
PDF Document advanced encryption standard para seguridad de datos y redes


Related keywords