PRACTICA

ENCRIPTACIN AVANZADA

1. CMO FUNCIONA EL MECANISMO DE ENCRIPTACIN

EFS nos proporciona una va segura para almacenar datos sensibles. Usa una clave pblica para crear una clave de encriptacin aleatoriamente generada (FEK). Este proceso se realiza transparentemente para el usuario. Windows, automticamente encripta los datos usando esta FEK cuando los datos se escriben a disco. Estos datos pueden ser slo desencriptados con su certificado y su clave privada asociada, la cual slo est disponible haciendo "logon" con el usuario / password que lo encript. Si otros usuarios intentan usar uno de estos archivos encriptados, recibirn un mensaje de "acceso denegado". Se pueden encriptar archivos o carpetas. Se recomienda encriptar carpetas en lugar de archivos individuales, ya que cualquier archivo que guardemos en dicha carpeta se encriptar automticamente Y esto ltimo, incluye tambin archivos temporales que una aplicacin pueda escribir en dichas carpetas, ya que, por ejemplo Office, escribe una copia temporal de los documentos que estemos abriendo en la carpeta en donde resida el documento. Si la carpeta est encriptada, estos temporales tambin lo estarn y no corremos peligro de que por una cada de la aplicacin queden archivos temporales con datos sensibles sin encriptar. Por esta razn se debe considerar tambin el encriptar la carpeta %temp% y %tmp% del usuario. Lo mismo que el proceso de encriptacin, la desencriptacin se realiza transparentemente para el usuario. Por ello, la manera de trabajar con ficheros encriptados es la misma que con ficheros no encriptados: no tenemos que hacer nada. Cuando Windows detecta que un fichero est encriptado, simplemente busca el certificado y usa la clave privada para desencriptar los datos. Es transparente, por tanto, a las aplicaciones.

2. PERMITIENDO A OTROS USUARIOS USAR NUESTROS FICHEROS ENCRIPTADOS

Despus de encriptar un fichero, podemos permitir a otros usuarios el acceder a dicho fichero transparentemente. Esta capacidad, nueva en XP, nos permite asegurar un fichero con EFS y dejarlo disponible a los usuarios que deseemos. Los usuarios que especifiquemos pueden ser usuarios que acceden desde la misma mquina, o bien usuarios que acceden desde la red. Para activar que otros usuarios puedan acceder a nuestros ficheros encriptados: 1) Botn derecho sobre el fichero encriptado y "Propiedades". En la pestaa "General" seleccionamos "Avanzado". 2) En Atributos Avanzados, pinchamos "Detalles".

NOTA: El botn de "detalles" est indisponible cuando inicialmente encriptamos un fichero. Debemos encriptar el fichero, salirnos, y volver posteriormente al dialogo de Atributos Avanzados. Igualmente, el botn de "detalles" est disponible slo cuando seleccionamos un nico fichero. Si seleccionamos una carpeta o varios ficheros, el botn estar indisponible. 3) En la caja de dilogo de "Detalles" de encriptacin, le damos al botn de Aadir. Aparecer una caja de dilogo con los usuarios. 4) Seleccionamos a los usuarios a los que queremos permitir el acceso. NOTA: nicamente los usuarios que tengan ya un certificado EFS en nuestra mquina aparecern en dicha caja de dilogo. La mejor manera para que un usuario de nuestra mquina cree un certificado (y por tanto aparezca en la lista), es que el usuario haga logon en la mquina y encripte un fichero cualquiera. Los usuarios de red, deben exportar su propio certificado (para ms detalles, lo veremos ms adelante); posteriormente debemos importar dicho certificado en nuestra mquina.

3. USO DEL COMANDO CIPHER

Si preferimos usar un comando en la lnea de comandos de una consola, tenemos el comando cipher como alternativa a la caja de dilogo de Atributos Avanzados que hemos visto anteriormente, y que nos permite encriptar y desencriptar carpetas y archivos. Si ejecutamos CIPHER sin parmetros, veremos el estado de la encriptacin de la carpeta donde nos encontremos y sus archivos. Para encriptar o desencriptar ficheros debemos incluir el path y los parmetros Podemos usar el parmetro /E para encriptar archivos o carpetas, o /D para desencriptarlo. Por ejemplo, para encriptar la carpeta Mis Documentos y todas sus subcarpetas: cipher /e /a /s:"%userprofile%\mis documentos" En la especificacin de los nombres de ficheros, podemos usar comodines. Igualmente podemos especificar mltiples carpetas o ficheros en una sola invocacin desde la lnea de comandos, separndolos simplemente con un espacio. Los parmetros ms habituales los describimos a continuacin. Para ver una lista detallada de parmetros, ejecutar cipher /? en la linea de comandos. /E /D Encripta las carpetas que hayamos especificado. Desencripta las carpetas especificadas. Realiza la operacin en un carpeta y en sus subcarpetas (pero no en los ficheros).

/S:carpeta

/A Realiza la operacin en los ficheros especificados o bien en los ficheros de una determinada carpeta. 2

/K Crea una nueva clave de encriptacin. Si usamos esta opcin, todas las dems opciones posibles de la lnea de comandos sern ignoradas. /R Genera una clave de agente de recuperacin y el certificado. La clave y el certificado son puestos en un archivo .pfx y el certificado solo, en un archivo .cer

4. CREANDO UN AGENTE DE RECUPERACIN.

Un agente de recuperacin es otro usuario, normalmente un Administrador, que puede usar nuestros archivos encriptados. Esto permite la recuperacin de nuestro fichero encriptado si algo pasase con nuestra clave privada. Windows XP no crea un agente de recuperacin por defecto en mquinas "standalone". Si pertenecemos a un Dominio, el Administrador del Dominio es el agente de recuperacin por defecto. NOTA: Un agente de recuperacin slo puede recuperar archivos que han sido encriptados "despus" de que el certificado de recuperacin haya sido creado y se haya designado el agente de recuperacin tal y como describiremos posteriormente. El agente no tendr acceso, por tanto, a ficheros encriptados anteriormente. Esto es debido a que cuando un fichero se encripta, EFS usa la clave pblica de la cuenta que est encriptando el fichero y cada una de las de los agentes designados de recuperacin. Por tanto, slo los agentes de recuperacin cuyos certificados estn instalados en el momento de la encriptacin pueden desencriptar el fichero. Para crear un agente de recuperacin de datos debemos crear un certificado de recuperacin de datos y designar a un usuario para que sea agente de recuperacin.

5. GENERANDO UN CERTIFICADO DE AGENTE DE RECUPERACIN.

Para generar un certificado de agente de recuperacin, debemos seguir los siguientes pasos: 1) Conectarnos como Administrador. 2) En una consola de comandos (cmd.exe) ejecutar: cipher /r:nombrefichero 3) Cuando nos pregunte, teclear una password que ser usada para proteger los archivos que creemos. Esto genera ambos: un fichero .pfx y un fichero .cer con el nombre de fichero que hemos especificado anteriormente. NOTA: Estos ficheros permiten que cualquiera sea un agente de recuperacin. Por tanto, debemos asegurarnos de copiarlos a un disquete y colocarlo en un lugar seguro. Posteriormente debemos borrarlos de nuestro disco duro.

6. DESIGNADO AGENTES DE RECUPERACIN DE DATOS

Podemos designar a cualquier usuario como un agente de recuperacin de datos. Se recomienda que sea una cuenta de un Administrador. NOTA: No debemos designar a nuestra propia cuenta como agente de recuperacin, ya que si nuestro perfil se daa, y no hay ms agentes de recuperacin, habremos perdido irremediablemente los datos. Para designar un agente de recuperacin.: 1) Conectarnos con la cuenta del usuario que queremos designar como agente de recuperacin. 2) En certificados (ejecutando: certmgr.msc) ir a certificados, Usuario Actual\Personal. 3) En el men Accin / Todas las tareas / Importar, lanzar el asistente de recuperacin. Pulsar siguiente y aparecer una pgina para importar el archivo. 4) Entramos el path y el nombre del fichero del certificado de encriptacin (el fichero .pfx). 5) Entrar la password para este certificado (la tecleada anteriormente cuando ejecutamos el comando cipher) y seleccionamos "marcar esta clave como exportable". Pulsamos siguiente. 6) Seleccionamos: automticamente seleccionar el certificado basado en el tipo de certificado y pulsamos siguiente. A continuacin pulsamos finalizar. 7) En Local Security Settings (ejecutando: secpol.msc) vamos a Security Settings\Public Key Policies\Encrypting File System 8) Menu Accin / Aadir un agente de recuperacin. Pulsamos siguiente. 9) En la pgina de seleccionar agente de recuperacin, pulsamos el botn de Ver y navegamos a la carpeta que contiene el .cer que hemos creado. Seleccionamos el fichero y le damos "Abrir". Ahora nos mostrar el nuevo agente como USER_UNKNOWN. Esto es normal debido a que el nombre no est almacenado en el fichero. 10) Tecleamos siguiente y finalizamos.

7. POR QU DEBE HACER COPIA DE SEGURIDAD DE SUS CERTIFICADOS

Puesto que no hay ninguna forma de recuperar los datos cifrados con un certificado daado o perdido, es fundamental hacer copia de seguridad de los certificados y almacenarlos en una ubicacin segura. Tambin puede especificar un agente de recuperacin. Este agente puede restaurar los datos. El certificado del agente de recuperacin sirve para un propsito diferente que el certificado del usuario.

8. CMO HACER COPIA DE SEGURIDAD DE SU CERTIFICADO

Para hacer copia de seguridad de sus certificados, siga estos pasos:

1. 2. 3. 4. 5.

6. 7.

8. 9.

10.

Inicie Microsoft Internet Explorer. En el men Herramientas, haga clic en Opciones de Internet. En la ficha Contenido, en la seccin Certificados, haga clic en Certificados. Haga clic en la ficha Personal. Puede haber varios certificados presentes, dependiendo de si ha instalado o no certificados para otro fin. Seleccione un certificado cada vez hasta que el campo Propsitos planteados del certificado muestre Sistema de archivos de cifrado. ste es el certificado que se gener cuando cifr su primera carpeta. Haga clic en Exportar para iniciar el Asistente para exportacin de certificados y, a continuacin, haga clic en Siguiente. Haga clic en Exportar la clave privada para exportar la clave privada y, a continuacin, haga clic en Siguiente. Haga clic en Permitir proteccin segura y, a continuacin, haga clic en Siguiente. Escriba su contrasea. (Debe tener una contrasea para proteger la clave privada.) Especifique la ruta de acceso donde desea guardar la clave. Puede guardar la clave en un disquete, en otra ubicacin del disco duro o en un CD. Si se produce un error en el disco duro o se vuelve a formatear, se perdern la clave y la copia de seguridad. (Si hace copia de seguridad de la clave en un disquete o en un CD, debe guardar ese disco o ese CD en una ubicacin segura.) Especifique el destino y haga clic en Siguiente.