¿Cifrado = Privado?

Hace poco estuve realizando un curso de Administración y Mantenimiento de Windows Server 2003 para mejorar mis conocimientos sobre este sistema operativo, ya que cuanto más conoces un sistema, más sencillo resulta auditar la seguridad del mismo, que es a lo que me dedico en mi actividad profesional.

Durante la realización de este curso hubo algo que me impactó un poco en relación con el soporte que ofrece Microsoft en sus sistemas para cifrar archivos y carpetas en sistemas de ficheros NTFS. No cabe duda de que en un primer momento puede suponer muy funcional por el hecho de que se cifra la información sin tener que recordar una contraseña adicional, que todo se realiza transparentemente al usuario.

captura.jpgEl problema con las cosas «excesivamente funcionales y transparentes» es que en la mayor parte de los casos implican un decremento en su seguridad. Por poner un ejemplo, algunas de las preguntas que me surgieron al explicarme este método de cifrado:

¿Que pasa si el usuario olvida la clave y es necesario resetearsela? Se pierde la información cifrada sin posibilidad de recuperación. Al haber sido cifrada utilizando la contraseña de usuario.

En realidad no se perdería, lo cual aunque en principio puede parecer algo bueno, comprobareis que el mecanismo empleado vulnera en cierta medida la privacidad de los usuarios de este sistemas de cifrado integrado.

Cuando configuras un fichero o carpeta como cifrado con EFS, además del usuario que lo crea que evidentemente tiene acceso, puedes definir un listado de usuarios que también tendrán acceso a dicho fichero. Dichos usuarios son perfectamente gestionables por el usuario propietario del fichero. El problema radica en lo que podemos apreciar en esa misma ventana un poco más abajo. Existe un «rol» denominado «Agente de recuperación de datos» (que por defecto es el usuario Administrador y que el usuario no puede cambiar) que es capaz de acceder a cualquier información cifrada del sistema.

Como podeis imaginar, el hecho de que un usuario Administrador del sistema pueda acceder a toda esta información cifrada vulnera completamente la privacidad que se pretende alcanzar con el uso de herramientas criptográficas.

Todo esto me ha llevado a la conclusión que el sistema de cifrado EFS proporcionado por Microsoft en sus sistemas operativos no satisface los requisitos mínimos de seguridad, por lo que yo personalmente recomiendo utilizar software de terceros aunque ello implique tener que recordar una contraseña más o llevar con nosotros un token o certificado digital, nuestra privacidad vale esa molestia y mucho más.

Saludos.

Comments

  1. A ver a ver, un elemento básico en el cifrado de datos, en un entorno empresarial, es la posibilidad de recuperación (y eso se debe medir en una auditoría). Porque se te ocurre que pasaría, si tu te vas de tu empresa, y dejas cifrados con AES 192 (por ej.) todos los documentos de los proyectos en los que has trabajado, y no sólo con ejemplos «malignos», puedes perder tu clave privada,……..
    El EFS sin duda tiene sus cositas (como todo), pero esa no es una de ellas.

    Saludos!!
    Jesús

  2. Manuel Benet says

    En el caso que planteas es más apropiado un sistema de gestión de claves de cifrado, a través del cual puedan compartirse dichas claves con el personal adecuado, en lugar de poner esa información a disposición del personal con privilegios de administración.

    Imagina datos confidenciales del comité de dirección de una empresa, que no deben ser accedidos más que por personal del comité y no por el departamento de informática. Esos datos pueden perfectamente ser cifrados con una clave compartida por tres personas del comité, que asegure que son accesibles si una de ellas «falla».

    Por supuesto, implantar este tipo de sistemas o procedimientos no es sencillo, y desconozco si existe una herramienta al efecto, que por ejemplo asegure que la clave de cifrado de un fichero no se cambia si todas y cada una de las personas que integran lo que llamaríamos el «grupo de cifrado» no acceden a cambiarlo.

    En cualquier caso, entiendo que el EFS es suficiente para datos que por ley deben ir cifrados, pero insuficientes para datos que requieran algo más que privilegios de Administración para acceder a ellos (por ejemplo, una hoja Excel con las contraseñas de los sistemas).

  3. Pero es que eso que planteas, si no recuerdo mal (estoy muuuy oxidado), se puede hacer con EFS, por defecto el «agente de recuperación» era la cuenta de «Administrador», pero se podía cambiar y utilzar (designar) cualquier grupo que se decida, asignarle una contraseña que sólo el «responsable de claves» conozca, hacer copia y almacenamiento (gestión) de sus claves privadas,…..

    Saludos!!!!!!!

  4. Como tú dices Jesús, se puede cambiar el «agente de recuperación» al que tú quieras, pero eso solo puede cambiarlo el Administrador del dominio, por lo que el usuario no puede elegir si quieres este o aquel «agente de recuperación» o si no quiere que exista este rol para sus archivos cifrados.

    En el caso que planteas, cifrar sería un equivalente a restringir los permisos a nivel NTFS, la única diferencia sería que si roban fisicamente el equipo, la información estaría cifrada en el disco, pero vamos, esto es únicamente aplicable para equipos portátiles, no para servidores de ficheros, por ejemplo, que están fisicamente protegidos dentro de un CPD con las adecuadas medidas de seguridad.

    El cualquier caso, en mi opinión no es un mecanismo adecuado para el cifrado de la información puesto que la intrusión en el sistema mediante la ejecución de código con privilegios de Administrador supondría un acceso completo a toda la información cifrada del sistema, cosa que no sucedería nunca con un sistema de cifrado «habitual», en el que la privacidad y confidencialidad de la información permanecerían intactas aún habiendose producido la intrusión.

    La solución a que dicha información quede inaccesible es que la contraseña de cifrado la conozcan varias personas (igual que sucede en las contraseñas para acceder al fichero de las claves de la empresa), por ejemplo los directores generales o directores de determinadas áreas.

  5. Bueno,

    En la onsola de certificados puedes añadir otros certificados que no son los generados automaticamente por Win.

    Luego cada usuario puede generar sus propios certificados, y se le puede añadir el avisar cada vez que va ser usado.

    no obstante hay formas de saltarse ese tipo de cifrado, especialmente con algunas distros.

    hace muucho tiempo se me casco un server 2003, y los datos que estaban cifrados con efs en otra partición me costo recuperarlos hasta que di con el método.

    Lo mejor es compartir como te dicen certificados para documentos de acceso común, y privados para otras cosas.

    Todo esto combinado con las políticas de seguridad debería ser suficiente, y por supuesto restringir el acceso al almacen de certificados desde la web y hacia la web.

    Backups a memorias USB de los certificados, y cuidadito con la SAM.

    Saludos.