Cómo recuperar datos cifrados con eCryptfs

eCryptfs es un sistema de archivos criptográfico ampliamente utilizado que permite habilitar la protección selectiva de archivos o directorios particulares. Si bien esta es una solución confiable y fácil de usar, puede presentar un desafío, cuando se necesita recuperar los datos cifrados con su ayuda que se han eliminado o perdido. Es que sin descifrarse adecuadamente, los datos recuperados no tendrán ningún valor y ni siquiera los usuarios autorizados podrán acceder a ellos. Afortunadamente, UFS Explorer facilita la restauración y el descifrado de archivos cifrados con eCryptfs, como demuestra la siguiente guía.


Detalles generales de eCryptfs

eCryptfs es un paquete de software de cifrado popular para Linux. Está disponible en los repositorios estándar de la mayoría de las distribuciones de Linux y se usa comúnmente por los fabricantes de NAS para cifrar carpetas compartidas en los dispositivos como Synology, QNAP, Asustor, TerraMaster y otros. En lugar de cifrar todo el disco, eCryptfs permite proteger sólo archivos y directorios individuales que contienen información confidencial. Asimismo, permite cifrar nombres de archivos y directorios. Los metadatos criptográficos se almacenan directamente en el encabezado del archivo, por lo que los elementos cifrados son independientes uno de otro.

La realización del cifrado es bastante sencilla y, por lo general, el resultado se ve así:

  • el nombre del archivo consta de un prefijo fijo "ECRYPTFS_FNEK_ECRYPTED." seguido de un "ID de cifrado" codificado en base64 y un nombre de archivo cifrado codificado en base64;

    alt

  • el encabezado del archivo tiene un formato particular que indica que está cifrado;

    alt

  • el contenido del archivo real está cifrado.

Cuando un archivo como este desaparece debido a una eliminación accidental u otro percance lógico que causó su pérdida, existe la posibilidad de que todavía pueda recuperarse con la ayuda de una utilidad de recuperación de datos. Sin embargo, dado que el contenido del archivo está cifrado, aún debe desbloquearse con ingresar las credenciales válidas. Esto se puede hacer con el archivo "wrapped-passphrase" (frase de contraseña envuelta) que almacena la clave de cifrado del archivo ("encryption passphrase" (frase de contraseña de cifrado)), o la propia frase de contraseña que debe conservarse con fines de respaldo.

UFS Explorer Professional Recovery presenta toda la funcionalidad necesaria para descifrar los datos cifrados con eCryptfs de varias configuraciones y permite realizar el procesamiento posterior fluido del contenido obtenido. Echemos un vistazo a cómo se pueden manejar diferentes configuraciones de eCryptfs utilizando este software de recuperación de datos. Pero, antes de continuar, familiarícese, por favor, con los principios de funcionamiento de eCryptfs descritos en el artículo dedicado.

Recuperación de archivos de una carpeta compartida cifrada de un dispositivo NAS

En nuestro primer ejemplo ilustrativo, usamos Synology NAS cuya carpeta compartida "Protected" está cifrada con eCryptfs.

alt

Como la mayoría de los dispositivos NAS, esta unidad tiene una implementación simplificada de eCryptfs. Usa una "clave de envoltura" (wrapping key) estándar fija en lugar de una generada a partir de la contraseña de usuario. Esta clave sirve para cifrar la "frase de contraseña de cifrado" (encryption passphrase) definida por el usuario que, a su vez, se emplea para cifrar archivos en la carpeta compartida dada.

La "frase de contraseña de cifrado" se almacena en forma "envuelta" en un archivo "*.key" especial.

alt

No obstante, cabe mencionar que los dispositivos NAS de otros proveedores, por ejemplo, de Western Digital, pueden tener sus propias configuraciones de eCryptfs y, por lo tanto, su descifrado puede realizarse de manera algo diferente. El archivo de respaldo de la "frase de contraseña de cifrado" también puede tener un formato o una ubicación diferente.

En caso de nuestro NAS de Synology, el descifrado de la carpeta compartida es posible siempre que tenga a disposición la "frase de contraseña de cifrado" correcta o el archivo "*.key" original.

Después de ensamblar el almacenamiento en la interfaz de UFS Explorer Professional Recovery siguiendo las recomendaciones para la recuperación de datos de Synology NAS, podemos examinar el contenido de su partición "data" directamente en el programa.

alt

Para acceder a la lista de carpetas compartidas en este NAS, hay que abrir la carpeta "@syno" y luego ir a la carpeta "@eaDir".

alt

El archivo "SYNO@.encrypt" en la carpeta que corresponde a la carpeta compartida "Protected" revela que está cifrada.

alt

Los datos reales cifrados se almacenan en otra carpeta en la raíz que tiene el mismo nombre, pero precedido y seguido por el símbolo "@".

alt

Para descifrar los archivos, se puede abrir el menú contextual del objeto de sistema de archivos respectivo y hacer clic en la opción "Transformar archivos del sistema de archivos".

alt

En el cuadro de diálogo abierto, se debe especificar la frase de contraseña de cifrado que se usó al crear la carpeta compartida en el campo "Contraseña de descifrado".

alt

Como resultado, en el software, aparecerá una nueva pestaña de "sistema de archivos de filtro eCryptfs". Esta pestaña contendrá los archivos que se han descifrado con la contraseña proporcionada.

alt

La contraseña de descifrado, si se olvida, también se puede "desenvolver" del archivo de copia de seguridad "*.key" exportado. Para este propósito, se puede usar la opción "Desenvolver contraseña de eCryptfs" del menú desplegable del elemento "Herramientas" en el menú principal de UFS Explorer Professional Recovery.

alt

En el cuadro de diálogo abierto, se debe establecer la "Ruta del archivo de clave" navegando a la ubicación del archivo de copia de seguridad "*.key".

alt

Después de eso, hay que elegir la opción "Contraseña predeterminada de Synology NAS" y hacer clic en "Desenvolver" para obtener la frase de contraseña de cifrado.

alt

La frase de contraseña de cifrado desenvuelta se puede copiar en el portapapeles y utilizar para descifrar archivos con la ayuda de la opción "Transformar archivos del sistema de archivos".

alt

Restauración de datos de una carpeta de inicio cifrada en Linux

A diferencia de la mayoría de las plataformas de NAS, Linux permite cifrar las carpetas de inicio del usuario con la implementación completamente funcional de eCryptfs. De forma predeterminada, se crea una clave de cifrado de archivo aleatoria y se requiere la contraseña de usuario para "desenvolverla" del archivo "wrapped-passphrase". Este enfoque asegura que el sistema permita cambiar la contraseña de usuario, pero complica un poco más las cosas cuando se trata del descifrado de la carpeta de inicio. El descifrado se puede realizar siempre que tanto la contraseña de usuario ("login passphrase") como el archivo "wrapped-passphrase" estén disponibles.

Echemos un vistazo a nuestro caso de ejemplo de Ubuntu. La carpeta de inicio del usuario "user" no está cifrada, mientras que el usuario "test" ha habilitado el cifrado de su carpeta de inicio.

alt

El contenido cifrado se encuentra en la carpeta ".ecryptfs", en la subcarpeta ".Private" de la carpeta que corresponde al usuario "test".

alt

La subcarpeta ".ecryptfs" contiene el archivo "wrapped-passphrase". Podemos copiar este archivo a una ubicación diferente para la extracción posterior de la clave de cifrado original.

alt

Ahora podemos aplicar la opción "Desenvolver contraseña de eCryptfs" del elemento "Herramientas" del menú principal de UFS Explorer Professional Recovery para "desenvolver" la clave de cifrado del archivo.

alt

En el cuadro de diálogo abierto, se debe subir el archivo "wrapped-passphrase" usando la opción "Ruta del archivo clave" y luego especificar la contraseña de usuario ("login passphrase" (frase de contraseña de inicio de sesión)) como "Contraseña de envoltura" para descifrar la clave de cifrado de archivo aleatoria.

alt

Después de que se pulse el botón "Desenvolver", el programa mostrará la clave de cifrado que se puede copiar en el portapapeles.

alt

Ahora podemos pasar a la opción "Transformar archivos del sistema de archivos" en el menú contextual del objeto de sistema de archivos respectivo.

alt

En el cuadro de diálogo abierto, pegamos la clave de cifrado copiada en el campo "Contraseña de descifrado" y cambiamos la propiedad "Longitud de clave de nombres de archivo" a 128 bits.

alt

Sin embargo, tenga en cuenta, por favor, que una instancia específica de eCryptfs no incluye la información sobre la longitud de clave para el descifrado de nombres de archivos. Si se elige una longitud de clave incorrecta, dichos nombres no se descifrarán correctamente, incluso con una contraseña de usuario válida. Si esto sucede, intente usar otras opciones de longitud de clave.

alt

Después de que se pulse "Ok", el software abre un nuevo "volumen de filtro eCryptfs", con la carpeta de inicio del usuario "test" descifrada.

alt

Guía de vídeo de cómo recuperar datos cifrados con eCryptfs

El siguiente vídeo ayuda a obtener una comprensión más clara del procedimiento de descifrado de eCryptfs:

Ver en YouTube

Última actualización: el 18 de agosto de 2023

Si le gusta este artículo, compártalo en sus redes sociales: