La semana pasada publicamos varios artículos relacionados con el Análisis Forense de Evernote. En ellos os descubríamos cómo Evernote almacena las notas en el equipo o dispositivo móvil, observando que dicho contenido no se cifra. De esta manera, ante un robo o pérdida del equipo pondríamos en riesgo una importante información, puesto que es muy fácil sentirse tentado y guardas notas con nuestras claves, pins y tarjetas de crédito, es decir, todo tipo de información sensible.
Hoy vamos a ver cómo cifrar nuestras notas, de forma que, en caso de pérdida o robo, nadie pueda recuperar la información, o, por lo menos, no pueda hacerlo fácilmente. Para ello explicaremos la forma nativa de Evernote (Método Evernote) o cómo hacerlo utilizando opciones nativas del sistema o mediante software específico, creando un contenedor cifrado:
Método Evernote
El propio Evernote tiene una opción para cifrar el contenido de las notas. Esta utilidad está limitada al permitir sólo cifrar el texto de las notas, nada de imágenes, pdfs, …
Desde la propia web de Evernote, en la sección de “Privacidad y Seguridad” podemos ver cómo citan que ellos están preocupados por la seguridad de sus usuarios por lo que nos proveen de alguna que otra solución, cito la traducción:
“Si tiene texto sensible que le gustaría recordar (contraseñas, números PIN, números de tarjeta de crédito), usted puede cifrar el texto en nuestro cliente de Windows (Mac próximamente) utilizando una contraseña que nunca se transmite a Evernote. Este texto cifrado sólo puede ser descifrado y leído en uno de sus equipos después de haber vuelto a introducir la contraseña de cifrado. No se puede acceder al texto sensible desde nuestros servidores o en su equipo por alguien que no conozca la contraseña.”
“Si tiene algunas notas que sólo quiera tener acceso desde un único ordenador, puede colocarlas una “Libreta local” en su equipo Windows o MAC. Las libretas locales nunca se transmiten a nuestro servicio, por lo que no son accesibles desde la web, o desde otros equipos. Esto podría permitir un mayor nivel de privacidad para algunas notas, a expensas de la accesibilidad y la fiabilidad que se obtiene con una nota sincronizada. “
Nos indican que la opción de cifrado en Mac estará disponible próximamente, a día de hoy esto ya lo tiene implementado. Visto esto, vamos a mostrar qué hacer para cifrar una nota:
- Abrir o crear la nota
- Seleccionar el texto a cifrar
- Botón Derecho, “Encriptar Texto Seleccionado…”
- Establecemos una clave de cifrado y aceptamos
Y ya está, así de simple. Para descifrar la nota sólo hay que hacer clic en el texto cifrado y seleccionar “Mostrar texto encriptado”. Y como un video vale más que mil palabras:
Pinche aquí para ver el vídeo
Si ahora hacemos la prueba del algodón y miramos el contenido de algún archivo “content.enml“ podemos ver cómo aparece el texto cifrado, en este ejemplo creamos una nota en la que pone simplemente hola y usamos como clave 1234, la salida es:
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
Pero esto no es todo, desde el foro de Evernote nos dicen que usan el algoritmo RC2 con clave de 64 bits, que combinan con su propia tecnología para sacar el texto cifrado:
“We are using a mature, standard encryption algorithm (RC2) with a “key strength” of 64 bits. This is the maximum security allowed by the US Government’s Commerce Department in software that is exported outside the US. (Allowing people to download software is considered an “export” by the government.)
This level of strength, combined with the general obscurity of our technology (no off-the-shelf tools for attackers), means that the average person wouldn’t have a way to get at your encrypted content if you choose a strong encryption passphrase (i.e. no words from the dictionary, etc.). This level would not protect against a concerted effort by a government agency or other organization willing to put in a few engineer-weeks of work and lots of computing cycles.
I personally consider this to be strong enough for me to store my encrypted passwords and credit card numbers in Evernote, but this is not because I think that the encryption is “uncrackable.” Rather, I feel that the level of effort required for someone to get this data would be a lot higher than the value they would get from a successful attack.
On the other hand, we feel that individual users should have the tools to make their own decisions about security and privacy. This level of cryptographic protection may not be appropriate for all users’ data.”
Personalmente, a mí esto no me inspira mucha confianza. Parece que además del algoritmo RC2 (el cuál es vulnerable) emplean “Seguridad por Oscuridad“ … que cada uno saque sus propias conclusiones. Si os interesa saber más sobre “Seguridad por Oscuridad” os recomiendo que le echéis un ojo a varias noticias de securitybydefault.com al respecto.
Y cuidado con lo que hacéis, puesto que el “Gobierno” podría dedicarle recursos a crackear las notas … guiño guiño
Contenedor Cifrado
A nivel local podríamos cifrar el disco duro completo, sólo nuestro directorio personal o cada archivo que nos interese.
Yo en mi Mac utilizo FileVault, éste no soporta cifrado de todo el disco duro, al contrario que BitLocker que sí lo soporta pero que sólo está disponible en Windows 7 en las versiones Ultimate y Enterprise, pero no en la Home.
Si utilizamos Evernote en Mac, podemos utilizar usar el software de Utilidad de Discos que nos permite crear de forma muy fácil un contenedor cifrado (según el asistente sería añadir una Nueva Imagen) utilizando la encriptación AES de 128 bits o AES de 256 bits (más segura pero más lenta). A este contenedor para este caso le llamaremos CRYPT_EVERNOTE.
Una vez creado montamos la unidad, movemos la carpeta personal de Evernote dentro de nuestro contenedor cifrado:
mv /Users/jose/Library/Application Support/Evernote /Volumes/CRYPT_EVERNOTE/
A continuación sólo nos queda crear un enlace simbólico y Evernote nunca se enterará de lo que ha pasado :)
ln -s /Volumes/CRYPT_EVERNOTE/Evernote /Users/jose/Library/Application Support/
En caso de Windows podemos crear un contenedor con el software TrueCrypt. El funcionamiento sería muy parecido, creamos un Volumen y en las opciones de Evernote indicamos la ruta de las notas locales, que deberá ser el volumen creado.
¿Qué dice Evernote?
Hace unos días enviamos un email a Evernote preguntándole como se cifraban las notas en el equipo, su contestación ha sido (cito textualmente):
“If you encrypt text within a note, we derive a 64-bit RC2 key from your passphrase and use this to encrypt the text. (This is the longest symmetric key length permitted by US Export restrictions without going through a complex process to gain export approval.)
We do not receive any copy of the key or your passphrase, or any escrow mechanism to recover your encrypted data. (I.e. if you forget your passphrase, we can’t recover your data.)”
Bueno, me hubiese gustado que me contasen algo más que simplemente lo que ya dicen en su web… pero entonces seguro que habría un empleado menos … así que nos tendremos que quedar sin saber cómo calculan la clave y que más hacen para generar la salida anterior, ¿alguna idea :) ?
Conclusión
Personalmente no soy partidario de la Seguridad por Oscuridad, pero bueno, creo que es mejor eso que nada. A parte de las opciones que Evernote trae instaladas nunca está de más cifrar el disco duro si no nos importa sacrificar algo de rendimiento para ganar mucho en seguridad … y si no podemos, pués utilizar TrueCrypt porque como dice esa cita tan famosa … “La información es poder” y que mejor que tenerla lo más a salvo posible.
Puzzle Bobble
Karate Blazers
Puzzle De Bloques
Magical Cat Adventure