Disco virtual cifrado con Veracrypt en Ubuntu Server para Raspberry Pi

Editado el 26 de Abril del 2021 a las 18:48:21 por Rafael Corro

Veracrypt es una herramienta que nos permite crear un disco virtual encriptado dentro de un archivo y montarlo como un disco real, encrypta dispositivos de almacenamiento, particiones, etc. Veracrypt es software libre y es una versión actualizada del proyecto descontinuado TrueCrypt, dónde han solventado diversas vulnerabilidades.

En este post, se realizará la instalación de Veracrypt en el sistema Ubuntu Server 20.04 para Raspberry Pi. Crearemos un archivo encryptado que usaremos como disco virtual y lo montaremos para usarlo como un disco de almacenamiento.

Las opciones que voy a seleccionar en este ejemplos son:

Tipo de volumen: normal
Path del archivo: /home/ubuntu/miarchivo
Algoritmo de encriptación: AES
Algoritmo del HASH: SHA-512
Sistema de ficheros: Ext4
PIM: ninguno
Archivo de claves: ninguno

Instalar Veracrypt

Añadimos repositorio:

sudo add-apt-repository ppa:unit193/encryption
sudo apt-get update

Instalamos:

sudo apt install veracrypt

Crear volumen

Insertamos el siguiente comando para crear nuestro disco virtual y durante el proceso Veracrypt nos hará algunas preguntas:

sudo veracrypt -t -c

En este caso elegiremos normal pulsando 1

Volume type:
1) Normal
2) Hidden
Select [1]: 1

Ahora tenemos que introducir el nombre del archivo que se va a crear. Por ejemplo el nombre que le voy a dar es "miarchivo" y quiero que esté dentro de la carpeta de usuario que en mi caso es "/home/ubuntu/"

Enter volume path: /home/ubuntu/miarchivo

Después nos preguntará que tamaño queremos que tenga. Yo le voy a poner por ejemplo 100 megabytes

Enter volume size (sizeK/size[M]/sizeG): 100M

Selecciono el algoritmo de encriptación a AES:

Encryption Algorithm:
1) AES
2) Serpent
3) Twofish
4) Camellia
5) Kuznyechik
6) AES(Twofish)
7) AES(Twofish(Serpent))
8) Camellia(Kuznyechik)
9) Camellia(Serpent)
10) Kuznyechik(AES)
11) Kuznyechik(Serpent(Camellia))
12) Kuznyechik(Twofish)
13) Serpent(AES)
14) Serpent(Twofish(AES))
15) Twofish(Serpent)
Select [1]: 1

Selecciono el algoritmo del hash a SHA-512:

Hash algorithm:
1) SHA-512
2) Whirlpool
3) SHA-256
4) Streebog
Select [1]: 1

Seleccionamos el sistema de archivos que tendrá el volumen, que en este caso será Ext4:

Filesystem:
1) None
2) FAT
3) Linux Ext2
4) Linux Ext3
5) Linux Ext4
6) NTFS
7) exFAT
8) Btrfs
Select [2]: 5

Ahora insertaremos una clave segura que tenga una buena longitud y contenga números y símbolos para evitar ser desencriptado por fuerza bruta, también nos pedira insertar el PIM (Personal Iterations Multiplier), pero si no se especifica ningún valor, VeraCrypt utilizará el número predeterminado de iteraciones, y por último nos pedirá que insertemos el archivo de llaves, pero en este caso solo introduciremos la contraseña y lo demás solo le damos a ENTER.

Enter password:
Re-enter password:

Enter PIM:

Enter keyfile path [none]:

Por último teclearemos aleatoriamente letras, números y símbolos, hasta un total de 320 caracteres para que se cree la base para nuestra clave de cifrado, y si no hemos tecleado suficientes caracteres, nos pedirá que sigammos introduciendo caracteres hasta que lleguemos a los 320:

Please type at least 320 randomly chosen characters and then press Enter:
Characters remaining: 7

Done: 100.000% Speed: 7.8 MiB/s Left: 0 s

The VeraCrypt volume has been successfully created.

Montar Volumen

El volumen ha sido creado, así que ahora para poder acceder a el, hay que montarlo de esta manera:

creamos un directorio en /media que por ejemplo lo llamaré "mivolumen":

sudo mkdir /media/mivolumen

y despues lo montamos así:

veracrypt /home/ubuntu/miarchivo /media/mivolumen --pim=0 --keyfiles= --protect-hidden=no

En el caso de que lo necesitemos montar automáticamente, podremos también incluir el password aunque esto dejaría más vulnerable nuestro volumen ante algún hacker que quisiera acceder a nuestro disco:

veracrypt /home/ubuntu/miarchivo /media/mivolumen -p micontraseña --pim=0 --keyfiles= --protect-hidden=no