Cifrar perfil Thunderbird con Encfs

La criptografía, y el cifrado es imprescindible hoy en día, para poder obtener alguna garantía de salvaguardar nuestra privacidad, en los medios electrónicos, el cifrado en nuestros dispositivos, se hace imprescindible, no solo para evitar, que los servicios secretos o las grandes corporaciones de internet nos espíen y obtengan datos sobre ellos, si no también como forma de proteger a aquellos que nos brindan esos servicios de correo,almacenamiento,etc.. ante requerimientos gubernamentales o judiciales.

Aunque todavía queda mucho por hacer, parece que por lo menos el cifrado del correo, esta extendido como una practica mas o menos habitual, en colectivos sociales que se preocupan por la privacidad de internet.

Si no sabes como cifrar tu correo, puedes usar esta completa guía para cifrar tu correo electrónico con gpg en thunderbird https://elbinario.net/2014/03/20/cifrar-el-correo-electronico-con-gpg/ y la guía de la FSF en español https://emailselfdefense.fsf.org/es/

¿Es esto suficiente? NO, si tenemos configurado nuestro cliente thunderbird con imap o pop3, los correos se descargaran en thunderbird y si alguien tiene acceso local a ese equipo podrá sacar una copia de nuestro perfil de correo, que aunque si la mayoría están cifrados no podrá leer sin la clave correspondiente gpg o si podra intuir ciertos metadatos, de nuestro perfil, por lo que la solución pasa por el cifrado completo de la carpeta /home, disco duro, o perfil. Aunque lo recomendable seria tener todo el disco cifrado esto puede ser un engorro en equipos compartidos y demás,la opción de cifrar la partición /home es mucho mas asequible, o bien desde una instalación limpia que ofrece esa opción o mediante LUKS https://elbinario.net/2016/03/28/cifrar-particion-en-un-sistema-ya-instalado/ pero si solo queremos cifrar nuestro perfil de correo en thunderbird, los pasos son los siguientes:

  • Instalamos EncFs y fuse

    apt-get install encfs fuse-utils
    
  • Creamos nuestra carpetas para almacenar el correo cifrado y sin cifrar, en mi caso

    mkdir /home/anubys/correo_cifrado mkdir /home/anubys/correo_sincifrar

  • Creamos nuestro volumen cifrado en EncFs encfs

     encfs /home/anubys/correo_cifrado/ /home/anubys/correo_sincifrar/
    

Lo ponemos en modo paranoia P y le metemos una buena clave de cifrado

Ahora nuestro contenedor esta montado, por lo que todo lo que copiemos a nuestro carpeta de correo sin cifrar se copiara cifrado a la otra carpeta.

  • Copiamos recursivamente todo nuestro perfil de thunderbird al directorio sin cifrar, y su contenido se cifrara en nuestro contenedor cifrado

    cp -r /home/anubys/.thunderbird/* /home/anubys/correo_sincifrar/
    
  • Accedemos a nuestro directorio de thunderbird y renombramos(después eliminaremos) nuestra carpeta de perfil, en mi caso tndgqix0.default

     mv tndgqix0.default tndgqix0.default.borrar
    
  • Creamos un enlace simbólico a nuestro volumen sin cifrar de la siguiente manera

     ln -s /home/anubys/correo_sincifrar/tndgqix0.default/
    

  • Arrancamos thunderbird y cargara nuestro perfil y correo sin problemas, lo que hace thunderbird es mirar el archivo profiles.ini donde se le indica que busque la carpeta tndgqix0.default(en mi caso) por lo que como tenemos un enlace simbólico a nuestro contenedor con ese sombre, es capaz de encontrar el contenido y cargar el perfil correctamente.
  • Desmontamos el contenedor cifrado

     fusermount -u /home/anubys/correo_sincifrar
    

Si intentamos arrancar thunderbird nos dará un error indicando que no puede cargar el perfil, si accedemos a nuestra carpeta sin cifrar veremos que el contenido esta vació y si accedemos a la cifrada, veremos el siguiente contenido.

Para no tener que recordar los comandos de montar y desmontar los volumenes de correo podemos realizar un script o simplemente utilizar alias:

alias desmonta_correo='fusermount -u /home/anubys/correo_sincifrar' 

alias monta_correo='encfs /home/anubys/correo_cifrado/ /home/anubys/correo_sincifrar/'

Nota:Recordar que los alias se borran al apagar el equipo si no se registran en .bashrc

Ahora simplemente tendremos que acordarnos de montar y desmontar nuestro volumen de cifrado y tendremos nuestro perfil de correo seguro y privado a ojos ajenos ;)

2 Comments

Leave a Reply

Your email address will not be published. Required fields are marked *

To create code blocks or other preformatted text, indent by four spaces:

    This will be displayed in a monospaced font. The first four 
    spaces will be stripped off, but all other whitespace
    will be preserved.
    
    Markdown is turned off in code blocks:
     [This is not a link](http://example.com)

To create not a block, but an inline code span, use backticks:

Here is some inline `code`.

For more help see http://daringfireball.net/projects/markdown/syntax