Chiffrer le système : comment faire ?

Arbiel · Le 17/04/2014, à 03:30

Bonsoir

J'envisage de crypter mon système, ou plus exactement certaines partitions, et je bute sur quelques points.

Tout d'abord, les informations dont j'ai pris connaissance préconisent l'utilisation de LVM. Après mes premiers essais je m'interroge sur les "incompatibilités" entre les commandes et logiciels de base (gparted, blkid, …) et LVM. Quelles sont les commandes qui ne peuvent plus être utilisées sur les partitions cryptées ?

Quels sont les avantages effectifs de LVM pour ce qui concerne le cryptage ? Je comprends bien que, définissant une seule partition cryptée comme conteneur de toutes mes partitions "logiques", je n'aurai à entrer qu'une seule fois le mot de passe de déverrouillage de la clé de chiffrement. Mais je peux aussi, sans LVM, déverrouiller avec de petits fichiers toutes les clés de chiffrement de mes diverses partitions, sauf une, la seule pour laquelle je devrais entrer manuellement le mot de passe, dans laquelle je stockerais ces petits fichiers.

Par contre, je ne comprends pas bien comment s'organisent les traitements des fichiers crypttab et fstab. Décrypter une partition par un fichier dans crypttab nécessite d'y indiquer son chemin d'accès, et donc que fstab ait été préalablement traité, mais le montage d'une partition cryptée par fstab nécessite que crypttab ait préalablement été traité pour la création des "/dev/mapper". Les deux fichiers sont-ils exploités simultanément ?

Enfin, est-il vraiment intéressant de crypter la partition système ?

Merci d'avance à qui voudra bien m'indiquer où trouver des réponses à ces questions.

Arbiel

Dernière modification par Arbiel (Le 24/04/2014, à 17:13)

tiramiseb · Le 17/04/2014, à 08:46

Salut,

Pour commencer, le mot "crypter" n'existe pas en français. Le verbe à utiliser est "chiffrer".

je m'interroge sur les "incompatibilités" entre les commandes et logiciels de base (gparted, blkid, …) et LVM

gparted est un outil graphique de gestion des partitions de disques. Mais il sait apparemment également gérer les volumes logiques LVM. Menfin bon, comme toujours avec ce genre de manips, je préconise l'utilisation de la ligne de commande pour directement utiliser les outils faits pour ça et non une surcouche.

blkid est juste là pour identifier l'ID d'un périphérique de type bloc. Un volume logique LVM est un périphérique de type bloc. cqfd

Quels sont les avantages effectifs de LVM pour ce qui concerne le cryptage ?

s/cryptage/chiffrement/

Bof, aucune idée. On peut tout aussi bien chiffrer une partition classique...

Décrypter une partition par un fichier dans crypttab nécessite d'y indiquer son chemin d'accès, et donc que fstab ait été préalablement traité

s/Décrypter/Déchiffrer/

Qu'appelles-tu déchiffrer "par un fichier" ? Tu veux que la clé de chiffrement soit stockée dans un fichier ? Dans ce cas il faut que le fichier en question soit stocké sur un volume non chiffré...

Enfin, est-il vraiment intéressant de crypter la partition système ?

s/crypter/chiffrer/

Dans l'écrasante majorité des cas, il n'est pas intéressant de chiffrer quoi que ce soit.

Que t'apporterait le chiffrement ?
- si quelqu'un te vole ton ordinateur il n'aura pas accès à tes données
- si tu as une panne logicielle quelconque tu vas galérer à récupérer tes données
- si tu as une panne de disque dur "mal placée" tu risques de perdre toutes tes données alors que sans chiffrement tu ne perdrais qu'un fichier ou deux

Le chiffrement, c'est bien si ton ordinateur contient des données confidentielles (dossiers patients pour les médecins, documents "confidentiel défense", "matériel" de R&D dans une start-up de pointe, etc)

compte supprimé · Le 17/04/2014, à 18:39

Arbiel a écrit :

Bonsoir
J'envisage de crypter mon système, ou plus exactement certaines partitions, et je bute sur quelques points.
Tout d'abord, les informations dont j'ai pris connaissance préconisent l'utilisation de LVM. Après mes premiers essais je m'interroge sur les "incompatibilités" entre les commandes et logiciels de base (gparted, blkid, …) et LVM. Quelles sont les commandes qui ne peuvent plus être utilisées sur les partitions cryptées ?
Quels sont les avantages effectifs de LVM pour ce qui concerne le cryptage ? Je comprends bien que, définissant une seule partition cryptée comme conteneur de toutes mes partitions "logiques", je n'aurai à entrer qu'une seule fois le mot de passe de déverrouillage de la clé de chiffrement. Mais je peux aussi, sans LVM, déverrouiller avec de petits fichiers toutes les clés de chiffrement de mes diverses partitions, sauf une, la seule pour laquelle je devrais entrer manuellement le mot de passe, dans laquelle je stockerais ces petits fichiers.
Par contre, je ne comprends pas bien comment s'organisent les traitements des fichiers crypttab et fstab. Décrypter une partition par un fichier dans crypttab nécessite d'y indiquer son chemin d'accès, et donc que fstab ait été préalablement traité, mais le montage d'une partition cryptée par fstab nécessite que crypttab ait préalablement été traité pour la création des "/dev/mapper". Les deux fichiers sont-ils exploités simultanément ?
Enfin, est-il vraiment intéressant de crypter la partition système ?
Merci d'avance à qui voudra bien m'indiquer où trouver des réponses à ces questions.
Arbiel

Hello, pour chiffrer le système Ubuntu je sais qu'il y a une façon si le système est déjà installé, par contre je ne sais pas l'appliquer et donc ne la connaît pas bien (tu vas te dire qu'est-ce que je fais là lol ?)

Je sais le faire quand le système n'est pas encore installé, (ce que je conseille). Il vaut mieux (pour moi) installer une version d'Ubuntu LTS (long time support) qui possède les outils de chiffrage dès la nouvelle installation. Il faudra pour cela récupérer une version de Ubuntu appelée :

Ubuntu 12.0.4.4 LTS Alternate (j'utilsie le mot "Alternate" car c'est le mot utilisé par Cannoncial ou Ubuntu pour nommer la distribution qui comporte les logiciels pour chiffrer ton disque dur dès la nouvelle installation!) Son lien de téléchargement en version 64 bits : http://cdimage.ubuntu.com/releases/12.04/release/ (prendre donc la version ALTERNATE)

Déjà pour te déculpabiliser, et pour déculpabiliser tous lecteurs lisant ceci :

Tu as posé aujourd'hui une question (à laquelle je vais répondre en mes thermes, ma foi je m'en excuse d'avance car je n'ai que peu de connaissances sur le sujet), mais déjà tu es libre de vouloir chiffrer tes données sans en dire JAMAIS la raison exacte sur le forum ICI ou sur d'autres forums sur lesquels tu aurais posé la même question, je peux t'apprendre à le faire mais seulement la façon dont je sais le faire.

Il y a deux écoles.

Celle qui installe une version d'Ubutnu LTS ALTERNATE et le fait dès la nouvelle installe sur un disque dur acheté dans le commerce neuf ou d'occasion et dont les blocs secteurs sont restés en mode "mis à zéro" d'usine.

Mais là en cas de vol du PC, la cryptanalyse sera facilité si quelqu'un s'en empare (et qu'il s'y connaît en cryptanalyse bien sûr).

Et l'autre école qui préconise de changer d’office l'agencement des blocs secteurs du disque dur neuf (ou d'occasion). Mais en le remplissant tout simplement par des données pseudos aléatoires, et ensuite par une petite passe de données complètement aléatoires.

Et là ton disque dur sera un disque dur avec des blocs secteurs uniques au monde, qui entravent de beaucoup la cryptanalyse en cas de vol du PC. Il est évident que j'ai choisi cette voie la.(pour les raisons qui me regardent, oui oui )

Pour cette deuxième école, on "préparera donc notre disque dur" dans le but d'une installation chiffrée d'ubuntu. On sera donc (une fois fait) sur un disque dur rempli de blocs aléatoires et pseudos aléatoires, ils ne seront donc plus du tout dans l'état où nous les avions acquis lors de l'achat du disque dur neuf ou d'occasion, ils ne seront plus calé "à zéro" d'usine car ils seront pseudo-aléatoires et aléatoires !!

Et c'est là tout l'intérêt d'un chiffrage solide pour moi !

Si tu as tout suivit jusque là dit le moi, les données et lien suivant seront différents suivant la méthode que tu veux adopter, en sachant que la cryptanalyse dont je parle au dessus ne sera vraiment facilité que si tu ne changes pas les blocs secteurs mis à zéro d'usine. Mais cette partie de cryptanalyse facilité n'est peut-être accessible qu'à 5000 personnes sur terre en ce moment ( en comptant très large)?

Est-ce que ton disque dur va tomber entre les mains de ces gens là ? A toi de voir man ! (Tu en penses ce que tu veux, tu choisies les options que tu veux, parce que Les Droits de l'Homme , Liberté etc...Etc....)

D'avance je peux te dire que pour remplir un disque dur en données pseudos-aléatoires cela sera vraiment suffisant, pour le disque dur d'un particulier bien sûr et même d’une entreprise(mais si tu juges que tes données mérites le top des protections je peux te dire comment faire., il te faut savoir que tu ne pourras faire que le début du disque dur pour les données vraiment aléatoires, (d'où l'intérêt de le remplir d'abord ET ENTIEREMENT par des données pseudos aléatoires qui je le répète seront suffisantes pour te protéger de la cryptanalyse poussée de certaines personnes).

Il faut sept ans pour remplir entièrement un disque dur SSD de 120 giga avec des vraies données aléatoires (avec ma méthode qui est la méthode que j'ai trouvé sur le net après de multiples jours de recherches).

Mais il faut seulement 6 heures 30 min pour le remplir entièrement de données pseudo-aléatoires. (qui je le rappelle suffiront largement pour tout un chacun !)

7 ans contre six heures trente (pour 120 malheureux Gigas) !!

(par contre tu pourras le remplir de données vraiment aléatoires quand même ! Mais que le début du disque, car le faire en entier prend vraiment 7 années ! Et le début peu suffire, mais seulement si tu as rempli d'abord le disque entièrement de données pseudo-aléatoires, voilààà....)

Tu peux déjà lire le lien qui suit, je reste là si tu veux attaquer et te lancer dans le chiffrage du disque dur (et je conseille une nouvelle installe, très propre, très propre de tout !)

Mais sache qu'avec moi je ne te demanderai jamais ce que tu veux chiffrer et je te conduis à ne pas le divulguer sur un forum public, ce serait la première des choses à faire pour chiffrer tes premières données personnelles, ne pas en divulguer leurs racines, jamais, on ne dit pas ce que l'on chiffre, jamais, hé hé ça fait espion de pacotille, série télé bien pourrie j'adore, et j'adore ta question lol !

Le lien qui t'explique comment remplir un disque dur de données pseudos-aléatoires et aléatoires : http://www.linuxpedia.fr/doku.php/exper … cryptsetup

Dernière modification par -pascal34- (Le 17/04/2014, à 22:02)

compte supprimé · Le 17/04/2014, à 21:01

J'ai édité mon message au dessus, il n'était pas très compréhensible selon moi, bonne lecture.

compte supprimé · Le 18/04/2014, à 13:33

Si trop compliqué, tu as des infos à ces trois liens :

http://doc.ubuntu-fr.org/ecryptfs

http://doc.ubuntu-fr.org/tutoriel/chiffrer_son_disque

http://doc.ubuntu-fr.org/cryptsetup

Passe nous dire si tu as trouvé ta solution, à plus

Hoper · Le 18/04/2014, à 15:58

Bonjour,

Je ne sais pas ou tu habites, mais si tu te trouves dans le 78 ou pas trop loin, l’association root66 se retrouvera le samedi 17 mai pour justement parler du sujet. (Un sujet que je présenterai ayant une certaine expérience du sujet).

Je ne vais pas répondre à tout ici, mais voila quelques remarques :

Quels sont les avantages effectifs de LVM pour ce qui concerne le cryptage ?

Il y n'y a aucun rapport entre les deux. Mais chiffrer sans utiliser LVM, et bien c'est tout simplement perdre tous les avantages de LVM !

Et franchement, même avec très peu de disques, LVM apporte une telle simplicité dans l'exploitation quotidienne que personnellement je ne pourrai plus jamais m'en passer. Ne serait-ce que pour simplement remplacer un disque par un autre (un 2To par un 4 par exemple), tout cela à chaud et sans se préoccuper de rien.

je m'interroge sur les "incompatibilités" entre les commandes et logiciels de base (gparted, blkid, …) et LVM

LVM c'est la base Le device mapper est beaucoup plus proche du noyaux que toutes les commandes que tu appel "de base". Une commande comme parted est un programme comme un autre. Bref, pour répondre à ta question, non aucune incompatibilité. LVM est très, très bien supporté depuis très longtemps. C'est par exemple beaucoup plus vieux qu'ext4. Pourtant tu ne te demande pas si ext4 peut poser des problèmes de compatibilité...
(Evidement, je ne raisone ici que dans un monde pure linux... Dans un monde hétérogêne, il est évident qu'LVM est à proscrire si tu veux pouvoir accéder à tes données depuis un windows ou autre chose).

Enfin, est-il vraiment intéressant de crypter la partition système ?

Cette question ne se pose pas ainsi. Cela fait des jours que je veux écrire un billet sur le sujet mais, en résumé, chiffrer ses données ne suffit pas dans 99% des cas. En fait, quand on commence à chiffrer, et si on veut vraiment aller au bout des choses et être certain que personne ne peut savoir ce qui se trouve sur ces disques, alors on en vient rapidement à chiffrer quasiment tout. Encore une fois, j'expliquerai ça mieux... bientôt.

EDIT :

Par contre, je ne comprends pas bien comment s'organisent les traitements des fichiers crypttab et fstab.

crypttab est lu très, très tot. Bien avant fstab. Dans le fichier crypttab, dans chaque ligne tu trouve : un device "cible" (exemple "toto"), un algo de chiffrement (cypher), une taille de clef, éventuellement un chemin d'accès à la clef (ça ce serait con sauf si c'est sur un média amovible), et un device physique source (ca peut être un disque, une partition, un volume lvm ou n'importe quoi). Après avoir demander le mot de passe, un nouveau device (toto) sera donc crée et correspondra à la version déchiffrée du device physique. Plus tard, on pourra trouver une référence à toto dans le fichier /etc/fstab, pour lui indiquer, si c'est un FS, ou il faut le monter.

Dernière modification par Hoper (Le 18/04/2014, à 16:02)

compte supprimé · Le 18/04/2014, à 16:05

Hoper a écrit :

Bonjour,

Cette question ne se pose pas ainsi. Cela fait des jours que je veux écrire un billet sur le sujet mais, en résumé, chiffrer ses données ne suffit pas dans 99% des cas. En fait, quand on commence à chiffrer, et si on veut vraiment aller au bout des choses et être certain que personne ne peut savoir ce qui se trouve sur ces disques, alors on en vient rapidement à chiffrer quasiment tout. Encore une fois, j'expliquerai ça mieux... bientôt.

Hello.

Étant novice sur le sujet, cela m'intéresse beaucoup, j'espère que tu pourras arriver au bout de ce futur article.(si je puis le nommer ainsi, tu rectifieras s'il faut pas de soucis)

Dernière modification par -pascal34- (Le 18/04/2014, à 16:17)

Hoper · Le 18/04/2014, à 16:21

Je pense surtout que je vais le faire beaucoup plus court que ce que je voulais faire au départ, et que du coup, oui, il va s'écrire vite

compte supprimé · Le 18/04/2014, à 16:23

Oui.

Laisseras-tu une option d'interactivité dessus si l'on a des questions stp ?

Hoper · Le 18/04/2014, à 16:28

Les commentaires sur mon blog ont toujours étés totalement ouverts, sans aucune modération, et je peux te promettre que ça restera tout le temps comme ça.

Il n'y a qu'une chose qui est plus important que le libre pour l'humanité. c'est LA liberté (à commencer par la liberté d'expression bien sur).

compte supprimé · Le 18/04/2014, à 17:03

Merci, je ferai un saut là bas. Tu ne parles pas de créer une discussion ici ? ce serait pas mal pour les utilisateurs qui ne connaissent pas ton blog, est-ce prévu ou pas du tout stp ??

SangokuSS · Le 19/04/2014, à 09:08

tiramiseb a écrit :

- si tu as une panne logicielle quelconque tu vas galérer à récupérer tes données
- si tu as une panne de disque dur "mal placée" tu risques de perdre toutes tes données alors que sans chiffrement tu ne perdrais qu'un fichier ou deux

Par forcément. Personnellement, je synchronise tous les disques de mes ordis avec mon serveur de sauvegarde sur différents disques, ce qui m'évite tout problème en cas de crash / casse...

tiramiseb a écrit :

Le chiffrement, c'est bien si ton ordinateur contient des données confidentielles (dossiers patients pour les médecins, documents "confidentiel défense", "matériel" de R&D dans une start-up de pointe, etc)

De plus en plus de jobs impliquent justement la manipulation de données confidentielles. Quand on y réfléchit, la simple diffusion de données « scolaires » (genre bulletins...) poseraient déjà pas mal de soucis.

Je suis donc pour :
- Durcir le système au mieux (le "plus" est toujours mieux que le "moins" sur ce sujet !) et n'autoriser que le strict minimum,
- Faire des sauvegardes constantes (à minima une fois par jour si l'ordinateur est un outil de travail..., l'utilisation d'une synchro à la Owncloud est bien pratique et complémentaire aux sauvegardes habituelles par exemple).

Dernière modification par SangokuSS (Le 19/04/2014, à 09:08)

compte supprimé · Le 19/04/2014, à 09:44

SangokuSS a écrit :
tiramiseb a écrit :
- si tu as une panne logicielle quelconque tu vas galérer à récupérer tes données
- si tu as une panne de disque dur "mal placée" tu risques de perdre toutes tes données alors que sans chiffrement tu ne perdrais qu'un fichier ou deux
Par forcément. Personnellement, je synchronise tous les disques de mes ordis avec mon serveur de sauvegarde sur différents disques, ce qui m'évite tout problème en cas de crash / casse...

Oui, beaucoup font comme toi, et ça fonctionne très bien, et c'est même à ça que cela sert

tiramiseb a écrit :
Le chiffrement, c'est bien si ton ordinateur contient des données confidentielles (dossiers patients pour les médecins, documents "confidentiel défense", "matériel" de R&D dans une start-up de pointe, etc)
De plus en plus de jobs impliquent justement la manipulation de données confidentielles. Quand on y réfléchit, la simple diffusion de données « scolaires » (genre bulletins...) poseraient déjà pas mal de soucis.
Je suis donc pour :
- Durcir le système au mieux (le "plus" est toujours mieux que le "moins" sur ce sujet !) et n'autoriser que le strict minimum,
- Faire des sauvegardes constantes (à minima une fois par jour si l'ordinateur est un outil de travail..., l'utilisation d'une synchro à la Owncloud est bien pratique et complémentaire aux sauvegardes habituelles par exemple).

J'ai une grosse appréhension de tout ce qui est services Cloud(service dans les nuages), car j'ai des parties chiffrées que je pourrais envoyer dans les nuages pour sauvegardes par exemple, mais cela ne m'intéresse pas, comme personne n'y a accès chez moi par internet, car j'ai blindé mon réseau informatique (BOX + pares-feu divers), je me dis que ces données ne fuitent pas, ou alors elles vont le faire difficilement par un pirate informatique, mais bon, il faudra qu'il passe du temps pour récupérer cela, et surtout qu'il sache pourquoi il va le faire, sinon c'est un peu mort pour lui, il ne tente même pas parce que pas sûr de récupérer du pognon etc... (mais cela dit le risque existe toujours hein, même si j'ai tout blindé, des gens sont très forts pour corrompre des machines, donc prudence est mère de sûreté comme on dit).

Seulement une fois dans les nuages, je trouve que c'est comme si toutes mes protections de BOX et pares-feu divers ne servaient à plus rien !!!!! Car c'est moi qui crée la "fuite" sur mon réseau, en donnant toutes mes données chiffrées à un service de Cloud, qui va avoir tout le loisir, s'il est à moitié mafieux, de perpétrer toutes les attaques possibles sur mes fichiers chiffrés pour en connaître le contenu, par ce qu'il les aura advitam eternam, et il les aura obtenu, sans passer toutes mes protections BOX et pare-feu, juste parce que je fais confiance à son Cloud, mais ces gens là, je ne les connais pas moi !!!!

Bon, j'avoue être novice en la matière, mais je vais attendre que toi ou d'autres membres m'en apprennent plus sur le sujet, merci SangokuSS.

Dernière modification par -pascal34- (Le 19/04/2014, à 09:47)

Arbiel · Le 19/04/2014, à 16:19

Bonjour à vous tous

Je vous prie de bien vouloir m'excuser de revenir si tardivement vous remercier pour toutes ces informations. Cette lenteur résulte de ce qu'elles m'ont conduit à réfléchir à mes objectifs, qui restent encore flous.

Ce sont quelques récentes mésaventures, sources de fuite de mes fichiers dans la nature, pour l'instant sans autre conséquence que le désagrément de savoir une partie de ma vie privée potentiellement exposée à quelques yeux indiscrets, mésaventures auxquelles s'ajoutent, bien que non correllés, les scandales des écoutes et une fraude à ma carte bancaire, restée sans conséquence, qui m'ont incité à me pencher sur le sujet.

Peut-être suis-je un peu naïf de penser que n'appliquer que quelques principes de sécurité, contrairement à la position qu'apparemment partagent pascal34, hoper et SangokuSS, devrait suffire à mon bonheur. Mais, d'un autre côté et pour tenter de leur donner raison, s'il n'est pas vraiment plus difficile d'appliquer des principes plus fiables, alors pourquoi devrais-je me limiter ?

Ce sont les arguments de tiramiseb

tiramiseb a écrit :

- si quelqu'un te vole ton ordinateur il n'aura pas accès à tes données
- si tu as une panne logicielle quelconque tu vas galérer à récupérer tes données
- si tu as une panne de disque dur "mal placée" tu risques de perdre toutes tes données alors que sans chiffrement tu ne perdrais qu'un fichier ou deux

qui me font hésiter.

Tiramiseb, ton premier argument "si quelqu'un te vole ton ordinateur il n'aura pas accès à tes données" est en contradiction avec

http://doc.ubuntu-fr.org/cryptsetup a écrit :

Afin de protéger au mieux vos données personnelles, il peut être nécessaire de chiffrer vos partitions utilisateur. En effet, si via le système il est impossible d’accéder aux fichiers qui ne vous appartiennent pas, un simple passage sur un livecd permet d’accéder à n’importe quel fichier de votre système

Qu'en est-il vraiment ?

J'aimerais aussi, s'il te plaît, avoir quelques explications sur les deux autres arguments.

Que peut bien être la panne logicielle, ou l'erreur de manipulation (?), que tu envisages ? Penses-tu à l'altération de la clé de chiffrement ? Cette clé, où est-elle enregistrée ? N'est-il pas possible de la sauver quelque part ? Penses-tu à d'autres événements ?

La panne disque "mal placée" correspond-elle à l'impossibilité de relire le secteur où la clé de chiffrement est enregistrée ?

La parade présentée par SangokuSS

SangokuSS a écrit :

l'utilisation d'une synchro à la Owncloud

ne me paraît pas du tout appropriée, car, et cela va peut-être dans le sens de la réplique de pascal34, si j'ai bien compris, l'envoi à l'extérieur d'un fichier enregistré sur une partition chiffrée n'est pas lui-même chiffré. Il y est donc à la disposition de quiconque a accès à cet extérieur. Pour bien faire, ne faut-il pas alors chiffrer le fichier lui-même, et alors, à quoi bon chiffrer la partition ?

Pour en revenir à d'autres points que j'avais évoqués

incompatibilités : après avoir chiffré une partition et laissé passer quelques jours, j'ai voulu écrire la ligne de crypttab de création du "bloc device" et j'ai eu des difficultés pour trouver l'UUID ; pour ce qui concerne GParted, j'ai voulu modifier l'étiquette de la partition support (et je n'y suis pas encore parvenu) et celle de la partition déchiffrée (et j'y suis parvenu par le gestionnaire des disques)

réticences à utiliser LVM : si une erreur affecte la ou une des partitions support, tout le contenu me semble perdu. À tord ou à raison, j'ai plutôt tendance à multiplier les partitions pour limiter l'ampleur des catastrophes que je provoque par mes maladresses et qui sont plus fréquentes que le piratage de mes fichiers.

fichiers crypttab et fstab : compte de ma réticence à utiliser LVM et de mes interrogations sur l'ampleur de la cible de mon chiffrement, j'envisage(ais) de chiffrer plusieurs partitions ; pour éviter d'entrer autant de fois le mot de passe que de partitions chiffrées, et en l'absence d'une option qui permettrait d'utiliser un même mot de passe pour retrouver la clé de chiffrement de plusieurs partitions, il faut bien passer par un ou des fichiers ; j'espérais pouvoir mettre ces fichiers sur la première partition traitée dans crypttab (le premier "bloc device" construit par mapper), mais je comprends dans tes explications, hoper

hoper a écrit :

crypttab est lu très, très tot. Bien avant fstab

que ce n'est pas possible ; utiliser un support amovible

hoper a écrit :

éventuellement un chemin d'accès à la clef (ça ce serait con sauf si c'est sur un média amovible)

est envisageable, d'autant plus qu'actuellement je ne démarre plus mon PC que par support amovible, mais comment donner le chemin d'accès à ce fichier dans crypttab puisqu'au moment de l'exploitation de ce fichier, rien n'est encore monté ?

question vocabulaire : surpris par ton affirmation

tiramiseb a écrit :

Pour commencer, le mot "crypter" n'existe pas en français.

je me suis reporté à mon dictionnaire, "Le Petit Larousse, 2008", dans lequel j'ai trouvé, entre autres les termes suivants : "chiffrer", "chiffrement", "chiffreur", "cryptage", "crypter" (terme pour lequel le dictionnaire précise qu'en informatique on dit aussi "encrypter"), "cryptogramme". Certaines émissions de télévision ne sont-elles pas cryptées ?
Par contre, c'est bien volontiers que je me conforme à

tiramiseb a écrit :

Le verbe à utiliser est "chiffrer".

Enfin, et le problème me semble bien plus important, mais bien plus difficile à résoudre car il ne concerne pas chacun de nous individuellement, ce sont les messages que nous échangeons qui représentent notre plus importante vulnérabilité.

Encore merci pour vos conseils, vos explications et vos commentaires, et bonnes fêtes de Pâques à tous

Arbiel

Dernière modification par Arbiel (Le 19/04/2014, à 16:22)

compte supprimé · Le 20/04/2014, à 08:35

Arbiel a écrit :

Bonjour
Si j'ai bien compris, l'envoi à l'extérieur d'un fichier enregistré sur une partition chiffrée n'est pas lui-même chiffré. Il y est donc à la disposition de quiconque a accès à cet extérieur. Pour bien faire, ne faut-il pas alors chiffrer le fichier lui-même, et alors, à quoi bon chiffrer la partition ?

Si tu veux envoyer un fichier non-chiffré et sur un quelconque service de Cloud à partir d'une connexion non-chiffrée elle aussi alors que tu n'as donc pas établie une connexion chiffrée (comme par exemple avec ta banque pour une consultation du solde de ton compte bancaire), alors les données peuvent éventuellement être interceptées par un pirate informatique.

Si la connexion avec le service Cloud concerné est chiffrée entre toi et le serveur du Cloud alors les données ne peuvent, par définition, pas être intercepté par un pirate informatique.

Tu peux mettre des données personnelles non chiffrées sur le Cloud (ce que beaucoup de gens font), mais alors elles seront accessibles aux gens qui bossent dans ce Cloud (moi je n'aime pas ça, des données personnelles, par définition, sont personnelle et doivent restées sur un ordinateur personnel ! ). Mais comme sur l'exemple du dessus, il faudra savoir si en plus tu les fais transiter tes données chiffrées (ou non chiffrées) par une connexion chiffrée au serveur Cloud ou si tu les fais transiter par une connexion non-chiffrée au serveur Cloud, (tout ça pour déterminer les risques d'interceptions des données).

Tu peux mettre des données personnelles chiffrées sur ce service de Cloud, (que tu auras acheminé comme dit au dessus par connexion chiffrée à ton serveur Cloud ou par connexion non chiffrée). A partir du moment où tu mets des données personnelles (même très bien chiffrées), elles ont quitté ton ordinateur (ce qui pour moi est dangereux, car là elles sont accessibles au personnel du Cloud ou aux divers pirates informatiques qui auraient eu un accès illicite et confidentiel au service Cloud que tu utilises, et qui peuvent les récupérer pour tenter par tout les moyens d'en trouver le mot de passe et voir ce qu'il y a dedans. Mais si tu ne mets pas tes données personnelles ET chiffrées sur le disque dur d'un Cloud quelconque, alors tes données personnelles chiffrées restent sur ton disque dur à la maison, bien protégées derrière ta BOX et ton (ou tes) pares-feu et systèmes de protection !

Tu te demandes à la fin du message (le message que je reprends au dessus) le pourquoi chiffrer ses données du coup si on utilise pas de service Cloud ? Là c'est en cas de vol du PC, des données chiffrées protégées par un mot de passe long et complexe seront à l’abri jusqu'à ta mort je pense, du coup c'est très avantageux, les voleurs seront bloqués ! Mais les mettre sur un Cloud et même de façon chiffrée, pour moi c'est une fuite de données !!!! En faisant cela tu leurs dis clairement, oui oui voilà ce que sont mes données persos chiffrées, en plus je vous donne les vraies, les bonnes (le fichier qui fait 150 mégaoctets et qui est chiffré là ce sont mes vraies données persos), et vous allez pouvoir faire calculer votre ordi ou votre réseau d'ordi dessus afin de tenter de trouver la clé que j'ai utilisé (ou le mot de passe si tu préfères), et là tu pars en disant : "Je vous en prie, ça m'a fait plaisir."

Là moi je dis, autant les donner en clair. ça ira plus vite pour eux et c'est écologique, ça ne demande pas de grosse ressources électriques générées par du calcule intensif pour voir ce qu'il y a dedans, vu que c'est lisible tout de suite.... Lol ! Soyez sympa avec les employés véreux des services Cloud du monde entier et avec leur potos les pirates informatiques ayant réussi à avoir un accès non autorisé à ce service Cloud que VOUS payez, enfin quoi ??? !!!!!

Vous avez compris que pour les pirates, les services de Cloud (dans les nuages) sont très intéressants, car un nombre incalculable de gens y mettent leur données persos ! Et non chiffrées de plus ! Une aubaine pour les pirates ayant eu accès non-autorisé à un service Cloud quelconque, il vont pouvoir choper plein de données persos de plein de gens, et là, sur ces services Cloud, des gens y stockent même leurs mots de passe en clair, leur agenda perso comme ça on sait pile poil où les trouver dès le lendemain et à quelle heure les y trouver, ou bien on sait leur période de vacances pour bien cambrioler leur baraque pendant qu'ils sont à la mer ! (Merci l'agenda Google !) Bref, protéger sa vie privée de tout un tas de services de réseaux sociaux est important car ces réseaux sont capables de récolter un max de données de vos vies personnelles et celles de vos proches et de faire des intercations entre tout ça, depuis leurs serveurs, les serveurs où sont stockées les données Facebook, google et tous les autres.

C'est pour cela qu'il faut prendre les devant. Bien protéger ses PC par du chiffrement de partition complète, par de forts mot de passe, par des mises à jours logiciels ou des mises à jour du système d'exploitation toujours à jour !! Chiffrer entièrement son système d'exploitation et ses données c'est contre les voleurs de PC ou contre toutes personnes auxquelles vous ne suhaitez pas qu'ils puissent se seervir de votre PC et connaître vos moits de passe firefox par exemple, rien qu'en allumant votre PC lol...

Et avoir dans sa tête, un classement par section de données importantes et détails de sa vie privée que l'on peut dire à certaines personnes et pas à d'autres ! C'est compliqué mais la vie est compliquée !!! A cause de ces gens peu scrupuleux !!!!! Un mec véreux qui bosse chez Google au service de gestion des agendas peut sans aucun problème renseigner tout un tas de gens sur vos départs en vacances, et votre emploi du temps en direct, et les monnayer en plus ! Tout bénefs ! Quand aux flics, alors là c'est JackPot, Google et bien d'autres) autorise(nt) un accès complet aux données vous concernant en cas d'enquêtes de Police. Bref, c'est mort pour la confidentialité dans beaucoup de services en ligne en ce moment ! Et c'est pas près de changer !

Le chiffrage de données, tout un programme. A la fois simple et sûr, oui, ce n'est pas si compliqué que cela. et par exemple, on peut utiliser les bons Logiciels, Truecrypt en version 7.1a à reçu la meilleure distinction de sécurité de l'ANSSI : http://www.ssi.gouv.fr/fr/produits-et-p … fies-cspn/

Au lien au dessus Truecrypt est dans la quatrième case de la colonne du tableau appelée : Produit certifié.

Dernière modification par -pascal34- (Le 20/04/2014, à 11:54)

tiramiseb · Le 20/04/2014, à 14:35

Arbiel a écrit :

Tiramiseb, ton premier argument "si quelqu'un te vole ton ordinateur il n'aura pas accès à tes données" est en contradiction avec
http://doc.ubuntu-fr.org/cryptsetup a écrit :
Afin de protéger au mieux vos données personnelles, il peut être nécessaire de chiffrer vos partitions utilisateur. En effet, si via le système il est impossible d’accéder aux fichiers qui ne vous appartiennent pas, un simple passage sur un livecd permet d’accéder à n’importe quel fichier de votre système
Qu'en est-il vraiment ?

La page que tu cites est simplement mal rédigée. Il faut lire : « Afin de protéger au mieux vos données personnelles, il peut être nécessaire de chiffrer vos partitions utilisateur. En effet, si via le système il est impossible d’accéder aux fichiers qui ne vous appartiennent pas, un simple passage sur un livecd permet d’accéder à n’importe quel fichier non chiffré de votre système ».

Que peut bien être la panne logicielle, ou l'erreur de manipulation (?), que tu envisages ?

J'ai depuis bien longtemps appris à ne pas "envisager" une erreur précise : les voies de l'informatique sont impénétrables. Bug ? Erreur de manipulation quelconque (des histoires d'utilisateurs ayant des idées très tordues et aboutissant à des situations qu'on n'avait jamais imaginées, on est beaucoup à en avoir) ?

La panne disque "mal placée" correspond-elle à l'impossibilité de relire le secteur où la clé de chiffrement est enregistrée ?

Grosso modo oui je pense à ce genre de choses.
Mais je ne suis pas du tout expert en chiffrement de disques, donc j'en ai une vision assez simpliste.

Et par habitude, quand je ne connais pas je me méfie.

La parade présentée par SangokuSS [...] ne me paraît pas du tout appropriée

Je suis d'accord. Chiffrer un volume local pour mettre son contenu non chiffré ailleurs, c'est limite...

réticences à utiliser LVM : si une erreur affecte la ou une des partitions support, tout le contenu me semble perdu. À tord ou à raison, j'ai plutôt tendance à multiplier les partitions pour limiter l'ampleur des catastrophes que je provoque par mes maladresses et qui sont plus fréquentes que le piratage de mes fichiers.

Une fois le volume physique créé, on n'y touche plus, on ne travaille que sur la couche logique. Donc une erreur humaine est assez limitée, à partir du moment où on se limite à travailler sur la couche logique

SangokuSS · Le 20/04/2014, à 20:09

La parade présentée par SangokuSS [...] ne me paraît pas du tout appropriée
Je suis d'accord. Chiffrer un volume local pour mettre son contenu non chiffré ailleurs, c'est limite...

On s'est mal compris : sans vouloir détailler la configuration de mon réseau personnel (pas forcément passionnant !), je partage le scepticisme de tous sur le « Cloud ». C'est la raison pour laquelle je précisais qu'il s'agit de MON serveur perso, hébergé physiquement chez moi

Pour donner quelques infos complémentaires, je chiffre (https, sftp) également les communications de mes ordis perso vers mes serveurs (l'ensemble tournant via 2 RPi, 4 DD...). Le fonctionnement est le suivant :
- une sauvegarde /semaine via rsync
- une synchro via Owncloud de dossiers précis que nous considérons comme « importants ».

Maintenant, il est clair que si mon appart crame... ben, ... rien ne résistera ! mdr

tiramiseb · Le 20/04/2014, à 20:24

MON serveur perso, hébergé physiquement chez moi

C'est bien, alors.
Chiffré aussi (sans déchiffrement automatique au démarrage) ?

SangokuSS · Le 20/04/2014, à 20:32

tiramiseb a écrit :

MON serveur perso, hébergé physiquement chez moi
C'est bien, alors.
Chiffré aussi (sans déchiffrement automatique au démarrage) ?

Non, les disques de sauvegardes ne sont pas chiffrés : mes portables sont chiffrés car ils sortent de l'appart... pas les serveurs
Je vois ta question suivante venir : pourquoi chiffrer les communications internes ? Pour plusieurs raisons dont le fun ! (je voulais faire différents tests... de sécurité).

tiramiseb · Le 20/04/2014, à 21:55

Et si tu te fais cambrioler ?

SangokuSS · Le 20/04/2014, à 21:58

tiramiseb a écrit :

Et si tu te fais cambrioler ?

+1 !

S'il passe les miradors, le champ de mine ... je le laisse partir ! lol

Arbiel · Le 20/04/2014, à 22:50

Je prends conscience d'avoir été inconscient de laisser traîner dans la nature, en clair, des informations somme toute banales, mon identité, mon adresse, mes déplacements. La messagerie électronique et le calendrier google sont deux pièges dans lesquels je me suis fait un plaisir de tomber. Je m'attelle au nettoyage de tout ça.

Pouvez-vous m'indiquer deux produits, GNU/Linux et Android pour gérer et synchroniser mon calendrier ?

tiramiseb · Le 20/04/2014, à 23:09

Pouvez-vous m'indiquer deux produits, GNU/Linux et Android pour gérer et synchroniser mon calendrier ?

Pour ma part, j'utilise Baikal comme serveur CalDAV/CardDAV, ces deux protocoles étant supportés par de nombreux logiciels sous Linux (Kontact, Evolution...) et par CalDAV-Sync et CardDAV-Sync (pas trop onéreux) sur Android.

Pour les e-mails en IMAP (Dovecot, Postfix), K-9 Mail sur Android et n'importe quel logiciel sur les ordinateurs...

Mais bien sûr, pour tout ça il te faut un serveur.

compte supprimé · Le 21/04/2014, à 13:52

Salut Arbiel,

Si tu es un peu perdu avec la réponse précédente, si comme moi tu débutes dans ce domaine et n'a pas bien compris la réponse de tiramiseb, tu peux déjà regarder ce qu'est Baikal aux deux liens en fin d emessage, et si tu as d'autres questions sur les mots barbares que tiramiseb a employé, ou bien si tu veux plus de renseignements sur sa dernière phrase lorsqu'il parle de devoir avoir un serveur, n'hésite pas à le lui demander, il connaît ce sujet donc pourra t'aiguiller dans tes premiers pas. On est là pour ça

La phase d'apprentissage lorsqu'on intègre de nouveaux programmes, de nouvelles technologies est toujours un peu et même parfois très difficile (parfois). Elle se présente en générale bourrée de mots barbares, et de nouveaux concepts (comme je le fais dans mes messages précédents également), donc dès que tu comprends pas ; demande, aucun soucis là dessus !

http://open-freax.fr/baikal-alternative … -contacts/

http://blog.idleman.fr/installez-votre- … ec-baikal/

compte supprimé · Le 21/04/2014, à 17:26

Ce que je voulais dire c'est que comme tiramiseb, quand on maîtrise un sujet on emploi des noms bizarres en oubliant tout le temps que l'autre ne sait rien en face et du coup nous sommes souvent souvent obscures, malheureusement, ce qui aide encore moins le demandeur. Alors à nous de devenir plus clair pour l'auditeur, de lui poser les bonnes questions si on ne sait pas où il en est, d'essayer de lui répondre le plus simplement possible, même sur des sujets complexes, d'éveiller sa curiosité si cela est possible, mais je préfère être à l'écoute, la curiosité vient naturellement dans ces cas là.

À bientôt Arbiel, et bonne soirée :-)))

Dernière modification par -pascal34- (Le 21/04/2014, à 17:31)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 17/04/2014, à 03:30

Chiffrer le système : comment faire ?

#2 Le 17/04/2014, à 08:46

Re : Chiffrer le système : comment faire ?

#3 Le 17/04/2014, à 18:39

Re : Chiffrer le système : comment faire ?

#4 Le 17/04/2014, à 21:01

Re : Chiffrer le système : comment faire ?

#5 Le 18/04/2014, à 13:33

Re : Chiffrer le système : comment faire ?

#6 Le 18/04/2014, à 15:58

Re : Chiffrer le système : comment faire ?

#7 Le 18/04/2014, à 16:05

Re : Chiffrer le système : comment faire ?

#8 Le 18/04/2014, à 16:21

Re : Chiffrer le système : comment faire ?

#9 Le 18/04/2014, à 16:23

Re : Chiffrer le système : comment faire ?

#10 Le 18/04/2014, à 16:28

Re : Chiffrer le système : comment faire ?

#11 Le 18/04/2014, à 17:03

Re : Chiffrer le système : comment faire ?

#12 Le 19/04/2014, à 09:08

Re : Chiffrer le système : comment faire ?

#13 Le 19/04/2014, à 09:44

Re : Chiffrer le système : comment faire ?

#14 Le 19/04/2014, à 16:19

Re : Chiffrer le système : comment faire ?

#15 Le 20/04/2014, à 08:35

Re : Chiffrer le système : comment faire ?

#16 Le 20/04/2014, à 14:35

Re : Chiffrer le système : comment faire ?

#17 Le 20/04/2014, à 20:09

Re : Chiffrer le système : comment faire ?

#18 Le 20/04/2014, à 20:24

Re : Chiffrer le système : comment faire ?

#19 Le 20/04/2014, à 20:32

Re : Chiffrer le système : comment faire ?

#20 Le 20/04/2014, à 21:55

Re : Chiffrer le système : comment faire ?

#21 Le 20/04/2014, à 21:58

Re : Chiffrer le système : comment faire ?

#22 Le 20/04/2014, à 22:50

Re : Chiffrer le système : comment faire ?

#23 Le 20/04/2014, à 23:09

Re : Chiffrer le système : comment faire ?

#24 Le 21/04/2014, à 13:52

Re : Chiffrer le système : comment faire ?

#25 Le 21/04/2014, à 17:26

Re : Chiffrer le système : comment faire ?

Pied de page des forums