Bonjour à tous,
Est-ce que quelqu'un a déjà tenté de chiffrer ses données ?
J'ai vu qu'il existe les logiciels truecrypt et cryptsetup.
Également, on pourrait chiffrer ses data par l'installeur debian.
Qu'utiliser et que faut-il éviter pour ne pas perdre ses datas en faisant une mauvaise manip !
Merci par avance.
# luks
Posté par Psychofox (Mastodon) . Évalué à 4.
J'utilise luks pour chiffrer les disques de mes pc, avec une passphrase à taper à chaque démarrage.
Comme souvent, la doc archlinux est très complète sur le sujet.
https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_system
Les installeurs des distros permettent souvent de le faire (anaconda et celui de debian/ubuntu) mais certains (le dernier que j'ai testé, manjaro) foirent. Il est des fois plus fiable de préparer la partition luks et le volume groupe LVM à la main depuis le livecd puis lancer l'installation.
[^] # Re: luks
Posté par electro575 . Évalué à 2.
Qu'apporte le LVM à un classique BRTFS ?
Doit-on avoir LVM pour mettre en place LUKS ?
[^] # Re: luks
Posté par foobarbazz . Évalué à 3.
Non, c'est indépendant, on peut avoir l'un sans l'autre.
la stabilité principalement, btrfs est relativement nouveau. Sinon en terme de fonctionnalité c'est comparable. Même si btrfs est beaucoup plus élégant.
[^] # Re: luks
Posté par Cyril Brulebois (site web personnel) . Évalué à 3.
Tout à fait d'accord. Le classique, stable, et éprouvé ici, c'est LVM. Pas BTRFS. Et c'est empilable sur/sous les autres couches, qu'il s'agisse de RAID ou LUKS.
Debian Consultant @ DEBAMAX
[^] # Re: luks
Posté par Psychofox (Mastodon) . Évalué à 3.
J'aurais tendance à poser la question inverse, lvm étant plus vieux et fonc plus "classique".
La réponse dans le cadre d'une utilisation desktop est plus une question d'habitude et de préférence personnelle, pour ma part je fais actuellement du zfs par dessus du luks mais c'était pas supporté par l'installeur de ma distrib et j'ai donc du faire à la popogne à coup de debootstrap.
Non. LUKS est indépendant de ce qu'il y a dessus/dessous. C'est uniquement au niveau de grub pour la racine que tel ou tel volume manager ou fs est supporté ou pas. Pour ma part j'ai toujours utilisé une partoche /boot ou efi en clair (donc avec un petit risque de payload malicieux à ce niveau) et du luks v1 car grub ne supportait pas bien le boot sur du luks v2 mais il est possible que ce ne soit plus d'actualité.
[^] # Re: luks
Posté par Cyril Brulebois (site web personnel) . Évalué à 2.
C'est effectivement supporté (avec partitionnement assisté) dans Debian Installer, depuis de très nombreuses versions…
Debian Consultant @ DEBAMAX
# je profite...
Posté par gUI (Mastodon) . Évalué à 4.
je me suis toujours demandé comment on pouvait chiffrer une partition sur un serveur distant (exemple presque au hasard : j'ai un serveur chez OVH, et je ne veux pas que OVH ni la CIA puissent lire mes données).
en fait faudrait entrer la passphrase à chaque boot, mais c'est distant… c'est possible ?
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: je profite...
Posté par V_paranoiaque (site web personnel) . Évalué à 2.
Salut
Tu pourrais utiliser un KVM pour chiffrer entièrement le disque à l’exception de la partition /boot. Une autre possibilité serait de chiffrer uniquement la partition contenant tes données mais pas le système.
Big Brother is watching us
[^] # Re: je profite...
Posté par gUI (Mastodon) . Évalué à 3.
Chiffrer uniquement une partition "sensible" est pas mal. Mais du coup il faut que je calcule mon système pouvant booter simplement sans cette partition, c'est ça ?
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: je profite...
Posté par V_paranoiaque (site web personnel) . Évalué à 2.
Oui. Afin de simplifier les choses, tu pourrais par exemple scripter le montage pour qu'il démarre tes services (serveur web, bdd) après avoir monté la partition. Si tu joues avec les partition, il devrait être possible de servir un contenu indiquant une maintenance dans le cas d'un serveur web.
Big Brother is watching us
[^] # Re: je profite...
Posté par Psychofox (Mastodon) . Évalué à 3.
La plupart des hébergeurs offrent la possibilité d'avoir accès à une console donc taper la passphrase serait possible même si peu commode.
Après si c'est un vps faut garder en tête que la mémoire est fournie et donc partagée par l'hyperviseur, et il reste la question de la confiance que tu pose dans l'existence possible d'un keylogger au niveau de l'interface d'accès à la console.
[^] # Re: je profite...
Posté par Cyril Brulebois (site web personnel) . Évalué à 4.
Je te confirme que la saisie de la passphrase à distance via la console IPMI est une solution possible. Attention cependant aux jeux de caractères et aux caractères spéciaux, il s'agit souvent de consoles Java qui sont peu pratiques. → C'est souvent une bonne idée de vérifier dès le départ qu'on peut taper tous les caractères à travers celle-ci.
;)Debian Consultant @ DEBAMAX
[^] # Re: je profite...
Posté par Anonyme . Évalué à 4.
Tu peux installer dropbear dans l’initramfs (
apt-get install dropbear-initramfs) et te connecter au serveur pour le déchiffrer.Ça prend à peine plus qu’un
apt-get && cat id_rsa.pub > /etc/dropbear-initramfs/authorized_keys.[^] # Re: je profite...
Posté par Anonyme . Évalué à 4.
Ha et aussi, si ton « threat model » c’est la CIA, tu as déjà perdu, c’est pas LUKS qui te sauvera.
[^] # Re: je profite...
Posté par jemore . Évalué à 1.
Et donc qemue conseillerais tu pour te protéger de la NSA ? Est ce que le chiffrement "at rest" proposé par les fournisseurs (ovh, azure,aws) est suffisant ?
[^] # Re: je profite...
Posté par Anonyme . Évalué à 2.
De te déconnecter et de te cacher.
Si ton problème c’est une agence gouvernemental, il n’y a pas grand chose que tu peux faire. Mais je doute que ton problème soit la NSA.
[^] # Re: je profite...
Posté par jemore . Évalué à 1.
Bien sur, c'est un exemple. Mais que faudrait il mettre en oeuvre pour éviter tout espionnage économique y compris par une agence gouvernementale ( https://www.liberation.fr/planete/2015/06/29/espionnage-economique-le-sale-jeu-americain_1339635) ? Comment empêcher qu'une fuite de données (par un vilain hacker russe ou autre) puisse révéler des informations sensibles ?
[^] # Re: je profite...
Posté par deuzene (site web personnel) . Évalué à 2.
Comme l'a dit Arcaik
Le seul moyen qu'un PC ne soit pas hackable c'est qu'il ne soit connecté à aucun réseau et qu'il ne soit pas accessible. En fait le seul moyen d'en être sûr c'est de ne pas avoir de PC, chiffré ou pas.
« Il vaut mieux mobiliser son intelligence sur des conneries que mobiliser sa connerie sur des choses intelligentes. »
[^] # Re: je profite...
Posté par Jean-Baptiste Faure . Évalué à 2.
Lis le bouquin d'Edward Snowden, cela peut te donner des idées. Quelques mots clé : Tail, Tor, chiffrement. Ajouté à cela le compartimentage des usages habituels d'un PC entre plusieurs PC (4 pour lui lors de son voyage à Hongkong), dont 1 n'a jamais été connecté à Internet.
Après il faut faire une balance entre le coût des dégâts possibles et le coût de la protection contre ces dégâts.
[^] # Re: je profite...
Posté par foobarbazz . Évalué à 1. Dernière modification le 01 octobre 2019 à 19:08.
Contre la NSA, ne pas avoir d'ordinateur.
Contre les fournisseur de cloud peu respectueux, peut être que le chiffrement qu'ils proposent suffit. Sachant que s'il le souhaitent, ils reste techniquement faisable de lire les données. La clé de déchiffrement se retrouve dans la mémoire de leur machine, ils peuvent juste la lire.
Il faut voir si tu leur fait confiance ou pas.
[^] # Re: je profite...
Posté par David Marec (site web personnel) . Évalué à 2.
ZFS permet de chiffrer un dataset.
Ça va dépendre de votre fournisseur et la disponibilité de la console de secours.
Sous FreeBSD on peut utiliser GBDE ou GELI au niveau disque.
# J'en profite aussi.
Posté par Stinouff . Évalué à 1.
Vous savez s'il est possible de chiffrer sa session de Firefox ? J'ai bien tous mes mots de passe qui sont chiffrés, mais c'est tout. L'accès à ma session/historique/marque-pages, etc. lui, ne l'est pas.
Je pourrais chiffrer tout le PC, mais ça ne m'intéresse pas spécialement (je le démarre 10 fois par jour, alors, me retaper le mot de passe à chaque fois va vite me gonfler).
# J'en profite aussi aussi
Posté par PS12r (site web personnel) . Évalué à 1.
Je recherche dans le monde Linux une fonctionnalité équivalente à Bitlocker, sur Windows, qui offre la possibilité de chiffrer le système sans avoir à taper le mot de passe au démarrage. On obtient juste une clé chiffrée à sauvegarder et/ou stocker au cas où et… c'est tout. Il me semble que ça joue avec le SecureBoot qui semble pris en charge par une grande majorité des distributions aujourd'hui.
Certes, on me dira que niveau sécurité c'est pas tip-top, mais ça m'a l'air peut-être déjà mieux que rien ? Pour un PC portable amené à être baladé et allumé/éteint souvent, ça semblerait un bon compromis.
Vous avez des suggestions ?
[^] # Re: J'en profite aussi aussi
Posté par Anonyme . Évalué à 2.
bitlocker fonctionne avec TPM, tu peux faire la même chose avec LUKS, mais c’est pas vraiment transparent et intégré dans les distributions comme c’est le cas avec Bitlocker dans Windows.
# encfs
Posté par gringonz . Évalué à 2.
Perso, j'utilise encfs pour chiffrer des dossiers.
De ce que j'ai compris, le principal inconvénient est que chaque fichier est chiffré séparément (son nom aussi) du coup, on voit l'arborescence et ce qu'elle contient, avec des noms de fichier qui ne correspondent plus à rien, mais on voit la taille des fichiers.
L'avantage, c'est que je peux synchroniser mes données chiffrées simplement sans devoir déchiffrer, puisque tout fichier créé correspond à un fichier chiffré. Du coup avec unison par exemple je synchronise un dossier chiffré, même si je ne connais pas le pass (dossier d'un autre utilisateur)
[^] # Re: encfs
Posté par Panhwein . Évalué à 1.
Pour un dossier ou une clef usb, j'utilise veracrypt.
Son avantage est de fonctionner sous windows/mac.
J'ai une clé en permanence avec moi qui contiens mes mots de passes.
Si j'en ai besoin, je peux déchiffrer sur n'importe quel ordinateur que je croise
[^] # Re: encfs
Posté par arnauld . Évalué à 2.
J'utilise CryFS https://www.cryfs.org/ qui :
tuto : https://www.cryfs.org/tutorial/
arnauld
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.