Journal TrueCrypt 5.0 met les manchots à l'honneur !

Posté par  .
Étiquettes :
0
7
fév.
2008
Il y a deux ou trois choses sur le chiffrement ces temps-ci sur LinuxFR, c'est l'occasion d'annoncer que la version 5.0 de Truecrypt est sortie, avec notamment des améliorations pour Linux qui en font une solution plus abordable pour ceux qui comme moi ne sont pas plongés plus que ça dans les arcanes du chiffrement.

Je propose d'en faire une dépêche, que des véritables connaisseurs de cette solution rendront de meilleure qualité que moi, et voici où la travailler : http://wiki.eagle-usb.org/wakka.php?wiki=NewsTrueCrypt5

TrueCrypt est une solution de chiffrement libre multiplateformes (Linux, Mac Os, Windows) pour chiffrer des partitions réelles ou virtuelles, voire un disque complet, avec un chiffrement fort, transparent et en temps réel. On peut aussi créer des volumes cachés quasiment impossibles à détecter (sténographie).

Les nouveautés de la version 5.0 incluent entre autres :


  • La possibilité de chiffrer un disque ou une partition complète du système avec demande de mot de passe au démarrage (pratique pour les portables), et ce sur une partition existante et pendant que le système fonctionne (uniquement sous Windows, malheureusement).


  • Une version Mac OS X


  • Une interface graphique pour la version Linux


  • Une indépendance par rapport au noyau Linux qui fait que des changements apportés au noyau (mises à jour, mises à niveau) n'impactent plus TrueCrypt



Pouvoir chiffrer une partition existante pendant son fonctionnement, ça me semble clairement une tuerie et une belle occasion de populariser le chiffrement de ses ordinateurs portables, les données de son entreprise, ou les DVD avec ses œuvres littéraires.
  • # sténographie

    Posté par  . Évalué à 4.

    J'imagine qu'il fallait lire stéganographie...
    • [^] # Re: sténographie

      Posté par  . Évalué à 4.

      Ouhlà oui, la sténographie est une méthode de chiffrement un peu faible ^^ Mea Culpa.
    • [^] # Re: sténographie

      Posté par  . Évalué à 4.

      c'est bien cela la sténographie : une écriture qui reste indéchiffrable :)

      Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

    • [^] # Re: sténographie

      Posté par  . Évalué à 1.

      Dans le linux mag du mois dernier, il y avait une methode qui ressemblait étrangement à cette possibilité:
      on planque dans une partition une seconde partition, et hop, indétectable.

      Trucrypt, c'est mieux, ou moins bien que ce que fait linux par défaut?
      • [^] # Re: sténographie

        Posté par  . Évalué à 3.

        D'après la doc :

        The principle is that a TrueCrypt volume is created within another TrueCrypt volume (within the free space on the volume). Even when the outer volume is mounted, it is impossible to prove whether there is a hidden volume within it or not, because free space on any TrueCrypt volume is always filled with random data when the volume is created* and no part of the (dismounted) hidden volume can be distinguished from random data

        En gros on crée un volume TrueCrypt dans l'espace libre d'un autre volume TrueCrypt. Comme l'espace libre d'un volume TrueCrypt est rempli de données aléatoires (et que les données du volume caché ne sont pas distinguables de donnéers aléatoires), il n'est pas possible de dire s'il y a une autre partition qui y est cachée ou si ce n'est que de l'espace libre. Comme ça, même si quelqu'un d'autre a la clé du premier volume, on peut toujours avoir un second niveau de protection.
        • [^] # Re: sténographie

          Posté par  . Évalué à 3.

          Et que se passe-t-il quand on remplit tellement le premier volume qu'il n'y a plus d'espace libre ?
          Le volume caché est perdu ? ou alors TrueCrypt te dit "attention si tu continues à remplir ce volume, le volume caché sera perdu" ? :-D
          • [^] # Re: sténographie

            Posté par  . Évalué à 2.

            Si le second volume est monté, normalement, on nous empêche d'écrire dessus, effectivement.
            Sinon, tout se passe comme s'il n'y avait pas de volume caché, et c'est bien là le but recherché ! En particulier il est tout à fait possible que des secteurs de ce volume soient alloués à un autre fichier.
            • [^] # Re: sténographie

              Posté par  . Évalué à 2.

              Mais dans ces cas là si on cherche à saturer le volume non caché, le volume caché est écrasé ? Dans le cas où il est caché dans un fichier du volume contenant, il va y avoir un (gros !) fichier tout plein de données apparemment aléatoires.

              À moins qu'on ne monte le volume initial en indiquant son espace total, mais on peut se rendre compte qu'il y a de la place non utilisée par le volume caché dans le volume global ?

              Est-ce que quelqu'un qui s'y connaît bien peut nous en dire plus ? (j'avoue ne pas trop comprendre la magie de truecrypt :-) )
              • [^] # Re: sténographie

                Posté par  . Évalué à 2.

                ici ils disent que si on veut activer la protection du volume caché, il faut entrer le mot de passe de ce volume avec une fonction spéciale (uniquement sous windows ? à vérifier), qui ne monte pas le volume, mais permet de savoir la taille de ce volume : http://www.truecrypt.org/docs/hidden-volume-protection.php

                En gros, si tu as des choses cachées dans un volume secret, que tu montes le volume "public" sous la contrainte ou parce que tu auras laissé trainer le mot de passe bien visible, et que l'on ne trouve sur ce volume public de 4 Go que 10 Mo de romans que tu as écris, si par la suite quelqu'un essaye d'écrire dans ce volume public et qu'il n'est pas protégé, il y a bien un risque que cela efface les fichiers politiques compromettants avec le détail des pots de vin films divx et musiques sacem téléchargés sur la mule qui étaient dans le volume caché. Sauf si bien entendu on a pris le soin de graver ces données sur un DVD...

                Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

                • [^] # Re: sténographie

                  Posté par  . Évalué à 3.

                  que l'on ne trouve sur ce volume public de 4 Go que 10 Mo de romans que tu as écris

                  Sauf qu'après, pour être cohérent avec tes déclarations que tu ne sais pas ce qu'il y a dessus et que tu n'y a pas touché, c'est plus crédible avec du pr0n, quelques films et des logiciels, des trucs justes louches comme il faut ^^
          • [^] # Re: sténographie

            Posté par  . Évalué à 3.

            Jette un œil là : http://www.truecrypt.org/docs/?s=hidden-volume

            Je n'ai pas tout compris mais ils ont mis en place un truc assez compliqué pour que ça ne se voie pas. Genre une limitation de la taille du volume caché d'après la taille du volume contenant, la possibilité de la faire passer pour un fichier du volume contenant, etc.
      • [^] # Re: sténographie

        Posté par  . Évalué à 1.

        Cette fonctionnalité a visiblement été repompé du soft BestCrypt:
        http://www.jetico.com/
        http://linuxfr.org/~calandoa/15270.html

        En creusant un peu, je suis tombé sur ça:
        http://en.wikipedia.org/wiki/Deniable_encryption

        Apparement, ça a été introduit par http://iq.org/~proff/rubberhose.org/ et détailé dans un papier qui date de 1996... mais j'ai pas reussi à trouver confirmation que Rubberhose est postérieur à 1996, ce qui me parait assez ancien.
  • # Utilisation d'une clé sur un carte

    Posté par  (site web personnel) . Évalué à 2.

    Bon j'ai déjà posé cette question sur le journal concernant Clearstream, mais vu qu'ici c'est un peu moins HS, je la repose :-)

    Est-ce que vous savez s'il y a moyen d'utiliser la signature présente sur la carte d'identité électronique belge pour monter un volume ?
    • [^] # Re: Utilisation d'une clé sur un carte

      Posté par  . Évalué à 4.

      je ne connais pas cette carte, mais à mon avis c'est une très mauvaise idée car :
      • ta carte est presque publique (en tout cas tu n'es pas le seul à pouvoir lire cette signature)
      • tu n'as aucune possibilité de révocation (parce que tu ne peux pas changer cette "signature") (à moins de décider de ne plus utiliser cette signature)
      ces 2 problèmes se retrouvent avec les empreintes digitales.
      • [^] # Re: Utilisation d'une clé sur un carte

        Posté par  (site web personnel) . Évalué à 2.

        Je ne sais pas ... Quand j'insère ma carte dans le lecteur, je dois entrer un code pour qu'elle soit reconnue ... Donc j'imagine que les données doivent être un minimum protégée.

        Je trouve ça plus safe (mais je me trompe peut-être) qu'un mot de passe, car le mot de passe tu es +- obligé de le noter quelquepart. Là, il faut la carte et le code PIN pour pouvoir déchiffrer le contenu ...
      • [^] # Re: Utilisation d'une clé sur un carte

        Posté par  . Évalué à 2.

        ta carte est presque publique (en tout cas tu n'es pas le seul à pouvoir lire cette signature)

        Ah? La carte d'identité belge contient une clé privée RSA, et il resterait à prouver que tu ne sois pas le seul à la posséder. Un belge dans l'assistance pour confirmer/infirmer?

        tu n'as aucune possibilité de révocation (parce que tu ne peux pas changer cette "signature") (à moins de décider de ne plus utiliser cette signature)

        Je suppose - naïvement? - que l'administration belge a prévu un mécanisme de révocation, ne serait-ce qu'en cas de vol/perte de la carte. De toutes façons, il y a déjà un tel mécanisme de prévu par X509, donc s'ils ont bien fait les choses il doit suffire de prendre en compte la CRL ou le serveur OCSP défini dans le certificat.
        • [^] # Re: Utilisation d'une clé sur un carte

          Posté par  . Évalué à 3.

          Ah? La carte d'identité belge contient une clé privée RSA, et il resterait à prouver que tu ne sois pas le seul à la posséder. Un belge dans l'assistance pour confirmer/infirmer?
          j'ai dit que je ne connaissais pas cette carte, mon point est donc infirmé.

          Je suppose - naïvement? - que l'administration belge a prévu un mécanisme de révocation, ne serait-ce qu'en cas de vol/perte de la carte. De toutes façons, il y a déjà un tel mécanisme de prévu par X509, donc s'ils ont bien fait les choses il doit suffire de prendre en compte la CRL ou le serveur OCSP défini dans le certificat.
          « Bonjour, je me servais de ma carte d'identité pour déchiffrer les données de mon ordinateur, mais je soupçonne que la sécurité de cette carte ait été compromise par ma faute, pourriez-vous révoquer ma clef dans votre base, m'en refaire une autre [éventuellement refaire une carte d'identité, je ne sais pas si cette carte est réinscriptible] et tout le tralala ? merci »
          • [^] # Re: Utilisation d'une clé sur un carte

            Posté par  . Évalué à 3.

            j'ai dit que je ne connaissais pas cette carte, mon point est donc infirmé.

            Ca risque de ne pas aider la suite de la conversation, mais passons.

            « Bonjour, je me servais de ma carte d'identité pour déchiffrer les données de mon ordinateur, mais je soupçonne que la sécurité de cette carte ait été compromise par ma faute, pourriez-vous révoquer ma clef dans votre base, m'en refaire une autre [éventuellement refaire une carte d'identité, je ne sais pas si cette carte est réinscriptible] et tout le tralala ? merci »

            J'ai pas prétendu que ce serait simple ni gratuit, je ne connais pas non plus le détail de la carte belge, mais j'ai quelques idées sur les PKIs en général. Enfin je suis quand même allé me renseigner un peu:

            A priori, la eID belge est bel est bien une smartcard (sa puce est un processeur capable d'effectuer des opérations cryptographiques en se servant des certificats qu'elle contient, ce qui permet notamment de ne pas exposer la clé privée à l'extérieur), et dedans c'est bien du RSA. La PKI belge est basée sur X509. Donc, globalement, il y a au moins un moyen de révoquer sa carte : attendre. Les certificats (clients, serveurs ou CA) ont une date d'expiration.

            Pour la réinscriptibilité, les smartcards le sont généralement (même si ça peut demander un lecteur spécifique et/ou un logiciel proprio). Donc je ne vois pas pourquoi l'administration ne pourrait pas révoquer une clé et (si la carte n'a pas été volée ou détruite) reflasher un nouveau certificat.

            Et, au passage, je ne vois pas bien en quoi l'utilisation de ta carte pour Truecrypt (ou autre, d'ailleurs) pourrait risquer de dévoiler ta clé privée. C'est un peu à l'encontre du principe même de la cryto à clé publique.
            • [^] # Re: Utilisation d'une clé sur un carte

              Posté par  . Évalué à 2.

              je ne vois pas bien en quoi l'utilisation de ta carte pour Truecrypt (ou autre, d'ailleurs) pourrait risquer de dévoiler ta clé privée.
              je ne crois pas avoir dit ça (par contre il est vrai que le mot de passe peut être changé indépendamment de la clef privée)
        • [^] # Re: Utilisation d'une clé sur un carte

          Posté par  . Évalué à 2.

          Ah? La carte d'identité belge contient une clé privée RSA, et il resterait à prouver que tu ne sois pas le seul à la posséder. Un belge dans l'assistance pour confirmer/infirmer?
          Facile : c'est toi qui a crée la carte ou quelqu'un d'autre ?
          Ce quelqu'un d'autre a t'il la possibilité de stocker la clée privée dedans ?

          Donc tu n'est pas le seul à la posséder, ca c'est une certitude
          • [^] # Re: Utilisation d'une clé sur un carte

            Posté par  . Évalué à 2.

            Moi j'aurais dit que c'est une possibilité...
            • [^] # Re: Utilisation d'une clé sur un carte

              Posté par  . Évalué à 2.

              Moi j'aurais dit que c'est une possibilité...
              On parle de sécurité en même temps.
              Si c'est une possibilité, alors soit sur qu'un attaquant la prendra cette possibilité.

              sécurité == parano ;)

              Comme je disais dans un autre thread (je crois que c'est ) en belgique, ils utilisent parfois leurs cni pour rentrer partout : au boulot , en bibliothèque,...

              Alors quand le gouvernement est démocratique c'est "bon" (et encore!), mais c'est pas parce qu'il est démocratique qu'il le restera.
              Et tu me feras pas croire que quand tu auras pris l'habitude d'utiliser ta cni pour tout faire, tu pourras t'en passer d'un coup.
              • [^] # Re: Utilisation d'une clé sur un carte

                Posté par  . Évalué à 2.

                Moi je l'ai depuis quelque années, et en tout je l'ai mis deux fois dans un appareil de lecture de carte. Le premier jour, pour changer le code pin, et dans le lecteur d'un ami qui se servait de sa carte pour accéder à son pc (pour vérifier que ça ne marchait pas avec la mienne :-) )
                Sinon je l'ai souvent montré, comme une carte normale, à différentes personnes (contrôle de police alcool/assurance/... sur la route, aéroport, rentrer dans certaines entreprises) mais j'en ai jamais eu besoin de façon électronique...
                • [^] # Re: Utilisation d'une clé sur un carte

                  Posté par  . Évalué à 2.

                  ok, donc, ca veut dire que ca ne sert à rien. donc, autant supprimer ce dispositif et gagner quelques euros plutôt que de laisser la porte ouverte à tout et n'importe quoi.

                  j'ai tendance à penser que si un moyen de fliquer les gens, ce moyen sera mal utilisé.
  • # "ou les DVD avec ses œuvres littéraires"

    Posté par  (site web personnel) . Évalué à 3.

    J'ai pitié pour ceux qui ne lisent pas tous les journaux.
    http://linuxfr.org/~palm123/26104.html
  • # License, Mandriva, HowTo

    Posté par  . Évalué à 4.

    Juste pour dire que la license (http://www.truecrypt.org/license.php) n'est pas totalement libre; bien que OSS.
    Mandriva renomme donc le logiciel en Realcrypt pour pouvoir le modifier et le packager.
    Un HowTo ici : http://www.tuxmachines.org/node/23473
    • [^] # Re: License, Mandriva, HowTo

      Posté par  . Évalué à 3.

      Un peu comme Firefox/Iceweasel, quoi ?

      Tip : pour tuer ce troll, pourrais-tu expliquer de quoi il en retourne, afin qu'on ne passe pas tous 3 heures à décortiquer cette licence ? Merci !
      • [^] # Re: License, Mandriva, HowTo

        Posté par  . Évalué à 4.

        http://www.truecrypt.org/license.php (pour la parenthèse du premier post)

        Le licence en question est un agrégat de plusieurs licenses pseudo-BSD à ce que j'ai compris, chaque contributeur mettant sa clause de "publicité", ce qui en fait un drole d'assemblage. Y est ajouté au début une licence Truecrypt (v.2.4 !!!) qui fixe les contraintes liées à la fondation Truecrypt.
        Le repackaging est trop rigide pour etre praticable et donc tous les distributeurs se mettent sous la clause III, travaux dérivés, qui implique de ne pas reprendre le mot "Truecrypt" dans sa désignation, ne pas envoyer de lien vers leur domaine...totalement déconnecter le produit de leur fondation, en somme.
        De meme nom et logo sont déposés, non libres pour les produits dérivés/patchés, et la phrase à inclure dans la notice selon le niveau de modification est obligatoire.

        Un peu comme Firefox/Iceweasel, quoi ?
        Oui, sauf que là ce n'est pas le ditributeur qui fait son difficile, mais la fondation à l'origine du soft.

        J'ai cru comprendre que cette licence est à classer dans les kazimodo du genre, et bien sur à oublier et ne surtout pas reprendre pour d'autres projets. Je ne sais pas si elle considérée comme libre ou pas. (je crois que debian dit que non, à vérifier)
  • # Truecrypt

    Posté par  . Évalué à 2.

    J'ai déjà utilisé truecrypt (sur Linux). Voici le résultat d'un peu d'expérience:

    J'ai créé une partition normale (ext3) sur un disque de 250GB. Dedans, j'ai créé un gros fichier de 220GB. Je trouve que c'est mieux que d'avoir un espace libre et d'écraser des données sensibles en recréant une partition dans cet espace.

    Il est possible d'avoir deux niveaux de sécurité, c'est comme une malle à double-fond. Si on donne le mot de passe du premier niveau, on tombe dans le premier niveau. Là, quelques fichiers sans trop d'importance. Et le reste semble libre. Il est possible d'ailleurs d'ajouter des fichiers et de détruire le "double-fond" s'il y en a un. Si l'on donne l'autre mot de passe, on tombe donc directement dans le double fond, avec les vrais fichiers sensibles dedans. Ce système est vraiment bien pensé, il est impossible de savoir s'il y a ou non un double fond.

    Ça fonctionne très bien pour un portable, mais pour un serveur c'est pas top puisque c'est un accès à un fichier unique, donc pas d'écriture possible depuis plusieurs sources. Et truecrypt + NFS, ça donne des caches qui ne se mettent pas à jour: je mets un nouveau fichier dedans, un autre utilisateur ne le verra pas à moins de se déconnecter puis reconnecter. Et attention lorsqu'on arrête truecrypt: faut le faire avec la commande qui va bien (truecrypt -d) parce que sinon, le contenu risque d'être perdu. À moins d'avoir fait une copie des données de la structure que l'on peut ensuite reforcer.

    Peut-être faudra-t-il que j'essaie de créer une vraie-fausse partition pour mieux gérer les accès concurrents...
    • [^] # Re: Truecrypt

      Posté par  . Évalué à 2.

      juste une question comme ça, si tu partages un dossier de ce volume monté (nfs ou samba), c'est le système qui gère le truc non ? Donc cela pourrait être pareil que d'être sur la machine avec divers accès simultané dans ce dossier ?

      Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

      • [^] # Re: Truecrypt

        Posté par  . Évalué à 1.

        Truecrypt est une couche intermédiaire entre le système (qui voit un fichier unique) et l'utilisateur qui voit un dossier. Donc pour NFS et Samba, ce n'est qu'un fichier banal et les accès sont donc limités. D'où ma dernière phrase: faudra un jour que j'essaie la partition complète. Je me demande comment le système verra la chose... Encore un fichier? Ou bien?
        • [^] # Re: Truecrypt

          Posté par  . Évalué à 2.

          Je crois que ce point est détaillé dans la FAQ.
          Donc, soit c'est comme tu dis, soit le fichier ou la partoche chiffrée est montée au niveau du serveur puis partagée.
          La seconde méthode, évidemment, ne permet pas de mettre en œuvre les mêmes politiques de sécurité que la seconde. En particulier, si le réseau n'est pas chiffré, les données passent en clair dans le cable (ou les ondes... ).
          • [^] # Re: Truecrypt

            Posté par  . Évalué à 2.

            bon et sinon pour la compilation sur du AMD64, cela donne quoi pour vous ?
            En plus avant il existait une interface en ligne de commande, j'ai l'impression que maintenant c'est uniquement en graphique.

            Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

    • [^] # Re: Truecrypt

      Posté par  . Évalué à 1.

      > Ce système est vraiment bien pensé, il est impossible de savoir s'il y a ou non un double fond.

      Sauf que depuis le temps que TrueCrypt existe, sa simple présence sur un ordinateur suffit à éveiller les soupçons sur la présence d'un double fond dans chaque fichier crypté présentant un peu d'espace libre.
      • [^] # Re: Truecrypt

        Posté par  . Évalué à 7.

        Bon argument pour l'installer par défaut dans toutes les distrib, ça !
  • # linux 64

    Posté par  . Évalué à 2.

    est-ce que qqu'un a réussi à le compiler sur du linux 64 ?

    Moi j'ai droit à cela :

    StringConverter.h:26: error: 'static std::wstring TrueCrypt::StringConverter::FromNumber(TrueCrypt::uint64)' cannot be overloaded

    Je ne trouve pas mention de linux 64 dans la faq, et le forum n'est pas disponible.

    Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.