Je propose d'en faire une dépêche, que des véritables connaisseurs de cette solution rendront de meilleure qualité que moi, et voici où la travailler : http://wiki.eagle-usb.org/wakka.php?wiki=NewsTrueCrypt5
TrueCrypt est une solution de chiffrement libre multiplateformes (Linux, Mac Os, Windows) pour chiffrer des partitions réelles ou virtuelles, voire un disque complet, avec un chiffrement fort, transparent et en temps réel. On peut aussi créer des volumes cachés quasiment impossibles à détecter (sténographie).
Les nouveautés de la version 5.0 incluent entre autres :
La possibilité de chiffrer un disque ou une partition complète du système avec demande de mot de passe au démarrage (pratique pour les portables), et ce sur une partition existante et pendant que le système fonctionne (uniquement sous Windows, malheureusement).
Une version Mac OS X
Une interface graphique pour la version Linux
Une indépendance par rapport au noyau Linux qui fait que des changements apportés au noyau (mises à jour, mises à niveau) n'impactent plus TrueCrypt
Pouvoir chiffrer une partition existante pendant son fonctionnement, ça me semble clairement une tuerie et une belle occasion de populariser le chiffrement de ses ordinateurs portables, les données de son entreprise, ou les DVD avec ses œuvres littéraires.
# sténographie
Posté par plusplus . Évalué à 4.
[^] # Re: sténographie
Posté par Nerdiland de Fesseps . Évalué à 4.
[^] # Re: sténographie
Posté par B16F4RV4RD1N . Évalué à 4.
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: sténographie
Posté par octane . Évalué à 1.
on planque dans une partition une seconde partition, et hop, indétectable.
Trucrypt, c'est mieux, ou moins bien que ce que fait linux par défaut?
[^] # Re: sténographie
Posté par Nerdiland de Fesseps . Évalué à 3.
The principle is that a TrueCrypt volume is created within another TrueCrypt volume (within the free space on the volume). Even when the outer volume is mounted, it is impossible to prove whether there is a hidden volume within it or not, because free space on any TrueCrypt volume is always filled with random data when the volume is created* and no part of the (dismounted) hidden volume can be distinguished from random data
En gros on crée un volume TrueCrypt dans l'espace libre d'un autre volume TrueCrypt. Comme l'espace libre d'un volume TrueCrypt est rempli de données aléatoires (et que les données du volume caché ne sont pas distinguables de donnéers aléatoires), il n'est pas possible de dire s'il y a une autre partition qui y est cachée ou si ce n'est que de l'espace libre. Comme ça, même si quelqu'un d'autre a la clé du premier volume, on peut toujours avoir un second niveau de protection.
[^] # Re: sténographie
Posté par nonas . Évalué à 3.
Le volume caché est perdu ? ou alors TrueCrypt te dit "attention si tu continues à remplir ce volume, le volume caché sera perdu" ? :-D
[^] # Re: sténographie
Posté par Aldoo . Évalué à 2.
Sinon, tout se passe comme s'il n'y avait pas de volume caché, et c'est bien là le but recherché ! En particulier il est tout à fait possible que des secteurs de ce volume soient alloués à un autre fichier.
[^] # Re: sténographie
Posté par khivapia . Évalué à 2.
À moins qu'on ne monte le volume initial en indiquant son espace total, mais on peut se rendre compte qu'il y a de la place non utilisée par le volume caché dans le volume global ?
Est-ce que quelqu'un qui s'y connaît bien peut nous en dire plus ? (j'avoue ne pas trop comprendre la magie de truecrypt :-) )
[^] # Re: sténographie
Posté par B16F4RV4RD1N . Évalué à 2.
En gros, si tu as des choses cachées dans un volume secret, que tu montes le volume "public" sous la contrainte ou parce que tu auras laissé trainer le mot de passe bien visible, et que l'on ne trouve sur ce volume public de 4 Go que 10 Mo de romans que tu as écris, si par la suite quelqu'un essaye d'écrire dans ce volume public et qu'il n'est pas protégé, il y a bien un risque que cela efface les fichiers politiques compromettants avec le détail des pots de vin films divx et musiques sacem téléchargés sur la mule qui étaient dans le volume caché. Sauf si bien entendu on a pris le soin de graver ces données sur un DVD...
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: sténographie
Posté par Nerdiland de Fesseps . Évalué à 3.
Sauf qu'après, pour être cohérent avec tes déclarations que tu ne sais pas ce qu'il y a dessus et que tu n'y a pas touché, c'est plus crédible avec du pr0n, quelques films et des logiciels, des trucs justes louches comme il faut ^^
[^] # Re: sténographie
Posté par Nerdiland de Fesseps . Évalué à 3.
Je n'ai pas tout compris mais ils ont mis en place un truc assez compliqué pour que ça ne se voie pas. Genre une limitation de la taille du volume caché d'après la taille du volume contenant, la possibilité de la faire passer pour un fichier du volume contenant, etc.
[^] # Re: sténographie
Posté par calandoa . Évalué à 1.
http://www.jetico.com/
http://linuxfr.org/~calandoa/15270.html
En creusant un peu, je suis tombé sur ça:
http://en.wikipedia.org/wiki/Deniable_encryption
Apparement, ça a été introduit par http://iq.org/~proff/rubberhose.org/ et détailé dans un papier qui date de 1996... mais j'ai pas reussi à trouver confirmation que Rubberhose est postérieur à 1996, ce qui me parait assez ancien.
# Utilisation d'une clé sur un carte
Posté par Nelis (site web personnel) . Évalué à 2.
Est-ce que vous savez s'il y a moyen d'utiliser la signature présente sur la carte d'identité électronique belge pour monter un volume ?
[^] # Re: Utilisation d'une clé sur un carte
Posté par z a . Évalué à 4.
[^] # Re: Utilisation d'une clé sur un carte
Posté par Nelis (site web personnel) . Évalué à 2.
Je trouve ça plus safe (mais je me trompe peut-être) qu'un mot de passe, car le mot de passe tu es +- obligé de le noter quelquepart. Là, il faut la carte et le code PIN pour pouvoir déchiffrer le contenu ...
[^] # Re: Utilisation d'une clé sur un carte
Posté par Larry Cow . Évalué à 2.
Ah? La carte d'identité belge contient une clé privée RSA, et il resterait à prouver que tu ne sois pas le seul à la posséder. Un belge dans l'assistance pour confirmer/infirmer?
tu n'as aucune possibilité de révocation (parce que tu ne peux pas changer cette "signature") (à moins de décider de ne plus utiliser cette signature)
Je suppose - naïvement? - que l'administration belge a prévu un mécanisme de révocation, ne serait-ce qu'en cas de vol/perte de la carte. De toutes façons, il y a déjà un tel mécanisme de prévu par X509, donc s'ils ont bien fait les choses il doit suffire de prendre en compte la CRL ou le serveur OCSP défini dans le certificat.
[^] # Re: Utilisation d'une clé sur un carte
Posté par z a . Évalué à 3.
j'ai dit que je ne connaissais pas cette carte, mon point est donc infirmé.
Je suppose - naïvement? - que l'administration belge a prévu un mécanisme de révocation, ne serait-ce qu'en cas de vol/perte de la carte. De toutes façons, il y a déjà un tel mécanisme de prévu par X509, donc s'ils ont bien fait les choses il doit suffire de prendre en compte la CRL ou le serveur OCSP défini dans le certificat.
« Bonjour, je me servais de ma carte d'identité pour déchiffrer les données de mon ordinateur, mais je soupçonne que la sécurité de cette carte ait été compromise par ma faute, pourriez-vous révoquer ma clef dans votre base, m'en refaire une autre [éventuellement refaire une carte d'identité, je ne sais pas si cette carte est réinscriptible] et tout le tralala ? merci »
[^] # Re: Utilisation d'une clé sur un carte
Posté par Larry Cow . Évalué à 3.
Ca risque de ne pas aider la suite de la conversation, mais passons.
« Bonjour, je me servais de ma carte d'identité pour déchiffrer les données de mon ordinateur, mais je soupçonne que la sécurité de cette carte ait été compromise par ma faute, pourriez-vous révoquer ma clef dans votre base, m'en refaire une autre [éventuellement refaire une carte d'identité, je ne sais pas si cette carte est réinscriptible] et tout le tralala ? merci »
J'ai pas prétendu que ce serait simple ni gratuit, je ne connais pas non plus le détail de la carte belge, mais j'ai quelques idées sur les PKIs en général. Enfin je suis quand même allé me renseigner un peu:
A priori, la eID belge est bel est bien une smartcard (sa puce est un processeur capable d'effectuer des opérations cryptographiques en se servant des certificats qu'elle contient, ce qui permet notamment de ne pas exposer la clé privée à l'extérieur), et dedans c'est bien du RSA. La PKI belge est basée sur X509. Donc, globalement, il y a au moins un moyen de révoquer sa carte : attendre. Les certificats (clients, serveurs ou CA) ont une date d'expiration.
Pour la réinscriptibilité, les smartcards le sont généralement (même si ça peut demander un lecteur spécifique et/ou un logiciel proprio). Donc je ne vois pas pourquoi l'administration ne pourrait pas révoquer une clé et (si la carte n'a pas été volée ou détruite) reflasher un nouveau certificat.
Et, au passage, je ne vois pas bien en quoi l'utilisation de ta carte pour Truecrypt (ou autre, d'ailleurs) pourrait risquer de dévoiler ta clé privée. C'est un peu à l'encontre du principe même de la cryto à clé publique.
[^] # Re: Utilisation d'une clé sur un carte
Posté par z a . Évalué à 2.
je ne crois pas avoir dit ça (par contre il est vrai que le mot de passe peut être changé indépendamment de la clef privée)
[^] # Re: Utilisation d'une clé sur un carte
Posté par briaeros007 . Évalué à 2.
Facile : c'est toi qui a crée la carte ou quelqu'un d'autre ?
Ce quelqu'un d'autre a t'il la possibilité de stocker la clée privée dedans ?
Donc tu n'est pas le seul à la posséder, ca c'est une certitude
[^] # Re: Utilisation d'une clé sur un carte
Posté par Nicolas Schoonbroodt . Évalué à 2.
[^] # Re: Utilisation d'une clé sur un carte
Posté par briaeros007 . Évalué à 2.
On parle de sécurité en même temps.
Si c'est une possibilité, alors soit sur qu'un attaquant la prendra cette possibilité.
sécurité == parano ;)
Comme je disais dans un autre thread (je crois que c'est ) en belgique, ils utilisent parfois leurs cni pour rentrer partout : au boulot , en bibliothèque,...
Alors quand le gouvernement est démocratique c'est "bon" (et encore!), mais c'est pas parce qu'il est démocratique qu'il le restera.
Et tu me feras pas croire que quand tu auras pris l'habitude d'utiliser ta cni pour tout faire, tu pourras t'en passer d'un coup.
[^] # Re: Utilisation d'une clé sur un carte
Posté par Nicolas Schoonbroodt . Évalué à 2.
Sinon je l'ai souvent montré, comme une carte normale, à différentes personnes (contrôle de police alcool/assurance/... sur la route, aéroport, rentrer dans certaines entreprises) mais j'en ai jamais eu besoin de façon électronique...
[^] # Re: Utilisation d'une clé sur un carte
Posté par Putifuto . Évalué à 2.
j'ai tendance à penser que si un moyen de fliquer les gens, ce moyen sera mal utilisé.
# "ou les DVD avec ses œuvres littéraires"
Posté par Zenitram (site web personnel) . Évalué à 3.
http://linuxfr.org/~palm123/26104.html
# License, Mandriva, HowTo
Posté par cedbor . Évalué à 4.
Mandriva renomme donc le logiciel en Realcrypt pour pouvoir le modifier et le packager.
Un HowTo ici : http://www.tuxmachines.org/node/23473
[^] # Re: License, Mandriva, HowTo
Posté par Aldoo . Évalué à 3.
Tip : pour tuer ce troll, pourrais-tu expliquer de quoi il en retourne, afin qu'on ne passe pas tous 3 heures à décortiquer cette licence ? Merci !
[^] # Re: License, Mandriva, HowTo
Posté par cedbor . Évalué à 4.
Le licence en question est un agrégat de plusieurs licenses pseudo-BSD à ce que j'ai compris, chaque contributeur mettant sa clause de "publicité", ce qui en fait un drole d'assemblage. Y est ajouté au début une licence Truecrypt (v.2.4 !!!) qui fixe les contraintes liées à la fondation Truecrypt.
Le repackaging est trop rigide pour etre praticable et donc tous les distributeurs se mettent sous la clause III, travaux dérivés, qui implique de ne pas reprendre le mot "Truecrypt" dans sa désignation, ne pas envoyer de lien vers leur domaine...totalement déconnecter le produit de leur fondation, en somme.
De meme nom et logo sont déposés, non libres pour les produits dérivés/patchés, et la phrase à inclure dans la notice selon le niveau de modification est obligatoire.
Un peu comme Firefox/Iceweasel, quoi ?
Oui, sauf que là ce n'est pas le ditributeur qui fait son difficile, mais la fondation à l'origine du soft.
J'ai cru comprendre que cette licence est à classer dans les kazimodo du genre, et bien sur à oublier et ne surtout pas reprendre pour d'autres projets. Je ne sais pas si elle considérée comme libre ou pas. (je crois que debian dit que non, à vérifier)
# Truecrypt
Posté par jmelyn . Évalué à 2.
J'ai créé une partition normale (ext3) sur un disque de 250GB. Dedans, j'ai créé un gros fichier de 220GB. Je trouve que c'est mieux que d'avoir un espace libre et d'écraser des données sensibles en recréant une partition dans cet espace.
Il est possible d'avoir deux niveaux de sécurité, c'est comme une malle à double-fond. Si on donne le mot de passe du premier niveau, on tombe dans le premier niveau. Là, quelques fichiers sans trop d'importance. Et le reste semble libre. Il est possible d'ailleurs d'ajouter des fichiers et de détruire le "double-fond" s'il y en a un. Si l'on donne l'autre mot de passe, on tombe donc directement dans le double fond, avec les vrais fichiers sensibles dedans. Ce système est vraiment bien pensé, il est impossible de savoir s'il y a ou non un double fond.
Ça fonctionne très bien pour un portable, mais pour un serveur c'est pas top puisque c'est un accès à un fichier unique, donc pas d'écriture possible depuis plusieurs sources. Et truecrypt + NFS, ça donne des caches qui ne se mettent pas à jour: je mets un nouveau fichier dedans, un autre utilisateur ne le verra pas à moins de se déconnecter puis reconnecter. Et attention lorsqu'on arrête truecrypt: faut le faire avec la commande qui va bien (truecrypt -d) parce que sinon, le contenu risque d'être perdu. À moins d'avoir fait une copie des données de la structure que l'on peut ensuite reforcer.
Peut-être faudra-t-il que j'essaie de créer une vraie-fausse partition pour mieux gérer les accès concurrents...
[^] # Re: Truecrypt
Posté par B16F4RV4RD1N . Évalué à 2.
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: Truecrypt
Posté par jmelyn . Évalué à 1.
[^] # Re: Truecrypt
Posté par Aldoo . Évalué à 2.
Donc, soit c'est comme tu dis, soit le fichier ou la partoche chiffrée est montée au niveau du serveur puis partagée.
La seconde méthode, évidemment, ne permet pas de mettre en œuvre les mêmes politiques de sécurité que la seconde. En particulier, si le réseau n'est pas chiffré, les données passent en clair dans le cable (ou les ondes... ).
[^] # Re: Truecrypt
Posté par B16F4RV4RD1N . Évalué à 2.
En plus avant il existait une interface en ligne de commande, j'ai l'impression que maintenant c'est uniquement en graphique.
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: Truecrypt
Posté par Gasp75 . Évalué à 1.
Sauf que depuis le temps que TrueCrypt existe, sa simple présence sur un ordinateur suffit à éveiller les soupçons sur la présence d'un double fond dans chaque fichier crypté présentant un peu d'espace libre.
[^] # Re: Truecrypt
Posté par Aldoo . Évalué à 7.
# linux 64
Posté par B16F4RV4RD1N . Évalué à 2.
Moi j'ai droit à cela :
StringConverter.h:26: error: 'static std::wstring TrueCrypt::StringConverter::FromNumber(TrueCrypt::uint64)' cannot be overloaded
Je ne trouve pas mention de linux 64 dans la faq, et le forum n'est pas disponible.
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.