Forum général.cherche-logiciel Equivalent bitlocker en mode transparent

Posté par  . Licence CC By‑SA.
Étiquettes : aucune
2
8
nov.
2017

Bonjour,

Est-ce qu'il existe un équivalent sous linux à bitlocker quand il fonctionne en mode transparent ? Bitlocker est la solution Microsoft de chiffrement de disque. Elle dispose d'un mode transparent, dans lequel elle ne demande pas de mot de passe au boot, il suffit (et il faut) connaître un mot de passe d'un compte du PC pour se connecter.

De ce que j'ai vaguement compris, ça fonctionne en stockant la clef de chiffrement dans une puce qui vérifie que l'OS qui boot est bien le même que celui qui a enregistré la clef. Du coup, au démarrage le disque dur est déchiffré et c'est la sécurité de l'OS qui entre en œuvre. Par contre si le disque dur est déplacé dans un autre PC ou si c'est un autre OS qui boot, la clef n'est pas disponible et donc le disque reste chiffré.

C'est moins sécurisé qu'un mot de passe au boot car il y a des attaques supplémentaires (sur la RAM, sur d'éventuels failles OS, …). Mais je suis prêt à accepter cette diminution de sécurité contre plus de simplicité. Si je chiffre mon PC, c'est surtout au cas où je le perds/je me le fais voler, je ne veux pas que le premier qui tombe dessus ait accès à tous les documents qui traînent. Je ne cherche pas particulièrement à me protéger d'un expert qui serait motivé pour accéder à mon PC.

Du coup, est-ce que quelqu'un connaît une solution qui permettrait de chiffrer le disque mais sans avoir à taper/apprendre un mot de passe supplémentaire ?

  • # Grub

    Posté par  (site web personnel) . Évalué à 4.

    Il me semble qu'il y en a qui travaille la dessus mais actuellement, si on passe par l'étape grub, le TPM doit donner la main à grub et non à Linux donc cela rajoute un maillon à la chaîne. Si en plus, tu acceptes l'édition dans grub, c'est mort coté sécurité… Bref, il faudrait virer grub (ce qui est possible, les Altix de SGI fonctionnait sans boot loader, on éditait directement sous EFI le boot).

    • [^] # Re: Grub

      Posté par  . Évalué à 5.

      En théorie, avec l'EFI, Grub est complêtement inutile. J'aimerais bien savoir pourquoi on garde ce truc.

      • [^] # Re: Grub

        Posté par  . Évalué à 2.

        La force de l'habitude?

        Sinon, en pratique, tu fais comment pour configurer un système en multiboot sous UEFI sans boot loader?
        Je suis très intéressé par une piste: je n'ai jamais aimé grub (et l'ai très peu utilisé) mais les alternatives que je connais (lilo, syslinux) ont leurs contraintes (grub en a d'autres). Du coup, si je pouvais directement gérer en passant par l'UEFI, ça m'aiderait.

        • [^] # Re: Grub

          Posté par  . Évalué à 2.

          Je n'ai pas eu le temps de trop chercher ni de trop regarder en détail mais il y aurait un truc intéressant là :
          http://www.zdnet.com/article/my-experiments-with-multi-boot-selection-with-uefi-boot-manager/

          D'après ce que j'en ai lu (en diagonale), ça ressemble assez à ce que j'avais sur mes serveurs HP-Itanium sous HP-UX, ou alors j'ai mal compris ce que j'ai lu.

          Après ça doit dépendre des implémentations de l'UEFI, mais normalement, il est prévu à l'origine pour gérer le multiboot.

          • [^] # Re: Grub

            Posté par  . Évalué à 3.

            P’tain, on passe de « Grub c’est inutile avec UEFI » à « j’ai lu un truc en diagonal »…

            • [^] # Re: Grub

              Posté par  . Évalué à 2.

              Je maintiens qu'avec l'UEFI, il est inutile en théorie d'utiliser Grub. Maintenant, il faut quelques utilitaires qui te permetternt de configurert ton uefi de façon à ce qu'il le fasse. J'ai lu le lien référencé ci-dessus vite fait au taf et ça avait l'air de parler de ça. J'ai donc posté ce lien d'une part pour pouvoir le retrouver plus tard, et d'autre part pour avoir d'autres avis sur ce sujet. Mais en tout cas, lorsque je travaillais sur HP-UX, le choix pour le système à démarrer au boot se faisait au niveau EFI L'EFI allait charger directement le noyau, et n'avait pas besoin de système de démarrage intermédiaire. Et je suis certain qu'en théorie, Linux n'a pas besoin de grub pour démarrer sur un système avec UEFI. En pratique il est possible que le noyau ne soit pas capable de le faire sans adaptation ou configuration adéquate. Il est peut-être également nécesaire de développer les bons outils pour la configuration. Quoi qu'il en soit, je n'ai pas de carte mère UEFI à dispo pour tester (mis à part mon portable que je ne peux pas utiliser pour faire ce genre de tests pour le moment), donc je ne peux pas le certifier à 100%.

  • # juste chiffrer le home?

    Posté par  . Évalué à 4.

    Pourquoi ne pas juste chiffrer le home du coup?
    Ok, ton disque fonctionnerait sur un autre système, mais les données du home, qui sont ce que tu sembles vouloir protéger, seraient protégées?

    • [^] # Re: juste chiffrer le home?

      Posté par  (site web personnel) . Évalué à 2.

      On peut présupposer qu'il ne souhaite pas non plus qu'une partie de sa configuration soit en accès libre. Comme par example la conf wpa_supplicant ou tout autre information qu'il juge importante.

      • [^] # Re: juste chiffrer le home?

        Posté par  . Évalué à 3.

        On peut présupposer qu'il ne souhaite pas non plus qu'une partie de sa configuration soit en accès libre

        On peut, en effet, mais ça n'est que suppositions.

        Comme par example la conf wpa_supplicant ou tout autre information qu'il juge importante.

        Sauf que rien ne force a avoir le wpa_supplicant.conf dans /etc (pour ma part il est dans mon $HOME à la maison, ne serait-ce que parce que c'est plus simple pour le multiboot). Je ne sais pas ce qu'est le reste, mais à part le fstab et 2-3 fichiers critiques aux fonctionnement du système, je doute que ce soit une solution inenvisageable de les déplacer.

      • [^] # Re: juste chiffrer le home?

        Posté par  . Évalué à 1.

        Je ne suis pas sûr de comprendre les implications. En gros ma clef wifi ne serait pas protégée, c'est ça ?

        Ça voudrait dire qu'en cas de perte du PC, il faudrait que je modifie la clef. Si c'est juste ça, ça reste acceptable pour moi.

    • [^] # Re: juste chiffrer le home?

      Posté par  . Évalué à 2.

      Pourquoi ne pas juste chiffrer le home du coup?

      Parce que je n'y ai pas pensé :) Effectivement je viens de regarder ça semble correspondre à mon besoin et c'est simple à mettre en place.

      Merci !

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.