Forum Linux.général Chiffrer ses données

Posté par  . Licence CC By‑SA.
Étiquettes : aucune
1
30
sept.
2019

Bonjour à tous,

Est-ce que quelqu'un a déjà tenté de chiffrer ses données ?

J'ai vu qu'il existe les logiciels truecrypt et cryptsetup.

Également, on pourrait chiffrer ses data par l'installeur debian.

Qu'utiliser et que faut-il éviter pour ne pas perdre ses datas en faisant une mauvaise manip !

Merci par avance.

  • # luks

    Posté par  . Évalué à 4.

    J'utilise luks pour chiffrer les disques de mes pc, avec une passphrase à taper à chaque démarrage.

    Comme souvent, la doc archlinux est très complète sur le sujet.

    https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_system

    Les installeurs des distros permettent souvent de le faire (anaconda et celui de debian/ubuntu) mais certains (le dernier que j'ai testé, manjaro) foirent. Il est des fois plus fiable de préparer la partition luks et le volume groupe LVM à la main depuis le livecd puis lancer l'installation.

    • [^] # Re: luks

      Posté par  . Évalué à 2.

      Qu'apporte le LVM à un classique BRTFS ?

      Doit-on avoir LVM pour mettre en place LUKS ?

      • [^] # Re: luks

        Posté par  . Évalué à 3.

        Doit-on avoir LVM pour mettre en place LUKS ?

        Non, c'est indépendant, on peut avoir l'un sans l'autre.

        Qu'apporte le LVM à un classique BRTFS ?

        la stabilité principalement, btrfs est relativement nouveau. Sinon en terme de fonctionnalité c'est comparable. Même si btrfs est beaucoup plus élégant.

        • [^] # Re: luks

          Posté par  (site Web personnel) . Évalué à 3.

          Tout à fait d'accord. Le classique, stable, et éprouvé ici, c'est LVM. Pas BTRFS. Et c'est empilable sur/sous les autres couches, qu'il s'agisse de RAID ou LUKS.

          Debian Consultant @ DEBAMAX

      • [^] # Re: luks

        Posté par  . Évalué à 3.

        Qu'apporte le LVM à un classique BRTFS ?

        J'aurais tendance à poser la question inverse, lvm étant plus vieux et fonc plus "classique".

        La réponse dans le cadre d'une utilisation desktop est plus une question d'habitude et de préférence personnelle, pour ma part je fais actuellement du zfs par dessus du luks mais c'était pas supporté par l'installeur de ma distrib et j'ai donc du faire à la popogne à coup de debootstrap.

        Doit-on avoir LVM pour mettre en place LUKS ?

        Non. LUKS est indépendant de ce qu'il y a dessus/dessous. C'est uniquement au niveau de grub pour la racine que tel ou tel volume manager ou fs est supporté ou pas. Pour ma part j'ai toujours utilisé une partoche /boot ou efi en clair (donc avec un petit risque de payload malicieux à ce niveau) et du luks v1 car grub ne supportait pas bien le boot sur du luks v2 mais il est possible que ce ne soit plus d'actualité.

    • [^] # Re: luks

      Posté par  (site Web personnel) . Évalué à 2.

      C'est effectivement supporté (avec partitionnement assisté) dans Debian Installer, depuis de très nombreuses versions…

      Debian Consultant @ DEBAMAX

  • # je profite...

    Posté par  . Évalué à 4.

    je me suis toujours demandé comment on pouvait chiffrer une partition sur un serveur distant (exemple presque au hasard : j'ai un serveur chez OVH, et je ne veux pas que OVH ni la CIA puissent lire mes données).

    en fait faudrait entrer la passphrase à chaque boot, mais c'est distant… c'est possible ?

    En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

    • [^] # Re: je profite...

      Posté par  (site Web personnel) . Évalué à 2.

      Salut
      Tu pourrais utiliser un KVM pour chiffrer entièrement le disque à l’exception de la partition /boot. Une autre possibilité serait de chiffrer uniquement la partition contenant tes données mais pas le système.

      Big Brother is watching us

      • [^] # Re: je profite...

        Posté par  . Évalué à 3.

        Chiffrer uniquement une partition "sensible" est pas mal. Mais du coup il faut que je calcule mon système pouvant booter simplement sans cette partition, c'est ça ?

        En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

        • [^] # Re: je profite...

          Posté par  (site Web personnel) . Évalué à 2.

          Oui. Afin de simplifier les choses, tu pourrais par exemple scripter le montage pour qu'il démarre tes services (serveur web, bdd) après avoir monté la partition. Si tu joues avec les partition, il devrait être possible de servir un contenu indiquant une maintenance dans le cas d'un serveur web.

          Big Brother is watching us

    • [^] # Re: je profite...

      Posté par  . Évalué à 3.

      La plupart des hébergeurs offrent la possibilité d'avoir accès à une console donc taper la passphrase serait possible même si peu commode.

      Après si c'est un vps faut garder en tête que la mémoire est fournie et donc partagée par l'hyperviseur, et il reste la question de la confiance que tu pose dans l'existence possible d'un keylogger au niveau de l'interface d'accès à la console.

    • [^] # Re: je profite...

      Posté par  (site Web personnel) . Évalué à 4.

      Je te confirme que la saisie de la passphrase à distance via la console IPMI est une solution possible. Attention cependant aux jeux de caractères et aux caractères spéciaux, il s'agit souvent de consoles Java qui sont peu pratiques. → C'est souvent une bonne idée de vérifier dès le départ qu'on peut taper tous les caractères à travers celle-ci. ;)

      Debian Consultant @ DEBAMAX

    • [^] # Re: je profite...

      Posté par  . Évalué à 4.

      Tu peux installer dropbear dans l’initramfs (apt-get install dropbear-initramfs) et te connecter au serveur pour le déchiffrer.

      Ça prend à peine plus qu’un apt-get && cat id_rsa.pub > /etc/dropbear-initramfs/authorized_keys.

    • [^] # Re: je profite...

      Posté par  . Évalué à 4.

      je ne veux pas que OVH ni la CIA puissent lire mes données

      Ha et aussi, si ton « threat model » c’est la CIA, tu as déjà perdu, c’est pas LUKS qui te sauvera.

      • [^] # Re: je profite...

        Posté par  . Évalué à 1.

        Et donc qemue conseillerais tu pour te protéger de la NSA ? Est ce que le chiffrement "at rest" proposé par les fournisseurs (ovh, azure,aws) est suffisant ?

        • [^] # Re: je profite...

          Posté par  . Évalué à 2.

          Et donc qemue conseillerais tu pour te protéger de la NSA ?

          De te déconnecter et de te cacher.

          Si ton problème c’est une agence gouvernemental, il n’y a pas grand chose que tu peux faire. Mais je doute que ton problème soit la NSA.

          • [^] # Re: je profite...

            Posté par  . Évalué à 1.

            Bien sur, c'est un exemple. Mais que faudrait il mettre en oeuvre pour éviter tout espionnage économique y compris par une agence gouvernementale ( https://www.liberation.fr/planete/2015/06/29/espionnage-economique-le-sale-jeu-americain_1339635) ? Comment empêcher qu'une fuite de données (par un vilain hacker russe ou autre) puisse révéler des informations sensibles ?

            • [^] # Re: je profite...

              Posté par  (site Web personnel) . Évalué à 2.

              Comme l'a dit Arcaik

              De te déconnecter et de te cacher.

              Le seul moyen qu'un PC ne soit pas hackable c'est qu'il ne soit connecté à aucun réseau et qu'il ne soit pas accessible. En fait le seul moyen d'en être sûr c'est de ne pas avoir de PC, chiffré ou pas.

              « Il vaut mieux mobiliser son intelligence sur des conneries que mobiliser sa connerie sur des choses intelligentes. »

            • [^] # Re: je profite...

              Posté par  . Évalué à 2.

              Lis le bouquin d'Edward Snowden, cela peut te donner des idées. Quelques mots clé : Tail, Tor, chiffrement. Ajouté à cela le compartimentage des usages habituels d'un PC entre plusieurs PC (4 pour lui lors de son voyage à Hongkong), dont 1 n'a jamais été connecté à Internet.
              Après il faut faire une balance entre le coût des dégâts possibles et le coût de la protection contre ces dégâts.

        • [^] # Re: je profite...

          Posté par  . Évalué à 1. Dernière modification le 01/10/19 à 19:08.

          Contre la NSA, ne pas avoir d'ordinateur.
          Contre les fournisseur de cloud peu respectueux, peut être que le chiffrement qu'ils proposent suffit. Sachant que s'il le souhaitent, ils reste techniquement faisable de lire les données. La clé de déchiffrement se retrouve dans la mémoire de leur machine, ils peuvent juste la lire.
          Il faut voir si tu leur fait confiance ou pas.

    • [^] # Re: je profite...

      Posté par  (site Web personnel) . Évalué à 2.

      Je me suis toujours demandé comment on pouvait chiffrer une partition sur un serveur distant

      ZFS permet de chiffrer un dataset.

      en fait faudrait entrer la passphrase à chaque boot, mais c'est distant… c'est possible ?

      Ça va dépendre de votre fournisseur et la disponibilité de la console de secours.

      Sous FreeBSD on peut utiliser GBDE ou GELI au niveau disque.

  • # J'en profite aussi.

    Posté par  . Évalué à 1.

    Vous savez s'il est possible de chiffrer sa session de Firefox ? J'ai bien tous mes mots de passe qui sont chiffrés, mais c'est tout. L'accès à ma session/historique/marque-pages, etc. lui, ne l'est pas.

    Je pourrais chiffrer tout le PC, mais ça ne m'intéresse pas spécialement (je le démarre 10 fois par jour, alors, me retaper le mot de passe à chaque fois va vite me gonfler).

  • # J'en profite aussi aussi

    Posté par  (site Web personnel) . Évalué à 1.

    Je recherche dans le monde Linux une fonctionnalité équivalente à Bitlocker, sur Windows, qui offre la possibilité de chiffrer le système sans avoir à taper le mot de passe au démarrage. On obtient juste une clé chiffrée à sauvegarder et/ou stocker au cas où et… c'est tout. Il me semble que ça joue avec le SecureBoot qui semble pris en charge par une grande majorité des distributions aujourd'hui.

    Certes, on me dira que niveau sécurité c'est pas tip-top, mais ça m'a l'air peut-être déjà mieux que rien ? Pour un PC portable amené à être baladé et allumé/éteint souvent, ça semblerait un bon compromis.

    Vous avez des suggestions ?

  • # encfs

    Posté par  . Évalué à 2.

    Perso, j'utilise encfs pour chiffrer des dossiers.
    De ce que j'ai compris, le principal inconvénient est que chaque fichier est chiffré séparément (son nom aussi) du coup, on voit l'arborescence et ce qu'elle contient, avec des noms de fichier qui ne correspondent plus à rien, mais on voit la taille des fichiers.
    L'avantage, c'est que je peux synchroniser mes données chiffrées simplement sans devoir déchiffrer, puisque tout fichier créé correspond à un fichier chiffré. Du coup avec unison par exemple je synchronise un dossier chiffré, même si je ne connais pas le pass (dossier d'un autre utilisateur)

    • [^] # Re: encfs

      Posté par  . Évalué à 1.

      Pour un dossier ou une clef usb, j'utilise veracrypt.
      Son avantage est de fonctionner sous windows/mac.

      J'ai une clé en permanence avec moi qui contiens mes mots de passes.
      Si j'en ai besoin, je peux déchiffrer sur n'importe quel ordinateur que je croise

    • [^] # Re: encfs

      Posté par  . Évalué à 2.

      du coup, on voit l'arborescence et ce qu'elle contient, avec des noms de fichier qui ne correspondent plus à rien, mais on voit la taille des fichiers.

      J'utilise CryFS https://www.cryfs.org/ qui :

      En plus de chiffrer les fichiers, CryFS masque aussi la taille, les métadonnées et la structure de vos répertoires, ce qui offre encore plus de confidentialité.

      tuto : https://www.cryfs.org/tutorial/

      arnauld

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.