tag:linuxfr.org,2005:/tags/bitlocker/publicLinuxFr.org : les contenus étiquetés avec « bitlocker »2024-02-08T08:28:17+01:00/favicon.pngtag:linuxfr.org,2005:Bookmark/79062024-02-07T10:38:47+01:002024-02-07T10:38:47+01:00Comment compromettre Bitlocker sur TPM en 43 secondes avec un Raspberry Pi à moins de 10$ 😇<a href="https://www.tomshardware.com/pc-components/cpus/youtuber-breaks-bitlocker-encryption-in-less-than-43-seconds-with-sub-dollar10-raspberry-pi-pico">https://www.tomshardware.com/pc-components/cpus/youtuber-breaks-bitlocker-encryption-in-less-than-43-seconds-with-sub-dollar10-raspberry-pi-pico</a> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/134838/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/vendrediouletrollsauvage/liens/comment-compromettre-bitlocker-sur-tpm-en-43-secondes-avec-un-raspberry-pi-a-moins-de-10#comments">ouvrir dans le navigateur</a>
</p>
voltshttps://linuxfr.org/nodes/134838/comments.atomtag:linuxfr.org,2005:Post/423472021-09-02T20:23:15+02:002021-09-02T20:23:15+02:00Deux systèmes de chiffrement cote à cote pour un système dual boot (suite)<h2 class="sommaire">Sommaire</h2>
<ul class="toc">
<li><a href="#toc-pr%C3%A9ambule">Préambule</a></li>
<li><a href="#toc-le-sujet-mis-%C3%A0-jour">Le sujet mis à jour</a></li>
<li>
<a href="#toc-les-r%C3%A9ponses-tardives-%C3%A0-vos-retours-pr%C3%A9c%C3%A9dents">Les réponses (tardives) à vos retours précédents</a><ul>
<li><a href="#toc-julien_j06-le-260121-%C3%A0-1856">Julien_J06 le 26/01/21 à 18:56</a></li>
<li><a href="#toc-gouttegd-le-270121-%C3%A0-0005">gouttegd le 27/01/21 à 00:05</a></li>
<li><a href="#toc--tanguy-ortolo-le-270121-%C3%A0-0908">🚲 Tanguy Ortolo le 27/01/21 à 09:08</a></li>
</ul>
</li>
<li><a href="#toc-les-nouvelles-questions">Les (nouvelles) questions</a></li>
</ul>
<p>Bonjour,</p>
<h2 id="toc-préambule">Préambule</h2>
<p>J'avais posté en début d'année le sujet suivant: <a href="//linuxfr.org/forums/linux-general/posts/deux-systemes-de-chiffrement-cote-a-cote-pour-un-systeme-dual-boot">https://linuxfr.org/forums/linux-general/posts/deux-systemes-de-chiffrement-cote-a-cote-pour-un-systeme-dual-boot</a>, malheureusement par manque de temps j'ai dû laisser de côté le sujet pendant un bon moment.</p>
<p>J'en profite pour dire <strong>Merci</strong> pour les réponses obtenues et présenter mes excuses pour ne pas avoir donné de retour plus tôt.</p>
<p>Aujourd'hui un nouveau poste informatique m'est confié et je saute donc sur l'occasion pour essayer de mettre en place la solution.</p>
<h2 id="toc-le-sujet-mis-à-jour">Le sujet mis à jour</h2>
<p>Sur ma (nouvelle) machine portable je souhaite faire cohabiter un Windows 10 et un Linux (Mint).<br>
L'ordinateur portable est relativement récent et dispose d'un bios EFI, le disque est un SSD nvme.<br>
La partition Windows est chiffrée par bitlocker dont la clef est sans doute stockée/associée la puce TPM de l'ordinateur (aucune saisie de mot de passe n'est nécessaire au démarrage).</p>
<p>L'objectif est d'installer linux à côté de windows en mettant en place un chiffrement indépendant de la partition Windows (et bien sûr de bitlocker ou encore de la puce TPM) pour la(ou les) partition(s) linux.</p>
<p>Une fois la partition windows déchiffrée (Bitlocker désactivé) et réduite voici l'état des partitions du disque:<br>
<img src="//img.linuxfr.org/img/68747470733a2f2f7265686f73742e646962657269652e636f6d2f506963747572652f4765742f662f3438313734/48174" alt="Partitions" title="Source : https://rehost.diberie.com/Picture/Get/f/48174"></p>
<p>Idéalement j'aimerais que par défaut, sans clef USB ou carte SD insérée, ce soit Windows qui se lance. Et si une clef USB ou une carte SD spécifique est insérée, le choix soit laissé à l'utilisateur de lancer soit la distribution linux soit la partition Windows voir de booter sur un autre média amovible.</p>
<p>La difficulté supplémentaire par rapport au sujet précédent: le bios possède un compte super utilisateur dont je n'ai pas le mot de passe et qui empêche par exemple configurer le système pour démarrer sur une clef externe.<br>
Je contourne actuellement l'impossibilité de booter sur un média externe en mettant le disque nvme dans un autre ordinateur dont le bios n'est pas verrouillé, et compte faire tous les paramétrages et installations dans cet autre PC avant de remettre le disque dans le bon.</p>
<h2 id="toc-les-réponses-tardives-à-vos-retours-précédents">Les réponses (tardives) à vos retours précédents</h2>
<p><strong>Merci pour vos retour!</strong></p>
<h3 id="toc-julien_j06-le-260121-à-1856">Julien_J06 le 26/01/21 à 18:56</h3>
<p><a href="//linuxfr.org/nodes/123098/comments/1839653">https://linuxfr.org/nodes/123098/comments/1839653</a></p>
<blockquote>
<p>Pour le point 2. Sur le forum, j'ai lu un commentaire récemment qui proposait d'utiliser une partition EFI pour chaque OS si la carte mère le permet ça peut simplifier la cohabitation (toutefois je ne suis pas un spécialiste de l'EFI)</p>
</blockquote>
<p>=> Par ce nouvel ordinateur, étant donné que désormais les modifications bios sont limitées, je pense que cette solution serait entravée.</p>
<blockquote>
<p>Pour le point 3. Une piste est d'insérer une seconde clé USB lors de l'installation et de choisir d'installer /boot dessus (à combiner avec un tuto qui indique comment chiffrer /boot également) - penser a la laisser branchée lors des mises à jour qui touchent au /boot</p>
</blockquote>
<p>Cette solution me plaît beaucoup, je l'intègre dans les questions qui vont suivre ci-dessous.</p>
<h3 id="toc-gouttegd-le-270121-à-0005">gouttegd le 27/01/21 à 00:05</h3>
<p><a href="//linuxfr.org/nodes/123098/comments/1839679">https://linuxfr.org/nodes/123098/comments/1839679</a></p>
<blockquote>
<p>L’utilisation de VeraCrypt peut être pertinente pour un volume externe (clef USB ou assimilé) que l’on souhaite utiliser à partir de plusieurs systèmes différents (VeraCrypt est portable et un volume VeraCrypt créé par exemple sous GNU/Linux est déchiffrable avec VeraCrypt sous Windows). Pour un volume système, je ne vois pas de raison de ne pas utiliser le chiffrement natif (dm-crypt donc).</p>
</blockquote>
<p>=> Ok dans ce cas, l'utilisation de dm-crypt (via LUKS) semble donc la meilleure option :)</p>
<h3 id="toc--tanguy-ortolo-le-270121-à-0908">🚲 Tanguy Ortolo le 27/01/21 à 09:08</h3>
<p><a href="//linuxfr.org/nodes/123098/comments/1839689">https://linuxfr.org/nodes/123098/comments/1839689</a></p>
<blockquote>
<p>Toi, tu veux chiffrer ce système de fichiers. Il faut donc une prise en charge de ce chiffrement dans l'initrd. Et ça, je pense que ça ne laisse qu'un seul candidat, LUKS, qui est certainement intégré à l'initrd prévu par ta distribution (en installant au besoin un paquet spécifique), et probablement le seul qui soit ainsi intégré.</p>
</blockquote>
<p>=> LUKS semble donc faire l'unanimité, ce sera donc mon choix :)</p>
<blockquote>
<p>Pour GRUB, là c'est plus particulier. Il a apparemment une prise en charge de LUKS, mais je ne sais pas ce qu'elle vaut. Généralement, dans ce genre de cas, il me semble qu'on met en place un /boot non chiffré. C'est là que GRUB ira chercher le noyau et l'initrd à lancer. Il n'y a pas de problème à ne pas chiffrer ce système de fichiers, puisqu'il ne contient que des informations publiques, à savoir un noyau Linux et un initrd assemblé selon les règles d'une distribution GNU/Linux connue.</p>
</blockquote>
<p>=> Ok, Je vais donc partir sur un /boot non chiffré (au moins pour commencer)</p>
<h2 id="toc-les-nouvelles-questions">Les (nouvelles) questions</h2>
<ol>
<li><p>Si j'ai bien compris pour les systèmes récents avec UEFI; on installe usuellement le GRUB/le boot dans une partition appelée GPT ?</p></li>
<li><p>Est-il possible d'installer un premier GRUB sur la partition GPT, qui permettra de rediriger automatiquement sur la carte SD si elle est présente, ou de booter sur la partition windows si elle est absente? Et mettre un deuxième GRUB sur la carte SD permettant de choisir le système à lancer?</p></li>
<li><p>Connaissez vous un bon tutoriel pour mettre en place la solution LUKS avec une partition chiffrée lors de l'installation de Linux Mint, ou pouvez-vous m'aider pour les étapes clef? Beaucoup de tutoriels que je trouve partent sur LUKS + LVM (par exemple : <a href="https://qastack.fr/ubuntu/293028/how-can-i-install-ubuntu-encrypted-with-luks-with-dual-boot">https://qastack.fr/ubuntu/293028/how-can-i-install-ubuntu-encrypted-with-luks-with-dual-boot</a>), mais LVM n'est pas nécessaire pour ce sujet c'est bien ça?</p></li>
<li><p>J'ai l'habitude de manipuler les conteneurs TrueCrypt/Veracrypt avec une clef dans un fichier + un mot de passe à saisir. Vu que dm-crypt semble également capable de fonctionner avec un fichier clef, serait-il possible de stocker ce fichier sur la carte SD qui servira à choisir la partition démarrée?</p></li>
<li><p>Est-ce que dans le cas de l'utilisation d'un fichier clef il est acceptable d'avoir un mot de passe court, le niveau de résistance au brute force serait bien la "somme" du fichier clef (très long) + mot de passe (court) ? </p></li>
</ol>
<p>Merci de m'avoir lu.</p>
<div><a href="https://linuxfr.org/forums/linux-general/posts/deux-systemes-de-chiffrement-cote-a-cote-pour-un-systeme-dual-boot-suite.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/125291/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/forums/linux-general/posts/deux-systemes-de-chiffrement-cote-a-cote-pour-un-systeme-dual-boot-suite#comments">ouvrir dans le navigateur</a>
</p>
ROUGEXIIIhttps://linuxfr.org/nodes/125291/comments.atomtag:linuxfr.org,2005:Post/418272021-01-26T17:29:41+01:002021-01-26T17:31:46+01:00Deux systèmes de chiffrement cote à cote pour un système dual boot<p>Bonjour,</p>
<p>Sur ma machine portable je fait cohabiter un windows 10 et un Linux (mint).</p>
<p>Petite subtilité, la partition windows 10 en question est chiffrée par bitlocker<br>
(J'avais désactivé bitlocker avant le repartitionnement et l'installation du Linux puis l'avait réactivé une fois terminé)</p>
<p>Les partitions sur le disque (dans l'ordre):<br>
- EFI system de 2.1GB /boot/efi<br>
- Microsoft Reserved de 134MB<br>
- Basic Data (partition windows chiffrée par bitlocker)<br>
- Filesystem (partition linux) Ext4</p>
<p>Je suppose que la puce TPM de l’ordinateur est utilisée par bitlocker car aucune clef n'est demandée au démarrage tant que l'on ne modifie pas trop de chose (cela m'est arrivé une fois en mettant à jour le kernel de la partition Linux)</p>
<p>Cela fonctionne sans problème mais m’apprêtant à réinstaller le Linux, j'aimerais compliquer les choses et chiffrer aussi la partition qui lui est dédiée.<br>
Je souhaite ne pas toucher à la partition de windows et la manière dont elle est chiffrée avec bitlocker. Les deux systèmes de chiffrement seraient donc voisins.</p>
<p>L'ordinateur portable est relativement récent et dispose d'un bios EFI, le disque est un SSD nvme (je prévois d'adjoindre un disque mécanique pour du stockage complémentaire mais sans besoin de le chiffrer)</p>
<p>Mes questions:</p>
<ol>
<li><p>Quelle solution de chiffrement (libre/open-source) avec une communauté toujours active conviendrait le mieux pour ce cas de figure? Cryptsetup, LUKS, Veracrypt, dm-crypt, autre ?</p></li>
<li><p>Comment ne pas commettre d'erreur avec les pièges que je sens venir: Le bios EFI ; le MBR ; Grub ; Windows ; bitlocker ; le chiffrement éventuel du /boot ; autre ? A quoi faut-il particulièrement faire attention?</p></li>
<li><p>J'ai vu dans <a href="//linuxfr.org/forums/linux-debian-ubuntu/posts/partitions-chiffrees-sauvegardes-comment-gerer-son-systeme-informatique#comment-1742938">ce commentaire</a> qu'il était possible de faire en sorte que le système démarre sans rien demander sur windows si rien n'est branché et que si une clef USB était branchée le système démarre en donnant le choix pour permettre de déchiffrer et lancer le Linux. Comment procéder pour arriver à ceci?</p></li>
<li><p>Pour cette réinstallation je pense passer au système de fichier BtrFS pour la partition Linux, pas de contre-indication dans ce cas de figure? (Dommage que BtrFS ne gère pas encore le chiffrement)</p></li>
</ol>
<p>Merci de m'avoir lu.</p>
<div><a href="https://linuxfr.org/forums/linux-general/posts/deux-systemes-de-chiffrement-cote-a-cote-pour-un-systeme-dual-boot.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/123098/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/forums/linux-general/posts/deux-systemes-de-chiffrement-cote-a-cote-pour-un-systeme-dual-boot#comments">ouvrir dans le navigateur</a>
</p>
ROUGEXIIIhttps://linuxfr.org/nodes/123098/comments.atomtag:linuxfr.org,2005:Post/349282015-01-26T18:06:30+01:002015-01-26T18:06:30+01:00Bruteforce sur un volume BitLocker<p>Bonjour,</p>
<p>J'ai merdé. J'ai perdu le mot de passe d'un volume protégé par BitLocker (la solution de chiffrement de Microsoft). Il s'agit d'un disque virtuel (fichier .vhd), je peux donc récupérer ce fichier pour essayer de le cracker à l'aide d'une station GNU/Linux.</p>
<p>Pourquoi la force brute ? Et bien parce que j'ai oublié ce mot de passe mais je sais à peu prêt à quoi il ressemble et je connais sa taille. L'ensemble des combinaisons à essayer devrait donc être assez petit pour que j'y arrive. C'est donc pas vraiment une attaque à la force brute mais pas non plus une attaque au dictionnaire :/</p>
<p>Je cherche deux logiciels :</p>
<ul>
<li><p>Un logiciel pour me générer un dictionnaire à partir de règles simples (liste des caractères utilisés, taille, pouvoir fixer les deux premiers ou les deux derniers, etc…). Il me semble que John the ripper fait ceci mais peut-être avez-vous une meilleure idée ?</p></li>
<li><p>Un logiciel pour pouvoir faire le cracking proprement dit, en utilisant la liste créée auparavant.</p></li>
</ul><p>Il n'y aura pas perte financière ou humaine si je n'y arrive pas, juste quelques galères pour récupérer certains trucs. Je n'ai pas d'épée au dessus de la tête mais j'aimerais bien quand même y arriver, simple satisfaction personnelle.</p>
<p>Une idée ?</p><div><a href="https://linuxfr.org/forums/general-cherche-logiciel/posts/bruteforce-sur-un-volume-bitlocker.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/104612/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/forums/general-cherche-logiciel/posts/bruteforce-sur-un-volume-bitlocker#comments">ouvrir dans le navigateur</a>
</p>
Marotte ⛧https://linuxfr.org/nodes/104612/comments.atom