OpenSSH : configuration des algorithmes de cryptographie

44
18
juin
2017
Administration système

Le logiciel OpenSSH permet d’avoir un shell sécurisé sur un serveur distant ou du transfert de fichiers de ou vers un serveur. Divers algorithmes de cryptographie sont utilisés pour le chiffrement, la génération ou l’échange de clefs. Et ces algorithmes peuvent s’affaiblir, être remplacés par de meilleurs algorithmes, connaître des portes dérobées, nécessiter des clefs plus grandes, etc. Ils sont implémentés (au sens ajouter ou enlever) par les développeurs d’OpenSSH (et de bibliothèques de cryptographie sous‐jacentes), ils sont empaquetés par une distribution (qui peut changer certains réglages à la production du paquet ou bien faire certains choix sur la configuration par défaut), et ils sont mis à jour par les équipes sécurité (d’OpenSSH et de la distribution).

Bannière openssh

Jetons un œil sur les paquets openssh-server de la distribution Debian (actuellement les versions sont 6.0p1-4+deb7u4 en Wheezy (l’ancienne ancienne version stable), 6.7p1-5+deb8u3 en Jessie (l’ancienne version stable) et 7.4p1-10 en Stretch (la version stable actuelle depuis le 17 juin 2017) : nous verrons quels sont les algorithmes pris en charge, quels sont ceux par défaut et quel niveau de sûreté leur accorder (suivant les tests des sites Rebex et CryptCheck, et les outils SSHScan et CryptCheck que nous allons utiliser).

Wiki Tuto - chiffrer côté serveur les fichiers hébergés par Nextcloud

1
27
fév.
2017

Introduction

  • Le chiffrement permet d'apporter une protection pour vos données au cas où un de vos disques se ferait voler ou bien partirait en réparation (n'oubliez pas que les types qui vont réparer vos disques peuvent tout à fait s'amuser à récupérer vos données a mauvais escient). Nextcloud dispose d'un module s'occupant de chiffrer les informations sur vos disques. Ce mécanisme permet aussi de protéger les fichiers du regards indiscret d'un administrateur système qui ne pourra plus que récupérer la liste des noms de fichiers. Attention, en cas de formatage il y a risques de pertes de données si vous perdez vos clés de chiffrement (ndlr: la clés de restauration)

Mise en place

  1. Connectez-vous en tant qu’administrateur sur l'interface web de votre Nextcloud.
  2. Déroulez le menu principal (en haut à gauche) et rendez-vous dans "Applications" DLFP
  3. Allez dans la liste des applications "Désactivées"
  4. Activez le module au doux nom de "Default encryption module" DLFP
  5. Allez dans "Administration" puis "chiffrement"
  6. Entrez une clé de récupération afin de pouvoir récupérer les fichiers en cas de problème
  7. Cochez "Activer le chiffrement côté serveur" et cliquez sur "Activer" DLFP
  8. C'est terminé, à partir de maintenant tout les prochains fichiers uploadés seront chiffrés

Foire Aux Questions

Si j'active le module de chiffrement, les fichiers présent sur les montages distants/locaux seront-ils chiffrés?

  • Réponse : Par défaut oui mais vous pouvez le régler comme dans la capture d'écran suivante :
    •  DLFP

Si j'active le module de chiffrement, les fichiers déjà présent seront-ils chiffrés?

  • Réponse : Non.

Si je désactive le module de chiffrement, qu'est passa?

  • Réponse : Les fichiers chiffrés deviennent inaccessible (par contre les prévisualisations des images chiffrées sont encore affichées).
    •  DLFP

Si un utilisateur perd son mot de passe ou bien que je le ré-initialise,qu'est passa??

  • Réponse : Si l'utilisateur a activé dans son profil "Activer la récupération du mot de passe" alors il dispose dans son profil "Personnel" de deux champs permettant d'entrer l'ancien mot et de passe et le nouveau afin de pouvoir réparer l'accès aux fichiers.

Le chiffrement consomme-t-il des ressources?

  • Réponse : En effet les fichiers chiffrés prennent plus d'espace mémoire que les mêmes fichiers en clair. La consommation en ressources machine augmente aussi (surtout le processeur).

Sur quelle type de machine as-tu essayé pour rédiger ton tuto?

Le chiffrement change-t-il le temps qu'il faut pour uploader/télécharger un fichier?

  • Réponse : Oui très clairement.

Silence : XMPP, chiffrement et méta‐données

37
9
déc.
2016
Android

Silence est une application libre (GPL v3) pour Android de SMS et MMS, permettant de chiffrer les communications avec les autres utilisateurs de Silence. Silence vous permet donc d’envoyer du texte et des images en toute sécurité, mais le texte et les images passeront en clair par les réseaux vers les utilisateurs classiques. Cette application est disponible sous forme de code source sur GitHub et binaire sur F-Droid et le Play Store de Google.

logo de Silence

Silence est le nouveau nom de SMSSecure, divergence (fork) de Signal (anciennement TextSecure) d’Open Whisper Systems. On avait déjà parlé de l’abandon du chiffrement des SMS et MMS de Signal, à cause des limites des API d’iOS, d’une expérience utilisateur compliquée en ce qui concerne l’échange de clefs et aussi des méta‐données des SMS et MMS qui transitent forcément en clair. Silence/SMSSecure était né de ce constat, ainsi que de la volonté de se débarrasser des dépendances aux services de Google.

Un transport XMPP est actuellement en cours d’ajout dans Silence.

Journal Chiffrement, chiche ?

Posté par . Licence CC by-sa
17
8
déc.
2016

Salut à vous,

Un journal à propos de nos chers courriels et de la privacité (le joli anglicisme…) qui devrait aller avec. Mais un journal comme une interrogation ou comme une déception ou comme un "qu'est-ce que c'est compliqué"… Compliqué de prêcher dans le désert, compliqué d'utiliser les outils pour prêcher tout seul dans le désert….

Cette interrogation/déception/réflexion vient de la lecture d'un article publié avant-hier sur le Web of Trust, l'utilisation de PGP, Signal, le chiffrement, etc.

Il y (...)

Forum général.cherche-logiciel Sauvegardes incrémentales en ligne, chiffrées localement ?

Posté par . Licence CC by-sa
3
17
nov.
2016

Hello,

J'utilise pour l'instant Google pour sauvegarder mes photos, et j'aimerais arrêter de dépendre d'une boîte ayant la capacité de lire mes données.

Je cherche un moyen pratique (raisonnablement automatisable) de faire des sauvegardes en ligne (toujours dans les serveurs d'une entreprise donc), mais chiffrées en local. Et incrémentales, parce que je n'ai pas toujours une connexion à 100 Mbps.

Le tout pouvant être payant (je sais bien qu'on ne peut pas demander la gratuité et la confidentialité à une (...)

Revue de presse de l'April pour la semaine 40 de l'année 2016

Posté par (page perso) . Modéré par Yvan Munoz. Licence CC by-sa
21
11
oct.
2016
Internet

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

Revue de presse de l'April pour la semaine 36 de l'année 2016

26
13
sept.
2016
Internet

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

Journal Gfsecret, le secret réparti en pratique

Posté par (page perso) . Licence CC by-sa
48
4
sept.
2016

Jour’Nal,

Dans un précédent journal sur la gestion des clefs OpenPGP, je mentionnais en passant la possibilité « d’utiliser une méthode de secret réparti pour partager la clef privée en m fragments, dont n sont nécessaires pour reconstituer la clef complète ».

J’aimerais revenir sur cette méthode pour présenter les outils que j’ai développé pour la mettre en œuvre.

Un peu de théorie : le partage de secret d’Adi Shamir

Il existe plusieurs méthodes de partage de secret, celle qui nous intéresse (...)

Journal un vrai coffre fort numérique

Posté par . Licence CC by-sa
46
31
août
2016

En tant que fidèle lecteur de DLFP, euh, je voulais dire Linuxfr, je me disais qu'il serai enfin temps de contribuer un petit peu.

L'actualité mouvementée de ces derniers mois (et non je ne parle pas d'une tenue de plage controversée) m'a donné un sujet fort intéressant : le chiffrement !

Et non, ce ne sera pas un billet sur le risque ou l'avantage de chiffrer ses données, mais une petite astuce bien pratique pour qui veut garder certaines informations secrètes (...)

Revue de presse de l'April pour la semaine 34 de l'année 2016

23
30
août
2016
Internet

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

Journal Volumes logiques et chiffrement : vos solutions ?

Posté par . Licence CC by-sa
17
15
août
2016

Bonjour Nal,

Je me souviens, lorsque la première fois j'ai entendu parler de LVM, grâce à ce journal, d'avoir été ébahi par tant de beauté technologique. Je me suis alors promis, qu'un jour, quand je serai grand (beau et fort), j'opterai pour une telle solution. C'était il y a déjà presque trois années, et depuis, j'ai vieilli sans grandir, et je n'ai toujours rien fait de tel.

Le temps passe, vite, et entre temps je me suis tant (...)

Journal WhatsApp active le chiffrement de bout en bout

12
5
avr.
2016

D'après Wired, l'outil de messagerie texte/audio/video récemment racheté par FaceBook vient de forcer tous ses utilisateurs à chiffrer leurs communications de bout en bout.

Cette nouvelle peut paraitre bonne pour les utilisateurs de ce logiciel, mais elle soulève plusieurs questions auxquelles je n'ai pas de réponse.

Autant le business d'Apple constituant à enfermer ses utilisateurs dans un environnement technologique exclusivement sous son contrôle me semble compatible avec un chiffrement total des communications, autant celui de FaceBook, qui exploite les (...)

Journal Cryptocat a disparu

Posté par (page perso) . Licence CC by-sa
20
24
fév.
2016

Après TrueCrypt a disparu, GnuPT a disparu, on a maintenant Cryptocat a disparu.
Ça commence à faire beaucoup de disparitions, il va peut-être falloir commencer à regarder du côté de nos .onions (oui, on peut l'écrire comme on veut depuis la réforme de l'ortografe). Et il reste Cryptodog.

Revue de presse de l'April pour la semaine 1 de l'année 2016

28
12
jan.
2016
Internet

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire