Bonjour petit journal!
Une question me taraude l'esprit depuis quelques semaines : comment faire pour rendre illisibles les données (tout ou partie) de mon disque dur?
Non pas que je tienne à faire de la paranoïa ;) mais simplement éviter qu'en cas de perte de mon portable, on puisse avoir accès à des données personnelles voire confidentielles.
Des solutions propriétaires, voire même commerciales, et pire les, 2 existent. Je voulais juste savoir si il existait dans le domaine du Libre:
- un système de chiffrement à la volée
- performant (pas de ralentissement sensible sur un Duron 1300 par ex. :) )
- non bloquant en cas de perte de la clef de chiffrement (je parle de clef mais plutôt de ce qui sert de base au chiffrement : clef, certificat, ...)
- qui puisse chiffrer aussi des supports amovibles type clef USB, CDRW, etc...
- idéalement de disposer d'un moyen de rendre accessible les données sur les supports amovibles à des tiers de confiance...
Mmmhhh, comment ça je veux le beurre, l'argent du beurre, le sourire de la crémière et sa descendance? :))) Bah vi, il est comme ça Bibi!
Parmi vous certains on peut-être :
- une solution
- une expérience
- les mêmes questions (promis demain on monte un club!)
- autre chose à faire ( ;) )
Mais merci d'avance de votre participation à cette réflexion!
Journal Chiffrement de données
30
nov.
2004
# Cryptofs ?
Posté par Zorro (site web personnel) . Évalué à 5.
[^] # Re: Cryptofs ?
Posté par THE_ALF_ . Évalué à 4.
CFS:
Description: Cryptographic Filesystem
CFS pushes encryption services into the Unix(tm) file system. It
supports secure storage at the system level through a standard
Unix file system interface to encrypted files. Users associate a
cryptographic key with the directories they wish to protect.
Files in these directories (as well as their pathname components)
are transparently encrypted and decrypted with the specified key
without further user intervention.
.
CFS employs a novel combination of DES stream and codebook cipher
modes to provide high security with good performance on a modern
workstation. CFS can use any available file system for its
underlying storage without modification, including remote file
servers such as NFS.
et lufs-cryptofs:
Description: Transparent filesystem encryption plugin
CryptoFS is a plugin for the Linux Userland Filesystem (LUFS) which
implements an encrypted filesystem. It works transparently for the
user but writes actuall data as files on a different filesystem.
.
It is a good alternative to CFS which works similarly.
[^] # Re: Cryptofs ?
Posté par DAGAN Alexandre (site web personnel) . Évalué à 1.
Les paranos me diront : "et si tu perds ton support??? Il faudrait le chiffrer lui aussi..." *
OK, OK, mais bon, je ne suis pas un espion international à la solde de lobbies puissant manipulés par la NSA... Et puis avec une bonne passphrase, il ne restera que la torture :)))
Non c'est pas drole.
[^] # Re: Cryptofs ?
Posté par patrick_g (site web personnel) . Évalué à 2.
DES c'est vieux et plus très secure.
il vaux mieux utiliser des algos plus modernes (AES).
# Solution
Posté par Corwin (site web personnel) . Évalué à 6.
Tu tapes tès fort dessus?
[^] # Re: Solution
Posté par DAGAN Alexandre (site web personnel) . Évalué à 3.
- à la perceuse
- à l'aimant
- au papier de verre
Mais l'idée c'est aussi de pouvoir relire les données ;)
# Euh....
Posté par pasBill pasGates . Évalué à 10.
Voyons voir, tu veux donc qu'il soit possible de lire les donnees sans avoir la cle de dechiffrement, au cas ou tu la perdrais.
Et en meme temps tu voudrais que qq'un qui n'a pas le moyen de dechiffrer les donnees, donc pas la cle de dechiffrement, ne puisse pas y acceder.
Je vois comme une contradiction la.
[^] # Re: Euh....
Posté par Ph Husson (site web personnel) . Évalué à 4.
[^] # Re: Euh....
Posté par Ju. . Évalué à 5.
Peut etre qu'il veut un systeme de cryptage avec un fallback vers une demande de mot de passe...
Bon ca vaut pas tripette niveau sécurité mais je crois voir l'idée :
Si tout va bien, le programme lit la clé de chiffrement et decrypte le systeme de fichier
Si l'utilisateur n'a plus cette clé, le programme demande un mot de passe.
(Note : ssh fonctionne 'un peu' comme ca : clé, avec mot de passe au besoin, si non classique mot de passe)
Comme la qualité de ta protection tient de l'element le plus faible, une attaque brute sur le mot de passe donne accés à tes données.
[^] # Re: Euh....
Posté par DAGAN Alexandre (site web personnel) . Évalué à 2.
L'idée c'es que si par malheur, ce qui est nécessaire au chiffrement (clef, certificat, etc...) disparait du poste (effacement malheureux), il faut que je puisse "le remettre dessus" avec un procédure simple (si possible).
Exemple, j'efface par erreur le certificat ou la clef, mais que bien sur j'ai sauvegardé qq part ailleurs. Je la remet sur la machine et j'ai accès aux données.
Les données de la clef ou du certificat sont les mêmes d'un point de vue logique (contenu), mais pas physique (les bits sur le DDur ne sont plus les mêmes). Je ne sais pas si je suis très clair.
Il existe des solutions où si la clef est effacée puis remise, le déchiffrement n'est plus possible. Le système pense à une attaque, on vire la clef pour en remettre une autre... Il prend aussi en compte l'emplacement de la clef dans le sysème d'inodes, et son empalcement physique sur le disque. Ca je veux pas!
[^] # Re: une partition home cryptée
Posté par Eric Streit . Évalué à 3.
une solution serait de prévoir une partition home/toi à part et de ne crypter que celle-ci. Comme ça vous auriez accés à la machine sur un autre compte "normal" en cas de perte de la clef. Vos données personnelles seraient chiffrées, mais le reste de la machine, normale. Je ne vois pas l'intérêt pour un particulier de chiffrer ses répertoires /usr/bin ;).
Eric!
-------
[^] # Re: une partition home cryptée
Posté par Benjamin (site web personnel) . Évalué à 5.
Au début j'utilisais un /home/benjamin en cryptoloop sur noyau 2.4, maintenant que je suis en 2.6, j'utilise dm_crypt avec succès (merci dlfp ...) et sans avoir eu besoin de reformater mon /home, le tout avec des performances et une fiabilité tout à fait correcte, bien que mon portable soit un celeron 300 ...
Il n'y a par contre aucun moyen de retrouver la passphrase si celle-ci est perdue. Si ce n'est de la crypter pgp ailleurs, et donc d'avoir un moyen de la retrouver ...
Quand au choix du support de stockage de la passphrase, j'ai choisi un support fiable et non "volable" : quelques neurones bien placés que je hotplug sur /dev/keyboard au boot ;)
[^] # Re: une partition home cryptée
Posté par DAGAN Alexandre (site web personnel) . Évalué à 3.
As-tu gardé des traces de l'aide reçu de dlfp sur dm_crypt???
Ca m'intéresse :)
Merci!
# Pas de crypto du fs mais d'un repertoire ...
Posté par Fabien Jakimowicz . Évalué à 2.
http://arg0.net/users/vgough/encfs.html(...)
[^] # Re: Pas de crypto du fs mais d'un repertoire ...
Posté par DAGAN Alexandre (site web personnel) . Évalué à 1.
J'ai bien aimé le comparatif de perfs et de techno...
Je vais essayer ça pour voir! En plus pas de patch nécessaire ni compil nécessaire ;)
Merci du tuyau
Alex
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.