Journal Cryptage de volume sous kernel 2.4.22/2.6.x

Posté par  .
Étiquettes : aucune
0
2
oct.
2003
Crypter un fichier, c'est relativement pratique. Mais crypter un volume complet et pouvoir y acceder aussi simplement qu'un volume non crypter, c'est deja bien plus agreable et surtout plus pratique que la premiere solution.

Comment faire, en utilisant un kernel 2.4.22 ou 2.6.x. En effet, l'api cryptographique du kernel serie 2.6 a ete backporte sur le kernel 2.4.22. En utilisant donc un kernel cite ci dessus, (plus un patch pour le 2.4.22), vous serez a meme de crypter vos volumes complet et d'y acceder tres simplement. Le procede fait appel a un loop device.

Toutes les informations sont disponibles sur ce site, le tout condense dans un excellent tutoriel : http://www.linuxfrench.net/article.php?id_article=1299(...)

La fin est excellente, j'espere que l'auteur ne m'en voudra pas de la lui reprendre :

Quelques rappels sur la sécurité

1. Soyez paranoïaque.
2. Vérifiez que les personnes qui vous parlent de cryptographie ne sont pas des petits malins qui cherchent à vous induire en erreur.
3. Utilisez GnuPG et/ou MD5 pour vérifier les signatures de toutes les sources et patches que vous utilisez.
4. à l'intérieur du système de fichiers crypté, ne pas crypter des fichiers avec le même algorithme et le même mot de passe : ces fichiers risqueraient d'apparaitre en clair$ dans le container. On fait usage d'algorithme de cryptage symétrique, la même clé est utilisée pour crypter et décrypter, et bien souvent la même fonction assure le cryptage et le décryptage : on crypte une fois pour obtenir l'information cryptée, on recrypte une deuxième fois pour obtenir l'information en clair.
5. Ne pas exporter votre container ni votre système de fichiers crypté : NFS, FTP, Samba, etc... sont à proscrire. Quel intéret de crypter vos données si vous les faites circuler en clair. Utilisez des protocoles sécurisés (SSH, VPN) pour transmettre vos fichiers, cryptés eux-mêmes si besoin.
6. Protégez votre ordinateur :

* empêchez l'ouverture de l'ordinateur,
* empêchez l'utilisation de disque d'amorçage autre que le disque dur,
* sécurisez l'amorçage du système d'exploitation : une personne non autorisée ne doit pas pouvoir passer de paramètres au noyau.
* ne laisser jamais de session ouverte sans protection, verrouillez votre terminal dès que vous le quittez.
* archivez vos données de façon cryptée.

1. Ne stockez vos mots de passe que dans votre tête.
2. Et ne croyez pas qu'en sachant tout cela vous êtes en sécurité.
  • # Re: Cryptage de volume sous kernel 2.4.22/2.6.x

    Posté par  (site web personnel) . Évalué à 1.

    Je poste le même commentaire qu'hier sur LinuxFrench : en français, on ne dit pas crypter mais chiffrer, pas cryptage mais chiffrement.
    Cela mis à part, être paranoïaque reste une bonne idée.
  • # Re: Cryptage de volume sous kernel 2.4.22/2.6.x

    Posté par  . Évalué à 0.

    On dit chiffrer / déchiffrer de ce côté-ci de notre barrière linguistique.
    Enfin peu importe.

    T'as oublié la cage de Faraday pour se protéger des écoutes.

    Et la protection contre la torture, y a des trucs sinon ? (on
    peut te forcer à dire ton mot de passe)

    Et contre une organisation quelconque qui dispose d'une
    force armée qui veut nous piquer nos données (mais
    alors, quelles données sont-ce là ?), on fait quoi ?
    • [^] # Re: Cryptage de volume sous kernel 2.4.22/2.6.x

      Posté par  (site web personnel) . Évalué à 2.

      Une pilule de cyanure et hop ! le problème est réglé : tu ne dévoilera plus jamais ton mot de passe !
    • [^] # Re: Cryptage de volume sous kernel 2.4.22/2.6.x

      Posté par  . Évalué à 1.

      Tant qu'on y est:
      - ne jamais donner un mot de passe oralement (même dans une pièce fermée, avec un laser on peut capter les vibrations d'une vitre et les reconvertir en son);
      - ne jamais utiliser de carte de crédit, de bibliothèque ou de chèque (que du cash, retiré de préférence en une seule fois dans une agence différente à chaque fois) - ça peut paraître parano, mais depuis le patriot act les flics US ont le droit de consulter tout ça comme bon leur semble, plus ou moins sans mandat ni intervention d'un juge;
      - trimballer une Knoppix MiB, avec son /home (chiffré) sur carte flash plutôt que sur clé USB (plus facile à manger/casser/dissimuler quelque part);
      - se faire refaire le visage et les empreintes digitales tous les six mois pour diminuer l'efficacité des divers capteurs biométriques;
      - dans l'hypothèse ou un jour on pourra lire des informations dans le cerveau d'une personne fraîchement décédée, le suicide par arme à feu est plus approprié que le cyanure en cas de capture;
      - Souvenez-vous, il n'y a pas de conspiration;
      - FNORD.
  • # Re: Cryptage de volume sous kernel 2.4.22/2.6.x

    Posté par  (site web personnel) . Évalué à 1.

    * avoir un backup de vos datas/systèmes qui MARCHE (ie: testé et validé)

    * garder vos clés privés sur plusieurs media amovibles avec vos bandes de sauvegardes, dans deux coffres de deux banques différentes situées dans deux villes différentes séparées de 800 km. Chiffrer des backups qu'on ne peut pas relire...

    * garder vos bandes de backups dans un coffre fermé (pas posées sur le bureau)

    * attacher physiquement vos serveurs aux racks/armoires/sol/votre belle-mère

    * fermer a clé l'armoire des baies de disques extractibles a chaud (deux disques d'un même RAID 5 arrachés a la baie provoquent une perte immédiate de TOUTES vos données du RAID)

    * lacher un (et rien qu'un) pitbull affamé dans la salle serveurs

    * utilisez des sondes/switch/anti-sniffers et surtout, jettez un coup d'oeil a vos logs en prenant votre café le matin (et rediriger les logs et vos backups sur /dev/null n'est généralement pas une bonne idée, sauf si vous êtes le BoFH)
    • [^] # Re: Cryptage de volume sous kernel 2.4.22/2.6.x

      Posté par  . Évalué à 1.

      • et ne pas oublier son mot de passe...

      Personnellement cela m'est déjà arrivé après l'avoir juste changé. Heureusement si l'on a accès à la machine on peut toujours se débrouiller. Par contre ici, pour ses données, bye bye...
  • # Re: Cryptage de volume sous kernel 2.4.22/2.6.x

    Posté par  . Évalué à 1.

    Pour compléter la réflexion:

    - https dès que c'est possible
    - smtp-tls
    - pop-tls
    - chiffrement du courrier par gpg.

    Ensuite le but et la raison d'être de la knoppix-MiB est précisément d'offrir en standard ces outils de protection de sa vie privée: swap chiffré, donnée personnelle sur un home persistent chiffré (par loop-AES), mailer comprenant le chiffrement: evolution, kmail, mozilla+enigmail avec kgpg pour gérer ses clefs, postfix parlant le tls fonctionnel avec un certificat générique.

    loop-AES est un module noyau qu'on peut compiler séparément, moyen alternatif de chiffrement par rapport à ceux proposés en standard par le 2.6.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.