Ashram de Swâmi Petaramesh - Ubuntu : Chiffrement intégral du disque dur d'un portable - Commentaires

[ping] Ubuntu : Chiffrement intégral du disque dur d'un portable - Ashram de Swâmi Petaramesh

Ashram de Swâmi Petaramesh — Thu, 29 Nov 2007 18:10:54 +0100

Une clé de contact pour votre portable chiffré

Nous allons aujourd'hui nous intéresser à une autre méthode de démarrage d'un tel portable : Celle qui consiste à utiliser une clé de déchiffrement stockée sur un support externe, qui jouera alors le rôle de "clé de contact" de la machine ......

Ubuntu : Chiffrement intégral du disque dur d'un portable - er:k

er:k — Sat, 24 Nov 2007 19:17:37 +0100

Bon petit article. J'ai moi même chiffré également mon disque dur en installant Debian qui offre cette option à l'installation : très pratique ! J'avais également avant cela réussi à faire un montage automatique avec une clé USB de mon /home chiffré, mais je ne sais pas si c'est possible tout le disque étant chiffré (en effet, j'utilisais une règle udev donc il faut que /etc soit monté ;-)

Ubuntu : Chiffrement intégral du disque dur d'un portable - Vince

Vince — Thu, 22 Nov 2007 08:55:54 +0100

Merci Swâmi.
Mon problème à moi , pour avoir un poste sain et sécurisé sous Linux, reste encore l'interface clavier-chaise...parfois...
Et contre ça, malheureusement, même ta sagesse ne pourra rien. Mais j'apprends, de plus en plus chaque jour.
Va falloir que je pense à iptables, configurer un firewall de compet', et mettre tous tes conseils en pratique.

Ubuntu : Chiffrement intégral du disque dur d'un portable - Swâmi Petaramesh

Swâmi Petaramesh — Wed, 21 Nov 2007 21:15:31 +0100

La crypto, c'est de la rigolade. Je viens de me taper en rentrant du bureau (crevé) le démontage-remontage intégral du mécanisme de la serrure 3-points de la porte de mon appart, qui se mettait à coincer et à vouloir nous enfermer dehors... Toute la tranche de la porte à démonter de haut en bas.
Nettoyage de la merde, dégraissage, regraissage, remontage, ça marche toujours pas, redémontage, ajustement à la pince d'une petite pièce en cours d'usure et qui était la coupable... Remontage, ça marche.

2 heures et demie de galère, les nains sont couchés et j'ai toujours pas bouffé :-/

Les serrures informatiques sont moins chiantes que les serrures mécaniques. Surtout le soir.

Mais quand je pense à ce que je viens d'économiser sur l'escroc que je n'ai pas appelé et qui m'aurait pris 2000 Euros pour changer la totale, je sourirais presque.

Ubuntu : Chiffrement intégral du disque dur d'un portable - Swâmi Petaramesh

Swâmi Petaramesh — Wed, 21 Nov 2007 14:28:07 +0100

@Vince : utiliser les mêmes précautions pour toute action faite avec ce portable

Bien sûr. La sécurité doit toujours être envisagée de manière globale et en profondeur.

> Par exemple, éviter le wifi ou alors en sécuriser l'accès au maximum

Ne faire aucune confiance à du WEP, évidemment, mais du WPA ou WPA2 AES-CCMP, ça te laisse quand même dormir plus tranquille.
Sinon, tu peux toujours faire passer un VPN dans du Wi-Fi, il y a même des firmwares de routeurs Wi-Fi qui l'implémentent.

> un bon rj45 sera toujours le mieux pour les paranos

Ça dépend de ce que tu as avant et après le RJ45 ;-)

Cet humble serveur a été conecté via Wi-Fi de 2003 à 2006, et est toujours connecté à une patte Ethernet d'un routeur "à antennes"...

> J'imagine que le chiffrement se fait une fois le volume démonté

Non, le chiffrement/déchiffrement se fait à la volée. Aucune donnée en clair n'atteint jamais le disque dur.

> donc pendant qu'on travaille dessus, l'accès à ces données est rendu possible à quelqu'un qui tutoierait un routeur d'un peu trop près.

Là c'est exact, quand le volume est monté ses données sont accessibles sous les mêmes conditions que celles de n'importe quel filesystem Linux ordinaire. D'où l'importance de la sécurité online. iptables est ton ami.

Ubuntu : Chiffrement intégral du disque dur d'un portable - mc

mc — Wed, 21 Nov 2007 14:14:51 +0100

Booter un système signifie (3):
C'est très sympa d'avoir renoncé à te f.... de moi, l'occasion était bonne.
Sur la question de la carte et de sa destruction éventuelle, je te suis bien. Je suppose qu'on est là dans un cas extrême, t'es si pessimiste que ça sur l'avenir?

des pays pourris dont on n'est jamais certain que le nôtre ne fera pas un jour partie:
Ah, excuses, j'ai ma réponse... le pire c'est que je suis d'accord.

Ubuntu : Chiffrement intégral du disque dur d'un portable - Vince

Vince — Wed, 21 Nov 2007 13:27:11 +0100

Encore faut-il utiliser les mêmes précautions pour toute action faite avec ce portable. Par exemple, éviter le wifi ou alors en sécuriser l'accès au maximum (quoiqu'on en dise, un bon rj45 sera toujours le mieux pour les paranos) lorsqu'on travaille dessus. J'imagine que le chiffrement se fait une fois le volume démonté, donc pendant qu'on travaille dessus, l'accès à ces données est rendu possible à quelqu'un qui tutoierait un routeur d'un peu trop près.
Me trompe-je ?

Ubuntu : Chiffrement intégral du disque dur d'un portable - Swâmi Petaramesh

Swâmi Petaramesh — Wed, 21 Nov 2007 11:59:06 +0100

@vicnent : En termes de consommation mémoire, ce sont juste quelques modules de noyau qui font le boulot pour un prix très raisonnable : Moins de 128 Ko de mémoire.

root@styx:/etc# lsmod | egrep "aes|sha|dm_crypt"
sha256                 12032  0
aes_i586               34304  4
dm_crypt               14984  1
dm_mod                 58816  18 dm_crypt,dm_mirror,dm_snapshot

En termes de perfs, le surcoût de chiffrement/déchiffrement à la volée est très tolérable avec les processeurs modernes, en comparaison de la puissance de calcul bouffée par les applications par ailleurs.

Depuis que j'ai passé mon portable en "tout chiffré", je ne constate pas de différence de performance flagrante, ou alors est-elle minime, du moins en utilisation bureautique / internet ordinaire. Le temps de boot complet du système ou de démarrage de KDE par exemple me semble globalement identique.

Il est probable que des applications "disk-intensive" comme de la grosse base de données en souffriraient davantage. Quoi qu'il en soit, le cache-disque de Linux est aussi là pour beaucoup relativiser l'impact en termes de performances.

Ubuntu : Chiffrement intégral du disque dur d'un portable - Vicnent

Vicnent — Wed, 21 Nov 2007 11:44:02 +0100

joli billet technique.

J'ai juste une question : quid de la ressource générale nécessaire et du temps ?

En gros, tout ce qui fonctionne doit être déchiffré après lecture et avant utilisation, et vice versa.

Ça doit un peu plomber les "temps de réponse, non ?" tu as du chiffre la dessus ?

Ubuntu : Chiffrement intégral du disque dur d'un portable - Swâmi Petaramesh

Swâmi Petaramesh — Wed, 21 Nov 2007 10:55:45 +0100

@Herve : J'ai passé les détails, mais est-ce que tu empêches de booter sur un disque externe ?

Bien sûr, mais cette protection est parfaitement illusoire. Pour ce qui concerne la revente d'une machine volée, rien n'est plus facile que d'effacer le CMOS et de supprimer ainsi toute protection de cet ordre ou mot de passe de BIOS, etc.

Celui qui veut reformater ton disque peut aussi tout simplement l'extraire de la machine et le reformater sur une autre.

Le chiffrement concerne la protection des données qui sont sur la machine, et empêche de l'utiliser telle quelle. Mais si tu te la fais tirer, rien n'empêchera un malin d'en faire ensuite ce qu'il voudra - sauf qu'il n'aura ni ton O.S., ni tes données.

Ubuntu : Chiffrement intégral du disque dur d'un portable - herve

herve — Wed, 21 Nov 2007 10:21:29 +0100

J'ai passé les détails, mais est-ce que tu empêches de booter sur un disque externe ?

Parce que bon, c'est le plan classique : on boote sur un disque externe, on formate le disque interne et on installe dessus un bon vieux doz pour revendre le portable vite fait...

Ubuntu : Chiffrement intégral du disque dur d'un portable - Swâmi Petaramesh

Swâmi Petaramesh — Wed, 21 Nov 2007 10:11:28 +0100

@mc : Tu crois pas que le dernier paragraphe gâche tout? Suffira d'avoir la carte, non?

L'un des avantage de LUKS est de permettre l'utilisation de différentes méthodes d'authentification, ou d'en changer assez facilement par la suite.

Selon ce qu'on veut protéger et comment, selon que l'on veut ou non que la machine soit capable de booter sans intervention humaine au clavier, on peut utiliser la méthode que l'on préfère. On peut aussi utiliser une "clé de contact" chiffrée exigeant une phrase secrète, si l'on a un niveau de paranoïa élevée.

Peut aussi se poser pour certains la question de rendre le système définitivement inaccessible. Est-il plus facile de "se forcer" à oublier une "phrase secrète", ou de détruire une petite carte flash ? ;-)

LUKS permet aussi de définir plusieurs phrases secrètes différentes pouvant déverrouiller le container. Ça présente un intérêt si la machine doit pouvoir être utilisée par plusieurs personnes, dont aucune n'aura besoin de connaître la phrase secrète d'un autre. Avec pour inconvénient que la protection du système ne sera pas plus forte que la phrase secrète la plus "faible" (i.e. si l'un des utilisateurs se contente de mettre son prénom...).

Booter un système signifie le démarrer et lancer son système d'exploitation jusqu'au point où le système devient utilisable...

@Yogi : T'avais parlé à tes psys de ta propension à chiffrer toute ta production ?

Je m'intéresse au chiffrement (pour ce qui concerne sa mise en oeuvre, je n'ai pas les compétences mathématiques nécessaires à la cryptographie théorique) depuis une quinzaine d'années.

Ce sont des outils qui peuvent s'avérer vitaux pour des journalistes, membres d'O.N.G., militants... dans des pays pourris dont on n'est jamais certain que le nôtre ne fera pas un jour partie... Il me semble important d'en démocratiser l'usage.

D'autre part, toute personne qui utilise fréquemment un ordinateur sera tôt ou tard amené à y stocker des informations plus ou moins personnelles ou confidentielles dont on n'aimerait pas qu'elles se promènent dans la nature...
Si tu te fais chouraver ton portable, tu n'as peut-être pas envie que le voleur hérite également de tes photos personnelles, de tous tes mails, et puisse accéder à tous les sites web pour lesquels tu as enregistré dans ton navigateur tes login/password, que tu n'auras bien sûr pas pris la peine de protéger...

Enfin, la sécurité informatique est l'un des aspects de mon métier, et s'intéresser à ces questions sensibilise aux risques et au manque cruel de sécurité de la plupart des systèmes informatiques - mêmes ceux stockant et échangeant des données personnelles...

Ubuntu : Chiffrement intégral du disque dur d'un portable - Yogi

Yogi — Wed, 21 Nov 2007 09:02:48 +0100

:-) T'avais parlé à tes psys de ta propension à chiffrer toute ta production ? Est-ce que ça a un rapport avec le stade anal ?

Ubuntu : Chiffrement intégral du disque dur d'un portable - mc

mc — Wed, 21 Nov 2007 08:45:41 +0100

Carte SD insérée, il bootera tout seul, carte SD absente, il ne bootera pas, point.:

Tu crois pas que le dernier paragraphe gâche tout? Suffira d'avoir la carte, non?

Euh, c'est quoi un "boot", ça veut dire quoi, "booter"? C'est pas un mot secret pour otage? Paskon le trouve aussi souvent dans ton texte que "otage" dans nos médias collabos.