Du chiffrage pour PC portable

Pause Café
#1

Voila je lance un sujet sur le chiffrage parce que je m’y lance.
J’ai un cahier des charges peut être un peut particulier.
[ul]
[li]pas de chiffrage temps réelle : c’est une charge de travail supplémentaire pour le PC et ça consomme donc de la batterie. D’une manière générale la contrainte de la batterie est forte dans mon cas.[/li]
[li]inutile de chiffrer toutes les données de mon /home : je n’en ressent pas le besoin[/li]
[li]le système le plus transparent possible : c’est un point souvent peut abordé, quand on parle de sécurité il ne faut pas se baser sur la rigueur des utilisateurs[/li][/ul]

C’est tout ce que je vois pour le moment.

Donc pour ce qui est des solutions, la première contrainte supprime déjà bon nombre de candidats (encfs, truecrypt, cryptsetup,…). J’ai vu Ecryptfs, mais je sais pas encore comment il fonctionne, sinon il semble que le dernier prétendant soit gnupg.

Voila pour le moment j’en suis à l’analyse, si vous avez des remarque n’hésitez pas. Je vous ferrais par de comment je vais mettre en place ça (et probablement écrire un tutoriel sur le sujet).

#2

losetup te permet de créer un périphérique à partir d’un fichier (une image disque). Tu peux alors le chiffrer comme si c’était une partition avec cryptsetup. Je ne sais pas ce qu’il en est avec les autres, par contre…

#3

bonjour,

pourquoi pas le chiffragetemps réel ? le seul truc est de ne pas le laisser activé tout le temps, tu le lance juste quand tu as besoin d’accéder aux données et ensuite tu le coupes. Ca évite de devoir déchiffrer toutes les données si tu n’asbesoin que d’un fichier. Cela se fait au travers de loop et d’un fichier image créé par dd.

Cette méthode masque aussi le nom, le type et la taille de fichier.

Le chiffrage en temps réel te sera moins consommateur que du chiffrage à la volée pour une même efficacité.

#4

ça à l’air sympa ce que tu raconte grigric t’aurait des infos supplémentaire ou une paire de liens à filer :smt002

#5

l’outil s’appelle cryptsetup, il permet, soit de chiffrer les partitions, soit de chiffrer un fichier image. Voici quelques liens.
http://www.experts-libre.com/index.php?post/2008/11/16/Linux-%3A-Volumes-chiffres-avec-LUKS
http://linux-attitude.fr/post/Faire-du-chiffre
http://frlinux.net/?section=securite&article=173
http://www.linuxcertif.com/man/8/cryptsetup/

#6

et un post sur lequel je viens juste de tomber :slightly_smiling:

http://forum.debian-fr.org/viewtopic.php?f=8&t=5281

#7

Donc ça chiffre fichier par fichier et le volume est en claire ? Pourquoi créer un volume alors ? Ou alors tu as deux passe chaque fichier + le volume. Pour la solution que tu donne le problème c’est que je dois me taper le déchiffrage de chaque fichier plus ou moins manuellement, non ?
Sinon un chiffrage temps réelle que tu active qu’a certains moment ça reviens à du chiffrage à la demande.

C’est quoi le chiffrage à la volée ?

#8

quand je dis chiffrement à la volée, je voulais dire chiffrer fichier par fichier.

tu peux chiffrer fichier par fichier. Mais pour lire un fichier chiffré, il faut le déchiffrer et penser à le rechiffrer une fois que tu en auras fini.

Avec cryptsetup, la partition est chiffrée (ou l’image iso). Elle est montée dans un loop et, quand tu y accède, ca déchiffre en temps réel pour te l’afficher et, quand tu enregistre, ca l’enregistre chiffré tout de suite, quand tu coupe le mount loop, ça coupe les acccès, ou meme si tu débranche ton PC (a l’arrivée des flics par exemple :slightly_smiling:, ca coupe l’accès aux fichiers chiffrés.

Si tu chiffres fichier par fichier, tu auras des données clair et chiffrées sur ton disque, ce qui remet en cause ton outil de chiffrement et ta clé de ciffrement et si tu oublies de les rechiffrer, tu te fais avoir.

PS: je crois que je me répète un peu, mais bon, le francais c’est pas trop mon truc, le principal est que l’idée est là, désolé.

#9

[quote=“grigric”]a l’arrivée des flics par exemple :slightly_smiling:[/quote]On ne peut plus clair ! :laughing:

#10

@grigric > D’accord c’est pas trop en opposition avec le temps réelle. Je dirais plutôt “chiffrage sur demande”/“temps réelle” et “d’un volume entier”/“fichier par fichier”.

Pour ce qui est d’avoir des fichiers en clairs sur le disque pour moi il n’en est pas question. Un fichier effacé ça se retrouve. Non les fichiers en clairs doivent être en mémoire vive. Comme mon /tmp et /var/tmp sont déjà en mémoire vive il y a peu de chances que mes fichiers soient inscrits sur le hdd.

J’ai testé aujourd’hui ecryptfs (à la méthode ubuntu) et il fait des trucs un peu bizarre. Ils stocke d’abord les fichiers en claire puis il sont chiffrés, puis déchiffrés à la demande. Le premier point me gène mais il y a un point qui me plait pas mal c’est qu’il se base sur l’authentification au système pour autoriser ou non le déchiffrage.

#11

bah cryptsetup correspond donc à ce sque tu recherches alors, car les données en clair ne sont qu’en mémoire vive. Le montage peut se faire en automatque, a l’insertion d’une clé usb contenant la clé de chiffrement par exemple avec un petit scrit :wink:

#12

Je vais voir ça. Merci :smiley: