De plus en plus de distributions (SuSE 7.3, Mandrake 8.2) contiennent un noyau pré-compilé avec les patchs crypto pour gérer les FS cryptés. Mais elles n'incluent pas de GUI ou de script, et il faut se taper toute une procédure à coups de dd, de losetup et de chown, pour créer son container crypté.
MKCRYPTFS est un script complet qui fait tout le boulot, et qui est compatible avec les principaux systèmes de loop crypto actuels (loop-AES, cryptoapi, kerneli), avec ext2 et ext3, et avec tout noyau adapté pour.
Aller plus loin
# Explications supplémentaires...
Posté par nemerid . Évalué à 10.
Que font exactement ces patchs ? Quelqu'un peut m'expliquer les avantages d'un fs crypté, comment il marche et l'intérêt que ça apporte ?
Merci d'avance pour tous ces éclaircissement techniques.
[^] # Interet d'un FS chiffré
Posté par Vanhu . Évalué à 10.
Supposons que tu as des infos hyper ultra importantes et confidentielles (je sais pas, moi, les projets secrets de ta boite, des photos compromettantes de ta copine, le code source de Windows XP, etc....) a stocker sur disque.
Supposons aussi qu'il y ait un risque de vol du disque (s'il est pas enferme dans un coffre a Fort Knox, quoi...).
Si tu stockes en clair, il suffit de voler le disque pour avoir toutes les informations (et les droits des fichiers ne servent a rien: il suffit de demarrer sur un autre systeme ou on est root).
Par contre, si les données sensibles sont sur un FS chiffré, alors une cle est nécessaire pour pouvoir lire/modifier ces infos.
Or, cette clé n'est jamais stockée ailleurs qu'en RAM (au fait, qqun a vérifié qu'elles ne risquent pas de se retrouver sur le Swap ???), donc elle est "perdue" pour le système au reboot, et il faut alors la resaisir.
Un cas classique d'utilisation est l'ordinateur portable du commercial, qui contient assez facilement des informations +- sensibles et qui se vole assez facilement....
[^] # Re: Interet d'un FS chiffré
Posté par kesako . Évalué à 10.
Mais quelle est cette clef ? un simple password ?
une clef generee donc tres longue donc sur une disquette ,une carte de credit, ou un porte-clef usb ?
Et elle est demandee qd cette clef ? au boot ? a la premiere utilisation du fs ?
Si c'est un passwd, ca craint vu la propention de sgens a mettre des passwd trop faciles a craquer.
[^] # Re: Interet d'un FS chiffré
Posté par Anne Onimousse . Évalué à 5.
Si la phrase est longue, l'entropie devrait suffisante pour que cela demande trop de ressource de cracker cela eu égard à la valeur toute relative des données hébergée par un particulier.
[^] # Re: Interet d'un FS chiffré
Posté par Étienne . Évalué à -1.
Ceci dit, les personnes qui utilisent un fs crypté sont à priori conscientes de l'importance de la confidentialité de leurs données et choisiront des mots de passe plus compliqués.
[^] # Suggestion pour les mots de passe trop faible
Posté par Anne Onimousse . Évalué à 5.
L'intérêt de MD5 est de te permettre d'utiliser une phrase aussi longue que tu veux, donc tu peux compenser le fait que l'entropie moyenne par caractère soit faible (ce auquel tu fait allusion via ton attaque par dictionnaire) en utilisant plus de caractères.
Au contraire avec un mot de passe classique, comme tu est limité dans ton nombre de caractère
(par exemple 7 caractères effectifs pour un mot de passe utilisateur NT 4), tu dois exploiter au maximum la plage de caractère possible, ce qui rends les mots de passe difficilement mémorisable . Qui se souviendra sans l'écrire sur un post-it, d'un password contenant des têtes de mickey, et autre caractères tapés à coup de CTRL-machin.
Alors que la première phrase de la page Y d'un roman, c'est possible de l'apprendre par coeur et si on l'oublie, un bouquin sur une étagère avec une page cornée reste plus discret qu'un post-it sur l'écran.
[^] # Re: Interet d'un FS chiffré
Posté par Vanhu . Évalué à 2.
Un password est effectivement souvent plus faible qu'il ne le devrait, d'un autre coté, un token/CD/disquette/etc... est également succeptible d'être perdu/volé.
L'idéal serait surement une grosse clé stockée sur un média mais chiffrée par un password: il faut alors le password ET le support de clé....
La cle est demandee au moment du montage du FS, ce qui peut être au démarrage, ou plus tard....
[^] # Re: Explications supplémentaires...
Posté par Delaregue . Évalué à 10.
L'avantage d'un systeme de fichier crypte en comparaison d'un systeme tel que gpg est que tu peux travailler sur un ou +sieurs fichier sans avoir a te soucier de les re-encrypter manuellement chaque que tu les modifies.
Encrypter le swap est necessaire si un tierce personne a un access physique a ta machine. Elle peut tirer de valuable info a propos de ton systeme, d'autres systemes ou des utilisateurs si elle peut copier le disque. Enlever un disque, le dupliquer et le reinstaller peut prendre 15 min...
[^] # Re: Explications supplémentaires...
Posté par Olivier Jeannet . Évalué à 1.
d'encrypterJe rappelle qu'on ne dit pas "encrypter" (beurk) mais à l'extrême rigueur "crypter" (toujours un anglicisme) et surtout "chiffrer".
(ça a déjà été expliqué plusieurs fois ici)
de les re-encrypter
Ouille !
J'en ai mal aux oreilles ;-)
# Le lien de marche pas :-(
Posté par domi . Évalué à -6.
Quelqu'un a d'autres liens à proposer ?
[^] # Re: Le lien de marche pas :-(
Posté par yosch . Évalué à -7.
on dirait que le linuxfr-age commence à se faire sentir !!
Moi non plus j'y arrive po...
Pourtant c'est vraiment un truc à tester.
# Lien https => http
Posté par Vanhu . Évalué à -2.
Je veux bien croire que ca en intéresse certains, qui ont confiance en cette autorité et qui bossent souvent avec, mais pour un lien "public" sur Linuxfr, l'accès par http aurait largement suffit, et aurait évité le warning a tout le monde à cause du certificat (et on parie combien que plein de gens trustent maintenant betement cette autorité sans meme savoir ce que ca veut dire ?).
[^] # Re: Lien https => http -1
Posté par Gloo . Évalué à 3.
tu parles trop vite.
lynx -noredir -dump http://www.bouissou.net/wws/d_read/open-crypto/linux-crypto/mkcrypt(...)
-1
[^] # Re: Lien https => http -1
Posté par Vanhu . Évalué à -4.
# Dans la Mandrake DiskDrake permet de le faire
Posté par warly . Évalué à 10.
Au démarrage le mot de passe t'es demandé pour monter la partition. Dans le cas où le mot de passe n'est pas fourni au cours du démarrage (il y a un délais de 15 sec pour le rentrer, de manière à ne pas bloquer), tu peux en utilisant mount monter la partition encrytée par la suite.
# Et la partition root?
Posté par wismerhill . Évalué à 2.
Donc pour une sécutité maximum de tout le contenu du système il faut un minimum sur la partition root non cryptée puis monter des partitions cryptées dans /home, /usr, /opt, et tous les répertoires ou l'on peut.
[^] # Re: Et la partition root?
Posté par Foxy (site web personnel) . Évalué à 10.
Le but du cryptage des partitions (home ou swap) est de protéger les documents utilisateurs stockés sur le disque : lecture par un autre utilisateur, montage de la partition en cas de vol...
pour une sécutité maximum
Pour une sécurité maximum, il faut surtout un admin compétent, qui fasse de la veille sur la sécurité et qui fait son boulot de patching et update en temps et en heure. Pas un branlo ;-) qui croit aux solutions miracles
[^] # Re: Et la partition root?
Posté par cipher . Évalué à -3.
J'imagine une situation ou ca pourait toutefois être utile.
Supposons qu'un opposant à un régime totalitaire veuille publier des textes critiques sur le réseau. Si les flics saisissent son disque dur et veulent le confondre, il aura beau avoir crypté tous ses documents, je suppose qu'il restera toujours sur la partie non cryptée du disque des informations sur l'existence de ces documents (traces quelconques de l'ouverture récente dans un logiciel par exemple), ce qui peut en soi-même être compromettant.
Je me trompe ?
[^] # Re: Et la partition root?
Posté par Laurent Saint-Michel . Évalué à -1.
[1] Le répertoire /etc ne contient en plus que des données générales du système et les configurations générales des logiciels, toutes les personnalisation (donc par exemple l'historique des pages web, les mails ...) sont stockées dans le répertoire Home.
# question
Posté par cipher . Évalué à 3.
si non, ca serait bien que tout le monde le fasse systématiquement et surtout quand il n'y a pas d'informations bien sensibles sur le disque dur, histoire qu'ils nous volent pas la liberté de protéger nos informations
[^] # Re: question
Posté par Paerro Trime . Évalué à 8.
# un peu plus d'info...
Posté par Gloo . Évalué à 7.
http://www.linuxdoc.org/HOWTO/Loopback-Encrypted-Filesystem-HOWTO.h(...)
Le patch pour votre kernel:
http://www.kerneli.org/(...)
"il faut se taper toute une procédure à coups de [...]"
Faut pas exagerer, ce n'est pas le parcours du combatant, et ces liens sont instructifs. Sans ces infos, la news fait vraiment pub deguisée...
Ambiance "c'est fantastique ce qu'on a fait, et trop compliqué pour vous, heureusement qu'on est là"
Ca vous dit quelque chose ?
[^] # http://encryptionhowto.sourceforge.net/Encryption-HOWTO.html -1
Posté par Gloo . Évalué à -5.
-1
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.