Mon Os est il chiffré? cryptographie [résolu]

Patrick Debian · 15-01-2017 21:10:24

Bonsoir,

Suite à mes lectures je me pose des questions sur la cryptographie:

Comment savoir si mon système d'exploitation est chiffré ? (Je ne me rappelle pas si cela a été fait)

Si il ne l'est pas, est-ce possible de le chiffrer? Ou faut il supprimer mon OS et en remettre un en le chiffrant durant son installation ?

Merci

Dernière modification par Patrick Debian (16-01-2017 13:34:56)

raleur · 15-01-2017 21:13:29

S'il l'était, il te serait demandé de taper une passphrase au démarrage pour le déchiffrer.

Le système ne peut être chiffré que lors de l'installation.

Patrick Debian · 16-01-2017 07:35:39

Merci raleur.
Toujours aussi précis et efficace.

_

Patrick Debian · 16-01-2017 13:37:48

J'ai relu le document qui m'avait poussé à poser ma question, puis, en le relisant, je ne comprend pas comment installer Debian avec la cryptographie.

J'en viens à cette supposition : on ne peut pas installer Debian chiffré, mais c'est le disque dur ou du moins une partie du disque dur qu'il faut chiffrer, puis ensuite, installer Debian normalement sur un disque chifffré.

Ma réflexion est elle juste ?

Merci

Dernière modification par Patrick Debian (16-01-2017 13:38:56)

otyugh · 16-01-2017 13:59:40

Quand tu suit la procédure d'installation debian, à l'étape "partitionner", tu peux choisir une option "chiffrée".

Patrick Debian · 16-01-2017 14:46:10

Merci. J'ai suivi ton instruction et j'ai vu dans la doc que je lis que l'option s'appelle LVM chiffré.

Si on chiffre son disque dur puis que l'on installe Debian sans l'option de chiffrer, est ce que cela donne le même résultat que de chiffrer seulement Debian ?

mazert · 16-01-2017 16:24:03

Tu chiffre les partitions du disque mais pas Debian, ça na pas de sens. Tu définis au préalable un schéma de partitionnement, en l’occurrence des volumes LVM chiffrés, et ce n'est qu'ensuite que tu installe Debian la dedans (ou n'importe quoi d'autre).

Dernière modification par mazert (16-01-2017 16:24:33)

Patrick Debian · 16-01-2017 16:50:00

Donc Debian ne sera pas chiffré, mais les partitions du disque où on l'installe, c'est ça?

Désolé, mais je commence à m'embrouiller.

C'est bien les partitions du disques que l'on chiffre, mais pas Debian en lui même?

smolski · 16-01-2017 18:36:34

mazert a écrit :

Tu chiffre les partitions du disque mais pas Debian, ça na pas de sens.

Patrick Debian · 16-01-2017 19:17:08

Si on chiffre son disque dur, puis par la suite, on installe Debian sans l'option de chiffrer, est ce que cela donne le même résultat que de chiffrer les partitons lors de l'installation de Debian ?

smolski · 16-01-2017 19:56:15

Hophop a écrit :

Si on chiffre son disque dur, puis par la suite, on installe Debian sans l'option de chiffrer

Et tu chiffres ton disque comment si t'as pas d'abord installé debian pour le faire ?
...

raleur · 16-01-2017 23:14:47

smolski a écrit :

Et tu chiffres ton disque comment si t'as pas d'abord installé debian pour le faire ?

Avec l'installateur, ou n'importe quel autre système live, banane.

Revenons aux choses sérieuses.

Patrick Debian a écrit :

Si on chiffre son disque dur, puis par la suite, on installe Debian sans l'option de chiffrer, est ce que cela donne le même résultat que de chiffrer les partitons lors de l'installation de Debian ?

Non. D'une part, si tu installes Debian sans chifffrer, alors Debian ne sera pas chiffré. D'autre part, l'installateur Debian a un défaut : il ne permet pas d'utiliser un volume chiffré existant pour l'installation ; il ne peut utiliser qu'un volume chiffré qu'il a lui-même créé.

Ton malentendu vient certainement de ta méconnaissance du principe du chiffrement disque de Linux.

On ne chiffre pas vraiment un disque ou une partition mais les données qu'on écrit dessus. Le chiffrement disque fait intervenir deux volumes : un volume "physique" quelconque (disque, partition, ensemble RAID, volume logique, voire un fichier) qui sert de conteneur pour les données chiffrées, et un volume "logique" qui est la vue "en clair" des données. Quand on écrit des données sur le volume logique, elle sont chiffrées à la volée puis écrites sur le volume physique ; quand on lit des données sur le volume logique, elles sont lues depuis le volume physique puis déchiffrées à la volée.

Lors de l'installation, on désigne les volumes "physiques" qui vont être utilisés pour le chiffrement, et on utilise les volumes "logiques" résultants à la place des volumes classiques comme système de fichiers, swap, volume physique LVM...

smolski · 17-01-2017 03:52:07

Ah ben ça raleur, tu m'en pluch' un coin dis donc !
Je ne savais pas ça.

Citron toi-même !

otyugh · 17-01-2017 04:56:10

Tant qu'on en est aux questions : sauf en cas de PC-jacking (par une dictature ou un voleur, hein), y a un intêret quant à chiffrer son OS ? Parce que dans le cas que je viens de citer, il me semble que l'avantage est relativement négligeable par rapport à juste dédier une sous-partition pour les quelques données compromettantes à cacher.

Question naïve hein. Je vois des gens m'en faire la publicité (que ça ralentit pas trop les temps d'accès, la charge CPU assez négligeable, pas une horreur en cas de récup de données du HDD ~), mais j'avoue que je suis assez coincé d'ajouter des couches d'abstraction évitables.

Patrick Debian · 17-01-2017 09:12:03

Bon, entre se donner mutuellement des noms d'oiseaux ou des noms de fruits, je préfère les fruits, on fera bien de nous une salade de fruit. Bien que j'aime les légumes aussi.

Merci Raleur pour toutes ces précisions et ta pédagogie.

Merci à lui et à tous pour enrichir le sujet de la cryptographie par vos questions et réponses.

_

raleur · 17-01-2017 13:59:26

otyugh a écrit :

sauf en cas de PC-jacking (par une dictature ou un voleur, hein), y a un intêret quant à chiffrer son OS ?

Dans une dictature, on te torturera pour t'extorquer la passphrase, donc l'intérêt est limité.

L'utilité du chiffrement est une vaste question.
En cas de perte ou vol, le chiffrement des données (au sens large : cela inclut les clé privées du système, paramètres de configuration sensibles, logs...) empêche leur divulgation.
Quant au système pur, c'est plus délicat. Un objectif du chiffrement du système peut être d'empêcher les manipulations à l'insu de l'utilisateur (pose d'un malware...). Mais le chiffrement seul ne suffit pas car le chargeur d'amorçage ne peut être chiffré. Il faut en plus une chaîne de confiance (module cryptographique du style TPM, secure boot UEFI, périphérique d'amorçage amovible et/ou en lecture seule...) afin de garantir l'intégrité de l'amorçage.

Dernière modification par raleur (17-01-2017 14:00:31)

sogal · 17-01-2017 16:02:25

raleur a écrit :

Mais le chiffrement seul ne suffit pas car le chargeur d'amorçage ne peut être chiffré. Il faut en plus une chaîne de confiance (module cryptographique du style TPM, secure boot UEFI, périphérique d'amorçage amovible et/ou en lecture seule...) afin de garantir l'intégrité de l'amorçage.

Du coup, question : sur une installation récente d'openSUSE (Leap 42.2), j'ai choisi le chiffrement au cours du processus d'installation.
Au reboot, il faut que je saisisse la passphrase pour arriver au menu de boot de Grub (lequel me la demande afin de débloquer le "slot 0").
Si je comprends correctement ton post ci-dessus, ce comportement est dû à la prise en charge du Secure Boot UEFI par openSUSE ?

raleur · 17-01-2017 17:28:23

Non, cela n'a aucun rapport. C'est juste dû au fait que /boot est chiffré.
Sans vérification d'intégrité du chargeur d'amorçage, avec un accès physique on peut modifier le chargeur pour faire ce qu'on veut, comme enregistrer la passphrase saisie.

sogal · 17-01-2017 17:58:06

raleur a écrit :

Non, cela n'a aucun rapport. C'est juste dû au fait que /boot est chiffré.
Sans vérification d'intégrité du chargeur d'amorçage, avec un accès physique on peut modifier le chargeur pour faire ce qu'on veut, comme enregistrer la passphrase saisie.

Oki doki, merci cette précision.
C'est la 1ère que je rencontrais ce comportement (par défaut) d'un installeur.
Mais au final ça n'apporte pas un gain colossal en terme de sécurité tant que le chargeur d'amorçage est "à poil".

kawer · 20-01-2017 08:43:30

d'où l'utiliter d'avoir la partition /boot séparé sur une clé usb que l'ont garde constamment avec nous.

Patrick Debian · 20-01-2017 09:26:53

Bonjour,

Raleur a écrit:
Dans une dictature, on te torturera pour t'extorquer la passphrase, donc l'intérêt est limité.

Très vrai.

Et en France, il y a une torture qui ne dit pas son nom :

Citation de « guide d'auto défénse numérique Tome 1 » :

Par ailleurs, une certaine limite « légale » vient s’ajouter aux possibles attaques. En France, toute personne qui chiffre ses données est en effet censée donner le code d’accès aux autorités lorsqu’elles le demandent, comme l’explique l’article 434-15-2 du Code Pénal 7 :
Est puni de trois ans d’emprisonnement et de 45 000 euros d’amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.
Si le refus est opposé alors que la remise ou la mise en œuvre de la convention aurait permis d’éviter la commission d’un crime ou d’un délit ou d’en limiter les effets, la peine est portée à cinq ans d’emprisonnement et à 75 000 euros d’amende.

Il leur suffit d'ouvrir n'importe quelle enquête bidon sur vous, dont vous en sortirez innocent, puis de vous menacer de cette loi, vous abdiquez, ils déchiffrent et trouvent ce qu'ils veulent pour une autre enquête qui vous concernera ou concernera d'autres personnes.

_

kawer · 20-01-2017 09:37:05

Oublié une passphrase est vite arrivé, faut juste avoir l'air innocent

Patrick Debian · 20-01-2017 12:29:07

D'ailleurs, tu m'y fais penser, c'est quoi déjà ma passphrase?

;-)

Debian-facile

#1 15-01-2017 21:10:24

Mon Os est il chiffré? cryptographie [résolu]

#2 15-01-2017 21:13:29

Re : Mon Os est il chiffré? cryptographie [résolu]

#3 16-01-2017 07:35:39

Re : Mon Os est il chiffré? cryptographie [résolu]

#4 16-01-2017 13:37:48

Re : Mon Os est il chiffré? cryptographie [résolu]

#5 16-01-2017 13:59:40

Re : Mon Os est il chiffré? cryptographie [résolu]

#6 16-01-2017 14:46:10

Re : Mon Os est il chiffré? cryptographie [résolu]

#7 16-01-2017 16:24:03

Re : Mon Os est il chiffré? cryptographie [résolu]

#8 16-01-2017 16:50:00

Re : Mon Os est il chiffré? cryptographie [résolu]

#9 16-01-2017 18:36:34

Re : Mon Os est il chiffré? cryptographie [résolu]

#10 16-01-2017 19:17:08

Re : Mon Os est il chiffré? cryptographie [résolu]

#11 16-01-2017 19:56:15

Re : Mon Os est il chiffré? cryptographie [résolu]

#12 16-01-2017 23:14:47

Re : Mon Os est il chiffré? cryptographie [résolu]

#13 17-01-2017 03:52:07

Re : Mon Os est il chiffré? cryptographie [résolu]

#14 17-01-2017 04:56:10

Re : Mon Os est il chiffré? cryptographie [résolu]

#15 17-01-2017 09:12:03

Re : Mon Os est il chiffré? cryptographie [résolu]

#16 17-01-2017 13:59:26

Re : Mon Os est il chiffré? cryptographie [résolu]

#17 17-01-2017 16:02:25

Re : Mon Os est il chiffré? cryptographie [résolu]

#18 17-01-2017 17:28:23

Re : Mon Os est il chiffré? cryptographie [résolu]

#19 17-01-2017 17:58:06

Re : Mon Os est il chiffré? cryptographie [résolu]

#20 20-01-2017 08:43:30

Re : Mon Os est il chiffré? cryptographie [résolu]

#21 20-01-2017 09:26:53

Re : Mon Os est il chiffré? cryptographie [résolu]

#22 20-01-2017 09:37:05

Re : Mon Os est il chiffré? cryptographie [résolu]

#23 20-01-2017 12:29:07

Re : Mon Os est il chiffré? cryptographie [résolu]

Pied de page des forums