Chiffrement de disque (1/n)
Je vais parler ici du chiffrement de disque (pas juste un fichier, ou bien un disque dans un fichier monté en loop, non, vraiment une partition physique entière). Comme il y a beaucoup de choses à dire sur le sujet, je vais découper en plusieurs parties.
Voici la première partie : les (bonnes) raisons pour chiffrer un disque.
1. Les raisons
Chiffrer son (ou ses) disque(s) répond essentiellement à une menace : celui de l'accès physique à une machine. Le chiffrement empêche alors la lecture des données du disque, à quiconque ne possédant pas la passphrase qui va bien. Globalement, la raison, c'est celle-ci. Affinons un peu désormais.
Pourquoi préferer un cryptage des données plutôt qu'une autre protection contre l'accès physique? C'est assez simple, le cryptage des données coute 0 euros, et à peine quelques ressources CPU négligeables. Alors qu'une tour verrouilée, une porte blindée, etc. ca peut couter très cher. Sans parler de l'impossibilité de protéger un laptop : il peut être volé, perdu, ou même seulement "emprunté".
Avec un disque chiffré, impossible de démarrer le système (si la partition racine est chiffrée), impossible de lire des données importantes (des mp3 illégalement acquis? des données confidentielles sur votre ordinateur de travail? des choses que votre copine ne doit pas voir?), et également impossible de récupérer des clés utilisées précédemment (chiffrement de la partition swap).
Il faut peut-être éclaircir ce dernier point. Après avoir utilisé une clé ou un mot de passe dans une application sécurisée, les informations sont en général effacées de la mémoire par le programme, par mesure de sécurité. Mais ce n'est pas toujours le cas, par exemple lorsque un process a besoin de façon récurente d'une clé. Le danger vient alors du fait que ce process peut se retrouver swappé, et donc écrit sur le disque. Lors de l'arrêt du process, les données ne sont pas forcément effacées du swap. Si le disque se retrouve en de mauvaises mains, une analyse de la partition swap peut révéler pas mal de choses. La solution consiste donc à chiffrer la partition de swap avec une clé volatile, qui change à chaque démarrage du système et qui est "oubliée" dès son extinction.
J'aurais pas mal de liens à vous donner, mais la plupart sont sur les techniques, donc ça attendra les prochaines parties.
Voici quand même le paper de Niels Provos, pour OpenBSD, à propos du chiffrement du swap:
http://www.openbsd.org/papers/swapencrypt.ps
Voici la première partie : les (bonnes) raisons pour chiffrer un disque.
1. Les raisons
Chiffrer son (ou ses) disque(s) répond essentiellement à une menace : celui de l'accès physique à une machine. Le chiffrement empêche alors la lecture des données du disque, à quiconque ne possédant pas la passphrase qui va bien. Globalement, la raison, c'est celle-ci. Affinons un peu désormais.
Pourquoi préferer un cryptage des données plutôt qu'une autre protection contre l'accès physique? C'est assez simple, le cryptage des données coute 0 euros, et à peine quelques ressources CPU négligeables. Alors qu'une tour verrouilée, une porte blindée, etc. ca peut couter très cher. Sans parler de l'impossibilité de protéger un laptop : il peut être volé, perdu, ou même seulement "emprunté".
Avec un disque chiffré, impossible de démarrer le système (si la partition racine est chiffrée), impossible de lire des données importantes (des mp3 illégalement acquis? des données confidentielles sur votre ordinateur de travail? des choses que votre copine ne doit pas voir?), et également impossible de récupérer des clés utilisées précédemment (chiffrement de la partition swap).
Il faut peut-être éclaircir ce dernier point. Après avoir utilisé une clé ou un mot de passe dans une application sécurisée, les informations sont en général effacées de la mémoire par le programme, par mesure de sécurité. Mais ce n'est pas toujours le cas, par exemple lorsque un process a besoin de façon récurente d'une clé. Le danger vient alors du fait que ce process peut se retrouver swappé, et donc écrit sur le disque. Lors de l'arrêt du process, les données ne sont pas forcément effacées du swap. Si le disque se retrouve en de mauvaises mains, une analyse de la partition swap peut révéler pas mal de choses. La solution consiste donc à chiffrer la partition de swap avec une clé volatile, qui change à chaque démarrage du système et qui est "oubliée" dès son extinction.
J'aurais pas mal de liens à vous donner, mais la plupart sont sur les techniques, donc ça attendra les prochaines parties.
Voici quand même le paper de Niels Provos, pour OpenBSD, à propos du chiffrement du swap:
http://www.openbsd.org/papers/swapencrypt.ps
posted by Hadrien Hamel @ 1:54 PM
14 Comments:
At 2:21 PM,
Anonymous said…
Un lien qui manquait, le remarquable EFS.
At 2:44 PM,
Hadrien Hamel said…
Les liens vers les différentes technos vont venir, faut pas s'inquiéter...
Cependant, je ne traiterai pas les systèmes d'encryption propriétaires, parce qu'il est assez difficile d'avoir un audit objectif dessus. De plus, EFS est un *filesystem* chiffré, ce qui pose le défaut d'avoir une structure de fichiers apparente (enfin, ça dépend du fs en question, cette étude fera peut-être partie d'un futur post), contrairement à l'approche consistant à chiffrer entre le filesystem et le device (d'où l'utilisation de chiffrement au niveau du device driver).
En outre, l'utilisation d'un fs chiffré prive l'utilisateur du choix du filesystem à mettre au dessus (journalisé ou non, par exemple).
At 3:06 PM,
Anonymous said…
Sa prive aussi l'utilisateur (surement de pouvoir changer sa méthode d'encryption...)
Ceci dit l'autre méthode interdit de pouvoir changer de mot de passe (en général une pass-phrase) à moins de recréer un nouveau device (ce qui peut être un peu lourd...)
D'où ma technique ultime de créer un fichier device de taille raisonable (pas pour tous ses MP3 en gros, mais plutôt pour son fichier à mot de passe, le répertoire de son client mail...bref vous avez compris quoi...) et d'en recréer un de temps en temps (genre tous les 3 mois) dans lesquels on déplace les fichiers à protéger...
De plus s'il le fichier est de taille vraiment "raisonable" on peu même penser à sauvegarder le tout dans une clé USB. Ainsi, tu planques ta clé USB, et là tu es sur que même si on te pique ta machine, on ne pourra pas te prendre tes données ;)
At 3:22 PM,
Hadrien Hamel said…
Dans les prochains posts sur le sujet y'aura la description de certains systèmes de chiffrements qui permettent de changer facilement la clé. Ca vient, ça vient! C'est comme les poires, c'est meilleur quand c'est bien mûr.
At 10:20 AM,
Hadrien Hamel said…
A propos des filesystems chiffrés, un article de SecurityFocus en 2 parties (ici et là) résume la technologie et l'utilisation d'EFS sous Win2K (entre autres). Apparament, EFS utilise du DES avec une clé elle-même cryptée avec un algo asymétrique. Toute la question étant de savoir alors comment sont stockées les clés privés (MISC 21 pourrait éclairer votre lanterne).
At 11:50 AM,
Anonymous said…
Des posts qui seront a suivre :)
Sinon, Anonymous, ca seait pas Alex au hasard? :)
At 9:31 PM,
Anonymous said…
FREEDOM HEPPINESS HEALTH ....BUY LOW-COST VIAGRA , CHEAP CIALIS LEVITRA ONLINE
Sildenafil citrate, sold under the name Viagra is the first of a new group of medication which allows adequate sexual stimulation, relaxes the blood vessels of the penis and helps erection..More info
AND FREE OF CHARGE TO YOUR HOME DELIVERY
Analsex very young pussy, Russian Preteen Models top small lolitas
The World's Largest Sex & Swinger Personals Community ...
swaying free adult sex chat room and pointing down
Couples Seduce Teens DVD movie video $18.55 in stock at CD Universe,
adult men gay sex movies free horny teenage lesbian girls teen blonde orgies
Porn Inspector Gay Sites Reviews · Gay Fetish Sex
sex freee sites free african porn sex xxx xxx porni clip ultra password
That webcam girls home alone so I knew from my voice ...
What is hardcore lesbian porn sometimes hardcore asian tight ass porn hot lesbians ass teen lesbian sex
russian mother daughter porn pics mature sex porn movies porno
At 3:11 PM,
Anonymous said…
It can assist men with this disorder in achieving and maintaining an erection during sexual activity
BUY LOW-COST LEVITRA ONLINE
Analsex very young pussy, Russian Preteen Models top small lolitas
At 8:41 AM,
Anonymous said…
Most Recent Discussion Forum Posts
balance scale
free backgound checks
austintown ohio
deals austintown ohio
BUY LOW-COST LEVITRA ONLINE. IT can assist men with this disorder in achieving and maintaining an erection during sexual activity..!!!
At 5:31 AM,
Anonymous said…
TOP NEWS Government secrecy, threat to press examined Report by Geoffrey R. Stone looks at rising conflicts over classified information, accusations
BANKRUPTSY FILING
bali bra
discontinued bali bras bali bras discounted
baldor 1216w grinder baldor bench grinder baldor bench grinders
At 5:33 AM,
Anonymous said…
Timeforkids.com is the daily news, information, and exploration destination
buy cheap VIAGRA online
BEAUTIFUL PERFUMES FOR YOU AND YOUR GIRLFREANDS
LUXURY BEDDING ENSEMLES
shower curtains and bath accessories
bathroom lighting fixture
birkenstock soft footbed clogs birkenstock boston clogs
index.html
At 9:19 PM,
Anonymous said…
Discussions going on in the most active aviation forum online
buy cheap CIALIS online
GoldenCasino.com - An incredible online casino experience offering blackjack, roulette, craps, slots, and video poker. Deposit now and get up to $555 FREE!
Free shipping, free returns, no sales tax and a 110% price guarantee on a huge selection of sizes, widths and styles
discontinued born shoes
articles for against bovine colostrum
bovine colostrum and autoimmune
At 1:13 AM,
Anonymous said…
BUY CHEAP SUPER VIAGRA ONLINE AND SAVE 70 % OF MONEY...
BUY LOW-COST VIAGRA ONLINE
BUY LOW-COST CIALIS VIAGRA LEVITRA
At 4:25 PM,
Anonymous said…
LOW-COST CIALIS
LOW-COST CIALIS & CHEAP VIAGRA
WOMAN VIAGRA
BUY CHEAP VIAGRA ONLINE
ACNE MEDICINE ONLINE
SKIN CARE
WHAT IS ANTHELMINTICS
buy Albenza
ANTIBACTERIAL MEDICINE & CARE
buy amoxil online
AMPICILLIN ONLINE
ampiillin
BUY CHEAP BACTRIM
bactrm
NEW DRUGS & PILLS… SUPER-VIAGRA…
buy cialis cialis v cialis cialis
BUY CIPRO ONLINE
cipro online
BUY CHEAP DIFLUCAN ONLINE
DIFLUCAN ONLINE
BUY CHEAP SUPER VIAGRA ONLINE AND SAVE 70 % OF MONEY...
BUY GENERIC CIALIS
CREDIT CARDS OFFERS
Post a Comment
<< Home