Chiffrement de disque (3/n) [OpenBSD]
Je vais parler ici du chiffrement de disque (pas juste un fichier, ou bien un disque dans un fichier monté en loop, non, vraiment une partition physique entière). Comme il y a beaucoup de choses à dire sur le sujet, je vais découper en plusieurs parties.
Voyons ce que propose OpenBSD.
4. OpenBSD
J'ai été surpris du peu d'information dispo dans OpenBSD sur les méthodes de chiffrement de disque. Est-ce tout simplement parce qu'il y a peu de choix pour chiffrer son disque? Le seul moyen que j'ai trouvé pour y parvenir est d'utiliser vnd(4), pour monter un fichier en disque virtuel, tout en le chiffrant en utilisant l'algorithme Blowfish. La procédure est décrite dans ce howto.
Résumons : sous OpenBSD, on peut utiliser un fichier pour y stocker une partition chiffrée avec l'algorithme Blowfish. C'est simple et efficace.
Cependant, on ne peut utiliser qu'une seul clé de chiffrement (une seule passphrase), on a deux couches de partitions (une partition dans un fichier, qui lui-même est stocké sur une partition) ce qui peut ralentir les accès, et on ne peut pas chiffrer la partition racine. J'ignore si l'on peut chiffrer directement un device sans passer par un fichier physique, je teste ça dès que j'ai du temps. Bref on en est réduit au strict minimum mais au moins, ca marche.
A noter qu'OpenBSD est le seul OS jusqu'à présent qui propose un chiffrement automatique du swap (un seul sysctl à faire et c'est parti; faut dire qu'ils étaient pionnier en la matière). Cette option sera d'ailleurs activée par défaut à partir d'OpenBSD 3.8 (qui doit sortir le 1er novembre, soit dit en passant).
Voyons ce que propose OpenBSD.
4. OpenBSD
J'ai été surpris du peu d'information dispo dans OpenBSD sur les méthodes de chiffrement de disque. Est-ce tout simplement parce qu'il y a peu de choix pour chiffrer son disque? Le seul moyen que j'ai trouvé pour y parvenir est d'utiliser vnd(4), pour monter un fichier en disque virtuel, tout en le chiffrant en utilisant l'algorithme Blowfish. La procédure est décrite dans ce howto.
Résumons : sous OpenBSD, on peut utiliser un fichier pour y stocker une partition chiffrée avec l'algorithme Blowfish. C'est simple et efficace.
Cependant, on ne peut utiliser qu'une seul clé de chiffrement (une seule passphrase), on a deux couches de partitions (une partition dans un fichier, qui lui-même est stocké sur une partition) ce qui peut ralentir les accès, et on ne peut pas chiffrer la partition racine. J'ignore si l'on peut chiffrer directement un device sans passer par un fichier physique, je teste ça dès que j'ai du temps. Bref on en est réduit au strict minimum mais au moins, ca marche.
A noter qu'OpenBSD est le seul OS jusqu'à présent qui propose un chiffrement automatique du swap (un seul sysctl à faire et c'est parti; faut dire qu'ils étaient pionnier en la matière). Cette option sera d'ailleurs activée par défaut à partir d'OpenBSD 3.8 (qui doit sortir le 1er novembre, soit dit en passant).
posted by Hadrien Hamel @ 1:30 PM
1 Comments:
At 12:04 PM,
Anonymous said…
De plus, comment se apsse le changement de clé ou passphrase? Je suppose que tu dois déchiffrer/rechiffrer toute ta partition non?
Ainsi, je suppose que tu crée un / avec dedant juste ton fichier chiffré qui fait office ensuite de nouveau / ?
Ensuite pour la perte de perf, oui il doit y en avoir une, mais pas si importante car la couche rajoutée ne fait que en fait des opération de noyau (accès vers un autre driver apr exemple) et non juste des I/O non?
Post a Comment
<< Home