1

yop,

Je sais pas trop où coller ça... mais ça a quand même rapport avec les OS en général.

J'ai pensé à une chose, pour protéger correctement ma machine d'une éventuelle intrusion physique, par qui que ce soit :
- faire qu'il boot sur une clef USB, contenant grub et les partitions BOOT de mes systèmes.
- encrypter toutes les partitions système, et les partitions de données également.

Comme ça, impossible de démarrer un système sans la clef USB, et impossible d'accéder à aucune des partitions, système ou données, puisque seuls les systèmes auront la clef de cryptage des partitions.


Par contre, je n'ai aucune expérience dans le domaine du cryptage des partitions :
- est-ce déjà faisable à partir du moment où le BIOS accepte le boot sur clef USB ? Je n'en sais rien.
- y a-t-il une perte de performance significative lors de l'utilisation des systèmes, et des accès aux données, ou alors le décryptage est-il négligeable devant la lecture/écriture sur disque ? Est-ce fonction de la complexité de la clef ?
- est-ce que ça entraine par la suite de grosses contraintes ? (à part que si tout ça marche, vaut mieux avoir deux clefs de boot avec soi).

Ne connaissant pas le fonctionnement des cryptages, je n'ai pas de réponse à ces questions, merci de m'éclairer. smile

2

et si tu perds ta clé usb ? wink
* Sinon, oui, c'est possible
* je saurais pas te dire, m'enfin c'est un peu excessif je trouve, pourquoi ne pas mettre hors cryptage /usr, /lib, ... ?
avatar
Il n'a pas de mots
Décrire son mépris
Perdre les rênes
Il a perdu la foi

3

Folco (./1) :
omme ça, impossible de démarrer un système sans la clef USB, et impossible d'accéder à aucune des partitions, système ou données, puisque seuls les systèmes auront la clef de cryptage des partitions.

La clé USB déconne => ton PC devient un joli meuble qui prend de la place. Et ce, quels que soient le nombre de clés USB. Système peu fiable.

Sinon, ça existe déjà ton système depuis belle lurette : les disquettes de démarrage (sans la partie crypto).

4

TrueCrypt permet de crypter l'OS de démarrage, mais je ne sais pas comment ça fonctionne, je sais juste que tu t'authentifies avant le boot (encore jamais utilisé) ; pas contre je ne sais pas si ça fonctionne pour Linux de cette façon.
avatar

5

Je crois que tu compliques un peu le problème pour rien.

Ce qui compte, c'est la sécurité des données. Ce qu'il ne faut pas oublier, c'est qu'à partir du moment où tu as un accès physique, la quasi-totalité des protections deviennent caduques. Par exemple, t'auras beau crypter ta partition système, ça n'empêchera pas un attaquant de booter sur un CD/clé USB avec l'OS de son choix, et faire ce qu'il veut. Tu peux mettre tous les mots de passe que tu veux, quelqu'un peut très bien installer un keylogger hardware (indétectable). Etc. cheeky

(et le cryptage a pour but de conserver la confidentialité des données, ce qui n'a pas trop de sens pour des fichiers système qu'on peut trouver ailleurs (à moins que ce soit un OS custom top-secret, tout en assembleur, fait par toi-même grin))

C'est sûrement beaucoup moins compliqué de n'avoir que les données en crypté.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

6

Zerosquare (./5) :

Ce qui compte, c'est la sécurité des données. T'auras beau crypter ta partition système, quelqu'un qui a un accès physique à la machine pourra toujours booter sur un CD/clé USB avec l'OS de son choix et faire ce qu'il veut. De tout façon, le cryptage a pour but de conserver la confidentialité des données, ce qui n'a pas d'intérêt pour des fichiers système qu'on peut trouver ailleurs (à moins que ce soit un OS custom top-secret, tout en assembleur, fait par toi-même mod.gif )
Et c'est sûrement beaucoup moins compliqué de n'avoir que les données en crypté.


En fait, pas tant que ça : ne crypter que les données ne prend pas en compte énormément de zones où les données vont être stockées
- fichiers temporaires
- swap
- fichier d'hibernation
- prefetch & cache
- logs & historiques
- ...

Bon, tout n'est pas résolu : si ton système est corrompu, le cryptage ne te sert pas à grand chose.
Au CNRS, certains laboratoires ont ainsi eu l'obligation d'un cryptage systématique de tout. Tout simplement.
avatar

7

Si je crypte pas les partitions système, n'importe qui aura accès aux mdp des partoches de données, non ? Même si ils sont pas en clair.

Quant au fait que quelqu'un puisse booter sur un live CD, oui, mais si tout est crypté derrière, que pourrat-il faire ?

8

J'inclus ces fichiers temporaires dans la partie "données", mais c'est vrai qu'il faut y penser smile

Après si tu en arrives à ce point... tu vérifies aussi que ton OS efface ce qu'il y a en RAM à l'extinction ? (le contenu des puces est récupérable pendant un certain temps même sans alimentation). T'es sûr que la pièce qui contient le PC est une cage de Faraday et n'a pas de fenêtres ? Tu démontes ton PC à chaque fois pour voir s'il n'y a pas un zoli petit espion électronique rajouté à l'intérieur ? Ça peut aller loin grin

De toute façon, comme je l'ai dit plus haut (enfin, édité), accès physique -> sécurité très relative.

Folco -> ben non, tu mets le MDP d'accès à la zone données sur ta clé USB, pas sur la partition système.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

9

J'ai pas besoin d'une telle protection HW 0², mais si qqun voulait lire avec un Live CD ou partait avec un DD sous le bras, je voudrais pas qu'il puisse lire, voilà tout. smile

10

Dans ce cas, tu n'as besoin de crypter que les données, puisque c'est la seule chose qui ait de la valeur, non ?
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

11

Anéfé, mais j'ai pas envie de me taper le mdp à chaque fois que j'y accède, c'est pour ça que je pensais externaliser le-dit mdp, ou crypter le système qui le contient. Quelle est donc la solution qui vus semble la plus raisonnable ?

12

Un pc non connecté à un quelconque réseau, et que tu ranges dans un coffre-fort quand tu es absent ? grin

13

Microbug (./12) :
Un pc non connecté à un quelconque réseau, et que tu ranges dans un coffre-fort quand tu es absent ? grin

Bah, sans rire, c'est ce qui est fait dans certains secteurs de la défense & sécurité : DD rackables et coffre fort grin
avatar
Que cache le pays des Dieux ? - Forum Ghibli - Forum Littéraire

La fin d'un monde souillé est venue. L'oiseau blanc plane dans le ciel annonçant le début d'une longue ère de purification. Détachons-nous à jamais de notre vie dans ce monde de souffrance. Ô toi l'oiseau blanc, l'être vêtu de bleu, guide nous vers ce monde de pureté. - Sutra originel dork.

14

Pour les parano, il n'y a que ça happy

15

Zerosquare (./8) :
Après si tu en arrives à ce point... tu vérifies aussi que ton OS efface ce qu'il y a en RAM à l'extinction ?

Théoriquement, oui... et ça se fait assez facilement, d'ailleurs (je ne sais plus quel fabriquant - Asus, de mémoire - avait vendu une CM qui permettait de crypter à la volée les données qui transitaient en RAM. L'histoire ne dit pas si les données qui transitaient dans la puce de cryptage étaient cryptées grin
avatar

16

Folco (./11) :
Anéfé, mais j'ai pas envie de me taper le mdp à chaque fois que j'y accède, c'est pour ça que je pensais externaliser le-dit mdp, ou crypter le système qui le contient. Quelle est donc la solution qui vus semble la plus raisonnable ?

Suffit de faire un systeme qui te demande le passe une seule fois, ou qui utilise un fingerprint, ou une clef USB/Disquette/CD ou n'importe qui qui contient la clefs de (dé)cryptage
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

17

Déporter l'authentification n'est pas une solution (en fait, dans ce cas là, tu tues la protection, puisque tu n'en es même plus maître : on peut te la voler, elle peut se dégrader, etc.).
Si ton ordinateur connaît la clé, alors ça ne sert plus à rien d'en avoir une. Et pour éviter qu'on puisse te faire cracher la clé sous la torture, TC (et bien d'autres) permet de mettre en place des protections contre le "déni plausible".

La biométrie répond partiellement à cette problématique. Sauf que la biométrie (on l'oublie un peu trop) sert à l'identification, par à l'authentification. Un bon système couple une reconnaissance biométrique plus un code (avec toujours une protection contre le déni plausible).
avatar

18

Encore faut-il un système biométrique fiable... Ce qui n'est pas le cas des systèmes avec empreinte digitale, ou reconnaissance faciale
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

19

Je ne comprends pas quel est l'intérêt de la biométrie par rapport à un mot de passe ? (si on est prêt à te torturer pour te faire cracher le mot de passe, on peut te couper le doigt pour avoir ton empreinte digitale non ?)
avatar
« Le bonheur, c'est une carte de bibliothèque ! » — The gostak distims the doshes.
Membrane fondatrice de la confrérie des artistes flous.
L'univers est-il un dodécaèdre de Poincaré ?
(``·\ powaaaaaaaaa ! #love#

20

Y a pas forcément besoin de torturer pour récupérer un mot de passe (épier quelqu'un, le soûler, lui faire croire qu'il a le droit de lui donner... )
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

21

Oui, c'est assez dur de récupérer une empreinte digitale avec un keylogger installé à distance, par exemple cheeky
avatar

22

C'est par contre très facile à récupérer sur un objet quelconque que tu as touché, et à reproduire sur un faux doigt. Et la majorité des capteurs biométriques s'y laissent prendre.
Sans compter le handicap majeur de la biométrie : contrairement à un mot de passe, si quelqu'un arrive à te piquer ton empreinte, ben tu ne peux pas en changer pour résoudre le problème cheeky
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

23

Oui, mais les modernes sont plus fins, comme les capteurs rétiniens d'ailleurs : ils sont capables de vérifier si c'est bien de la peau que l'on présente (dans le cas des empreintes triso) et si le sujet est vivant ou pas, par exemple.
avatar
Que cache le pays des Dieux ? - Forum Ghibli - Forum Littéraire

La fin d'un monde souillé est venue. L'oiseau blanc plane dans le ciel annonçant le début d'une longue ère de purification. Détachons-nous à jamais de notre vie dans ce monde de souffrance. Ô toi l'oiseau blanc, l'être vêtu de bleu, guide nous vers ce monde de pureté. - Sutra originel dork.

24

(édité, y'a un problème supplémentaire qui est difficile à résoudre)
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

25

Sinon utilise Tinfoil Hat Linux ^^ : http://en.wikipedia.org/wiki/Tinfoil_Hat_Linux
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

26

LOL, aucune mise à jour depuis 2002, aucune interface graphique et un nom qui semble plus une plaisanterie qu'autre chose.
avatar
Mes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité

27

Kevin Kofler (./26) :
un nom qui semble plus une plaisanterie qu'autre chose
Hé ho, je te rappelle que toi aussi tu promeus une distribution qui porte le nom d'un chapeau tongue
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

28

Mais pas un chapeau dit protéger des ondes électromagnétiques alors qu'il n'en est rien.
avatar
Mes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité

29

C'est de l'humour. Déstresse.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

30

Tiens, un chapeau en aluminium, s'il est assez bien fait, ça fait pas une cage de Faraday ?
avatar
Zut je suis reperé, vite ! L1+R1+L2+R2 !
Des ennemis ! ACTIVATING COMBAT MODE - MODULATING PHASE - POWER SURGE ! - CONFLICT RESOLVED
La longue liste des clichés de l'animé et du manga !
RAW ! RAW ! FIGHT THE POWER !