Léa-Linux & amis :   LinuxFR   GCU-Squad   Zarb.Org   GNU
Archive de la liste aide - [Aide] chiffrage partition SSD
Bonjour,

Le 2014-10-05 03:33, Andre Tissot (AOL) a écrit :
>> Ton dossier personnel est 'monté' lors du login.
>> Ton dossier /home/utilisateur n'est qu'un point de montage.
>> Les fichiers cryptés se trouvent dans
>> /home/.ecryptfs/utilisateur/.Private
>> et les fichiers de 'configuration' dans
>> /home/.ecryptfs/utilisateur/.Private
>>
>> Si tu boote sur un livecd, tu ne verras que ces dossiers cryptés,
>> illisibles sans les commandes magiques de montage.
>>
> Bonjour,
> J'ai une question de béotien.
> Comment est stockée la clé de cryptage ?
> Parce que si on peut la récupérer depuis un LiveCD, on peut décrypter sa
> partition !
>
> Comment ça marche ?

Ça marche un peu comme les clés pour se connecter en SSH:
tu génères toujours une paire de clés:
- une partie publique, que tu peux donner à tout le monde
elle permet de crypter mais pas de décrypter
- une partie privée, que tu gardes ... privée
elle permet de décrypter ce que la clé publique a encrypté.

Cependant, la clé publique devient l'élément à risque: si elle est 
récupérée par quelqu'un, il a accès à toutes les données cryptées, sans 
rien faire d'autre que d'appliquer la clé.

Donc, lors de la création d'une paire de clés publique/privée, tu peux 
aussi spécifier une 'passphrase' une sorte de long mot de passe sans 
laquelle même la possession de la clé privée ne sert à rien.

Pour l'encryptage des données, c'est encore une étape plus loin:
Ton mot de passe de session (login) sert à encrypter la 'passphrase' 
vers la clé privée qui sait décrypter tes données. Comme ça, tu peux 
changer ton mot de passe de session comme tu veux.
Il faut cependant se rappeler qu'il y a 2 points faibles dans cette méthode:
1/ pour un attaquant disposant d'un accès aux données, un mot de passe 
de session faible permet d'éviter de craquer la 'passphrase' de 128 
bits, mais directement le mot de passe de session.
2/ quand le dossier est monté, l'utilisateur root n'a pas de restriction 
d'accès (le répertoire est monté en 700, mais root peut outrepasser les 
droits de fichiers).

Donc, un mot de passe de session fort permet d'empêcher un voleur 
d'accéder aux données (après un reboot, même l'accès à la partition en 
root ne révèle rien). Le seul cas problématique serait une intrusion sur 
un système en cours de fonctionnement, mais là un certain nombre de 
choses change de toute façon.

> Merci (pour l'éclairage de ma lanterne).

De rien. J'espère que cela a été assez clair :)

R. Daneel Olivaw,
The Human Robot Inside.


Serveur hébergé par ST-Hebergement et Lost-Oasis / IRC hébergé par FreeNode / NS secondaire hébergé par XName
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons