[CRYPT] alternative à losetup sous linux ?
[CRYPT] alternative à losetup sous linux ?
Bonjour,
Depuis mon passage à W10 j'utilisais Bitlocker, or je viens (seulement) d'apprendre qu'en fait ça s'ouvre comme qui rigole si PC allumé ou si fichier d'hibernation...
Bref, je souhaite retourner à mes premières habitudes et pour cela j'utilisais losetup sous linux,
l'astuce, si s'en est une, c'était de créer un fichier, de le monter en device puis de le crypter, le tout avec losetup de A à Z.
Je me rends compte que sur les noyaux modernes, la fonction 'losetup -e <XOR|DES|AES|...' est caduque et la man page renvoie vers dmcrypt qui ... n'existe pas sur les quelques linux que j'ai sous là main.
donc la question que je vous pose est : comment cryptez vous svp.
Depuis mon passage à W10 j'utilisais Bitlocker, or je viens (seulement) d'apprendre qu'en fait ça s'ouvre comme qui rigole si PC allumé ou si fichier d'hibernation...
Bref, je souhaite retourner à mes premières habitudes et pour cela j'utilisais losetup sous linux,
l'astuce, si s'en est une, c'était de créer un fichier, de le monter en device puis de le crypter, le tout avec losetup de A à Z.
Je me rends compte que sur les noyaux modernes, la fonction 'losetup -e <XOR|DES|AES|...' est caduque et la man page renvoie vers dmcrypt qui ... n'existe pas sur les quelques linux que j'ai sous là main.
donc la question que je vous pose est : comment cryptez vous svp.
Re: [CRYPT] alternative à losetup sous linux ?
alors déjà Chère Mr, c'est chiffrer
sinon, t'as luks qui est largement utilisable
sinon, t'as luks qui est largement utilisable
Re: [CRYPT] alternative à losetup sous linux ?
Alors monsieur je comprends ta problématique sémantique entre crypter et chiffrer
mais bon ... l'argument '-e' de losetup c'est "encrypt", ensuite la man page renvoie vers dmCRYPT et pas dmCYPHER
LUKS je connais mais il ne permet *pas* le chiffrement d'un device autre que disque dur.
Moi je demande à chiffrer un 'fichier' qui est ensuite transformé en device
pourquoi ?
un disque/partition est déchiffré automatiquement au montage des partitions et ce quel que soit l'utilisateur (en gros si hacker arrive à booter mon systeme, il aura accès aux données)
en revanche un fichier chiffré n'est déchiffré que lorsque le user se connecte et re chiffré à la déconnexion de ce dernier (là le hacker doit EN PLUS hacker le mot de passe du user).
tu trouves un portable sur un banc publique, les données sont chiffrées, tu vas à coup sûr tenter de hack le compte root PUIS ceux que tu trouveras dans /etc/users pensant que c'est moins stratégique.
Même en utilisant un GPU qui va 100x plus vite qu'un CPU, il va te falloir un paquet de temps pour :
1° après avoir hack le compte root au bout d'un certain temps
2° te rendre compte que tel user à un fichier étrange qui fait 1To ?
3° il faut hack le compte de ce user
4° c'est chiffré ok, bon ce con de user il monte son fichier selon quel FS (bien sûr ce n'est PAS dans fstab), ensuite il va falloir trouver le moyen de chiffrement et l'algo
alors que si le disque dur entier est chiffré, il est monté par le système, suffit "juste" de trouver la clé. Je n'utilise pas Luks ou consors, mais souvent ils posent des fichiers genre /etc/.<fic> qui renseignent bien...
avec un disque entier, peu importe root ou le user, tu arrache le disque et tu brute force dessus après l'avoir pluggé dans une bécane. Surtout si on utilise une solution toute faite comme LUKS sous Linux ou (héhé) Bitlocker sous Windows. Utiliser des standards c'est s'exposer à une "facilité". A contrario, utiliser de l'exotique, c'est compliquer le travail (ma vision des choses).
capice
mais bon ... l'argument '-e' de losetup c'est "encrypt", ensuite la man page renvoie vers dmCRYPT et pas dmCYPHER
LUKS je connais mais il ne permet *pas* le chiffrement d'un device autre que disque dur.
Moi je demande à chiffrer un 'fichier' qui est ensuite transformé en device
pourquoi ?
un disque/partition est déchiffré automatiquement au montage des partitions et ce quel que soit l'utilisateur (en gros si hacker arrive à booter mon systeme, il aura accès aux données)
en revanche un fichier chiffré n'est déchiffré que lorsque le user se connecte et re chiffré à la déconnexion de ce dernier (là le hacker doit EN PLUS hacker le mot de passe du user).
tu trouves un portable sur un banc publique, les données sont chiffrées, tu vas à coup sûr tenter de hack le compte root PUIS ceux que tu trouveras dans /etc/users pensant que c'est moins stratégique.
Même en utilisant un GPU qui va 100x plus vite qu'un CPU, il va te falloir un paquet de temps pour :
1° après avoir hack le compte root au bout d'un certain temps
2° te rendre compte que tel user à un fichier étrange qui fait 1To ?
3° il faut hack le compte de ce user
4° c'est chiffré ok, bon ce con de user il monte son fichier selon quel FS (bien sûr ce n'est PAS dans fstab), ensuite il va falloir trouver le moyen de chiffrement et l'algo
alors que si le disque dur entier est chiffré, il est monté par le système, suffit "juste" de trouver la clé. Je n'utilise pas Luks ou consors, mais souvent ils posent des fichiers genre /etc/.<fic> qui renseignent bien...
avec un disque entier, peu importe root ou le user, tu arrache le disque et tu brute force dessus après l'avoir pluggé dans une bécane. Surtout si on utilise une solution toute faite comme LUKS sous Linux ou (héhé) Bitlocker sous Windows. Utiliser des standards c'est s'exposer à une "facilité". A contrario, utiliser de l'exotique, c'est compliquer le travail (ma vision des choses).
capice
Re: [CRYPT] alternative à losetup sous linux ?
sauf que tu compare l'anglais ou un terme anglophone à du français
et avec luks tu peux chiffrer un container : https://willhaley.com/blog/encrypted-fi ... -in-linux/
et avec luks tu peux chiffrer un container : https://willhaley.com/blog/encrypted-fi ... -in-linux/
Re: [CRYPT] alternative à losetup sous linux ?
ha bonRyu_wm a écrit : ↑jeu. 7 févr. 2019 17:17 Bonjour,
Depuis mon passage à W10 j'utilisais Bitlocker, or je viens (seulement) d'apprendre qu'en fait ça s'ouvre comme qui rigole si PC allumé ou si fichier d'hibernation...
Bref, je souhaite retourner à mes premières habitudes et pour cela j'utilisais losetup sous linux,
l'astuce, si s'en est une, c'était de créer un fichier, de le monter en device puis de le crypter, le tout avec losetup de A à Z.
Je me rends compte que sur les noyaux modernes, la fonction 'losetup -e <XOR|DES|AES|...' est caduque et la man page renvoie vers dmcrypt qui ... n'existe pas sur les quelques linux que j'ai sous là main.
donc la question que je vous pose est : comment cryptez vous svp.
Re: [CRYPT] alternative à losetup sous linux ?
->gizmo78 a écrit : ↑ven. 8 févr. 2019 09:24 sauf que tu compare l'anglais ou un terme anglophone à du français
et avec luks tu peux chiffrer un container : https://willhaley.com/blog/encrypted-fi ... -in-linux/
ha bah mea culpa, la doc que j'avais lu dessus indiquait qu'il ne chiffrait que les hdd/partitions !These instructions can be used to create an encrypted disk image/volume/file container/whatever you want to call it.
Merci pour le coup, je vais étudier
Re: [CRYPT] alternative à losetup sous linux ?
ha bon ... quoi ? faille Bitlocker ?yahaha a écrit : ↑ven. 8 févr. 2019 14:43ha bonRyu_wm a écrit : ↑jeu. 7 févr. 2019 17:17 Bonjour,
Depuis mon passage à W10 j'utilisais Bitlocker, or je viens (seulement) d'apprendre qu'en fait ça s'ouvre comme qui rigole si PC allumé ou si fichier d'hibernation...
Bref, je souhaite retourner à mes premières habitudes et pour cela j'utilisais losetup sous linux,
l'astuce, si s'en est une, c'était de créer un fichier, de le monter en device puis de le crypter, le tout avec losetup de A à Z.
Je me rends compte que sur les noyaux modernes, la fonction 'losetup -e <XOR|DES|AES|...' est caduque et la man page renvoie vers dmcrypt qui ... n'existe pas sur les quelques linux que j'ai sous là main.
donc la question que je vous pose est : comment cryptez vous svp.
->https://voxhblog.wordpress.com/2012/12/ ... er-et-pgp/
300$, nul doute que la gendarmerie en est dotée...Pour récupérer les clés de chiffrement, l’outil peut effectuer une attaque par FireWire (il faut que l’ordinateur tourne et que le volume chiffré soit monté) ou en analysant un dump de la mémoire ou un fichier d’hibernation (et là, l’ordinateur peut même être éteint).
Re: [CRYPT] alternative à losetup sous linux ?
Le fichier d'hibernation est sur le disque chiffre aussi non ?
Re: [CRYPT] alternative à losetup sous linux ?
Pas dans mon cas :
OS sur SSD
Hiberfile & pagefile sur HDD 7.2K
Stockage à chiffrer sur HDD 5.4K
Je ne sais pas si on peut mettre le fichier d'hibernation sur un volume crypté, lors du redémarrage le noyau n'étant pas chargé comment se passerait le déchiffrement ??
OS sur SSD
Hiberfile & pagefile sur HDD 7.2K
Stockage à chiffrer sur HDD 5.4K
Je ne sais pas si on peut mettre le fichier d'hibernation sur un volume crypté, lors du redémarrage le noyau n'étant pas chargé comment se passerait le déchiffrement ??
Re: [CRYPT] alternative à losetup sous linux ?
bah je pense au chiffrement de surface avec une puce matérielle, sur la plupart des PC Pro modernes. Un seul HDD, rien à faire pour y accéder (de ce que j'ai pu essayer) sans passer par l'OS. Bon après l'OS en question c'est Windows, donc on peut passer on va dire...
Mais le système où:
- boot locké avec MDP fort sur la partie admin du bios, donc pas de bidouilles possible + configuration sécurité stockée à part du bios donc reset inopérant dessus (donc pas de boot sauvage avec l'outil qui va bien pour faire sauter le mdp ou contourner)
- puce de chiffrement spécifique sur la machine
- disque en chiffrement de surface
bah pas trouvé un moyen d'accéder aux données... pas faute d'avoir bien cherché pourtant. Disque sorti, aucune accès (enfin juste possible de tout effacer quoi). Disque dedans, faut forcément passer par l'authentification windobe
Mais le système où:
- boot locké avec MDP fort sur la partie admin du bios, donc pas de bidouilles possible + configuration sécurité stockée à part du bios donc reset inopérant dessus (donc pas de boot sauvage avec l'outil qui va bien pour faire sauter le mdp ou contourner)
- puce de chiffrement spécifique sur la machine
- disque en chiffrement de surface
bah pas trouvé un moyen d'accéder aux données... pas faute d'avoir bien cherché pourtant. Disque sorti, aucune accès (enfin juste possible de tout effacer quoi). Disque dedans, faut forcément passer par l'authentification windobe
Re: [CRYPT] alternative à losetup sous linux ?
Et ... écrasement du BIOS/EFI soit matériel soit logiciel ?
Mais oui avec un moyen de chiffrement hard ça enlèverait ma phobie ...
En revanche quid d'une panne sur un système comme ça ...
Mais oui avec un moyen de chiffrement hard ça enlèverait ma phobie ...
En revanche quid d'une panne sur un système comme ça ...
Re: [CRYPT] alternative à losetup sous linux ?
à mon taff précédant, on utilisait ghost crypt (pour windows donc).
chiffrement complet avec password au boot.
sous linux tu peux faire du full chiffré ou quasi mais c'est assez galère. Les dernières distrib genre ubuntu te permettent à l'installe de chiffrer le /home ou le disque
chiffrement complet avec password au boot.
sous linux tu peux faire du full chiffré ou quasi mais c'est assez galère. Les dernières distrib genre ubuntu te permettent à l'installe de chiffrer le /home ou le disque
Re: [CRYPT] alternative à losetup sous linux ?
Pas trouvé de méthode de contournement du mot de passe Bios, toutes inclues le changement de la puce TPM liée, et du coup plus d'accès aux données.
Re: [CRYPT] alternative à losetup sous linux ?
Par contre évidemment si tu as un des points qui tombe en panne, bah tes a poil. Mais c'est la vie ca, faut faire des sauvegardes qui la peuvent être sur un ensemble de fichier et pas tout le disque et donc plus facilement sécurisables.
Re: [CRYPT] alternative à losetup sous linux ?
@Gizmo : ok, oui je savais pour la possibilité de chiffrer dès le boot sous Linux, MAIS ce n'est pas ce que je recherche (il faut de la puissance de traitement si c'est, comme je veux le faire, un serveur SMB).
@TM : ok, logique, il faut faire du backup, chiffré lui aussi, donc 2* plus cher (si solution hard).
@TM : ok, logique, il faut faire du backup, chiffré lui aussi, donc 2* plus cher (si solution hard).
Re: [CRYPT] alternative à losetup sous linux ?
pas deux fois plus cher, quoi qu'il arrive faut faire du backup, non ?