Existe t-il un howto ou un tuto pour chiffre le /home/utilisateur?

Le
Olivier Pavilla
This is an OpenPGP/MIME signed message (RFC 2440 and 3156)
--enigD1292C5691EF74397C9E23DC
Content-Type: text/plain; charset=ISO-8859-15
Content-Transfer-Encoding: quoted-printable

Bonjour.

Je cherche une doc pour chiffrer à la volé le /home de l'utilisateur
comme le propose par exemple ubuntu.
J'ai trouvé ceci sur andesi
http://www.andesi.org/securite/mise-en-place-d-un-repertoire-utilisateur-=
chiffre-sous-debian-gnu-linux
J'ai dû loupé quelque chose car cela n'a pas marché. Et je n'ai pas=

envie de réinstallé debian cent fois jusqu'à ce que ca marche.


--enigD1292C5691EF74397C9E23DC
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"

--BEGIN PGP SIGNATURE--
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJOTsrkAAoJEM7XNMjeLGQf5rkIAJD1tML1OgDMzlJ6u+f+UNKb
LD7Zi7b9lF7krzLXfOkB3fuMZ72mJXhVrq8ogxZKsjAPx1KcFLG3x1o+8sVe9aAy
LAx+y70s/xI7v7X/6zH+FpAW94v77n2lUemhtoqbP7q30TfT3F6nSllhEHH4oqCU
uJfiueAtF7XMJe1M7/NUiP2C5XEtlG7gA0/d1EHe7Rl1ACKcALjKZZbbMyir2T1y
GRHo0FOIa3hssKIK4MGQAmY4yhoQPJBBAoZ+xhob0ThwomRkiU3WP0Uauj5Ok0cZ
sY6x9tVAUcvGltazaXElagyZoBGdXyyonhUxCIJOYQxyqAqO7Ip4j+IQ3B57+mg=
=SQfv
--END PGP SIGNATURE--

--enigD1292C5691EF74397C9E23DC--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4E4ECAD9.30001@linux-squad.com
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Cédric Symédric
Le #23666541
--001485f89ec439164804aaea5988
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

J'ai trouver ça :
http://blog.ddpo.be/2011/01/30/creation-dune-partition-chiffre-sur-debian-s queeze-avec-cryptsetup/
Je ne sais pas si ça correspond a tes attentes.

@+

Le 19 août 2011 22:43, Olivier Pavilla écrit :

Bonjour.

Je cherche une doc pour chiffrer à la volé le /home de l'utilisateur
comme le propose par exemple ubuntu.
J'ai trouvé ceci sur andesi

http://www.andesi.org/securite/mise-en-place-d-un-repertoire-utilisateur- chiffre-sous-debian-gnu-linux
J'ai dû loupé quelque chose car cela n'a pas marché. Et je n'ai pas
envie de réinstallé debian cent fois jusqu'à ce que ca marche.





--001485f89ec439164804aaea5988
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

J'ai trouver ça :
Je ne sais pas si ça correspond a tes attentes. <br>
Je cherche une doc pour chiffrer à la volé le /home de l&#39;utilisateu r<br>
comme le propose par exemple ubuntu.<br>
J&#39;ai trouvé ceci sur andesi<br>

J&#39;ai dû loupé quelque chose car cela n&#39;a pas marché. Et je n& #39;ai pas<br>
envie de réinstallé debian cent fois jusqu&#39;à ce que ca marche.<br >
<br>
</blockquote></div><br>

--001485f89ec439164804aaea5988--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/CAFX7de4Dbg=
Erwan David
Le #23666701
On 20/08/11 08:56, Cédric Symédric wrote:
J'ai trouver ça :
http://blog.ddpo.be/2011/01/30/creation-dune-partition-chiffre-sur-debian-squeeze-avec-cryptsetup/
Je ne sais pas si ça correspond a tes attentes.

@+

Le 19 août 2011 22:43, Olivier Pavilla

Bonjour.

Je cherche une doc pour chiffrer à la volé le /home de l'utilisateur
comme le propose par exemple ubuntu.
J'ai trouvé ceci sur andesi
http://www.andesi.org/securite/mise-en-place-d-un-repertoire-utilisateur-chiffre-sous-debian-gnu-linux
J'ai dû loupé quelque chose car cela n'a pas marché. Et je n'ai pas
envie de réinstallé debian cent fois jusqu'à ce que ca marche.





Peut-être parle-t-il plutôt de libpam-encfs ?


Le tutoriel d'andesi parle de recompilation du noyau 2.4, de patch de la
commande mount : très vieux et réservé aux experts donc.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
tv.debian
Le #23668661
Le 19/08/2011 22:43, Olivier Pavilla a écrit :
Bonjour.

Je cherche une doc pour chiffrer à la volé le /home de l'utilisateur
comme le propose par exemple ubuntu.
J'ai trouvé ceci sur andesi
http://www.andesi.org/securite/mise-en-place-d-un-repertoire-utilisateur-chiffre-sous-debian-gnu-linux
J'ai dû loupé quelque chose car cela n'a pas marché. Et je n'ai pas
envie de réinstallé debian cent fois jusqu'à ce que ca marche.




Bonsoir, je ne sais pas ce que tu désires faire exactement, il y a
plusieurs méthode pour chiffrer son répertoire /home. Ubuntu permet de
le faire avec ecryptfs et les cd "alternatifs" avec LUKS, L'installateur
Debian utilise LUKS+lvm pour fournir un système entièrement crypté (pas
seulement le ~). En ce qui concerne LUKS il y a une page dédiée en
français sur linuxpedia :

http://www.linuxpedia.fr/doku.php/expert/systeme_chiffre_luks_pam_cryptsetup


Pour ecryptfs je ne connais pas de tuto en français, il en existe de
bons en anglais sur les wiki d'Ubuntu et Arch pour ne citer que ces deux là.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean-Yves F. Barbier
Le #23677821
On Fri, 19 Aug 2011 22:43:05 +0200, Olivier Pavilla

Je cherche une doc pour chiffrer à la voléE le /home de l'utili sateur


...
http://www.andesi.org/securite/mise-en-place-d-un-repertoire-utilisateur-ch iffre-sous-debian-gnu-linux
J'ai dû loupER quelque chose car cela n'a pas marché. Et je n'a i pas
envie de réinstallER debian cent fois jusqu'à ce que ca marche.



Ce type d'encryption est obsolète depuis 2 ans.

Cherche plutôt du côté de LUKS & dm-crypt; maintenant si c'e st juste pour
planquer ton pr0n des yeux aiguisés et accusateurs de ta bergère, encfs suffit
(voire un simple chmod 750 de ton home).
C'est aussi valable pour les infos moyennement importantes (banque, etc) en
déplaçant les fichiers voulus dans le directory encrypté et en les symlinkant
vers leurs emplacement originaux.

Si c'est pour planquer des infos *vraiment* importantes, ça ne sera de toute
façon pas suffisant: il faudra aussi encrypter le swap ainsi que les
directories utilisés par les temporaires (/tmp, /var/tmp, et ceux util isés
par *tous* les programmes utilisés).
Si c'est le cas, une encryption totale (et à 2 niveaux) est plus rapid e à
mettre en place; TrueCrypt par exemple (en évitant AES).

--
Preserve Wildlife! Throw a party today!

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Yves Rutschle
Le #23681071
On Sat, Aug 20, 2011 at 12:26:06AM +0200, Jean-Yves F. Barbier wrote:
Si c'est le cas, une encryption totale (et à 2 niveaux) est plus rapide à
mettre en place; TrueCrypt par exemple (en évitant AES).



AES en général, ou seulement celui de TrueCrypt? Qu'est-ce
que tu reproches à AES et qu'est-ce que tu suggère à la
place?

Y.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean-Yves F. Barbier
Le #23681121
On Wed, 24 Aug 2011 15:10:37 +0200, Yves Rutschle

...
AES en général, ou seulement celui de TrueCrypt? Qu'est-ce
que tu reproches à AES et qu'est-ce que tu suggère à la
place?



AES en général, il n'a été poussé à la premi ère place que parce qu'il
offrait plus de facilités futures de cracking (moins de rounds, plus
d'attaques théoriques,...) et il est craqué niveau 128 bits depui s au moins 2
ans.
Serpent est un réel challenger, mais très malheureusement n'est
jamais implémenté sous sa forme complète, notamment on n'a j amais le nombre de
rounds complet (boîtes de permutation), ce qui le rend bcp plus faible.

Il est à noter que openssl n'a, à ma connaissance, jamais ré pondu sur cette
question (comme c'est d'ailleurs son habitude); en plus de cela, je les
soupçonne fortement de le faire exprès: se rappeler qu'il y a qq années une
faille de longue durée a été découverte (dsl j'ai plus le bookmark) qui tenait
en une seule ligne à modifier dans le source, la faille avait durà ©e au moins 2
ans et a été comblée sans *aucun* changelog ni commentaire, ce qui est pour le
moins "inhabituel".
Malheureusement les connaissances nécessaires pour
comprendre/appliquer/programmer de la crypto restent bien souvent
concentrées dans très peu de mains, qui sont souvent déjà   appointées par des
gouvernements...

Et quand un gouvernement ne peut rien faire pour craquer une clé, il d emande à
"ses" entreprises de racheter la chose (V. le récent rachat de skype p ar m$,
qui s'est empressé d'annoncer une coopération totale avec le gov. us, et
surtout a sur-payé skype d'environ 70%).
Et comme on pouvait s'y attendre, les autres dégradations ne se sont p as fait
attendre:
http://www.zdnet.com/blog/hardware/days-after-being-bought-by-microsoft-sky pe-starts-installing-crapware-on-windows-systems-without-consent/13015


--
Practice yourself what you preach.
-- Titus Maccius Plautus

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
tv.debian
Le #23681531
Le 24/08/2011 16:04, Jean-Yves F. Barbier a écrit :
On Wed, 24 Aug 2011 15:10:37 +0200, Yves Rutschle

...
AES en général, ou seulement celui de TrueCrypt? Qu'est-ce
que tu reproches à AES et qu'est-ce que tu suggère à la
place?



AES en général, il n'a été poussé à la première place que parce qu'il
offrait plus de facilités futures de cracking (moins de rounds, plus
d'attaques théoriques,...) et il est craqué niveau 128 bits depuis au moins 2
ans.


????
https://www.schneier.com/blog/archives/2011/08/new_attack_on_a_1.html
https://www.schneier.com/blog/archives/2009/07/another_new_aes.html
https://secure.wikimedia.org/wikipedia/en/wiki/Advanced_Encryption_Standard

Ne pas confondre abaissement du seuil de solidité cryptographique
théorique et "craquage". AES n'est pas craqué aujourd'hui, ni en 256 ni
en 128 bits, on peut spéculer sur le fait que des organisations
gouvernementales disposent de moyens hors-norme (grappes d'ordinateurs
"quantiques"), mais ça reste des spéculations.
Wikileaks a publié une archive d'"assurance" chiffrée en aes 256 il y a
quasiment un an, elle n'a toujours pas été craquée.

Serpent est un réel challenger, mais très malheureusement n'est
jamais implémenté sous sa forme complète, notamment on n'a jamais le nombre de
rounds complet (boîtes de permutation), ce qui le rend bcp plus faible.



Un standard de chiffrement doit être fiable ET utilisable en terme de
ressources nécessaires au traitement des données, Serpent ne répondait
qu'à l'une de ces conditions. Personne n'a dit que Rijndael était
"supérieur" en terme de sécurité, juste que le rapport entre les
ressources consommées et la solidité du chiffrement était moins
favorable à serpent. Le choix par rapport à Twofish était plus subjectif
que pour Serpent.
Et rien n'empêche d'utiliser Serpent si on le souhaite, cryptsetup le
supporte parfaitement.


Il est à noter que openssl n'a, à ma connaissance, jamais répondu sur cette
question (comme c'est d'ailleurs son habitude); en plus de cela, je les
soupçonne fortement de le faire exprès: se rappeler qu'il y a qq années une
faille de longue durée a été découverte (dsl j'ai plus le bookmark) qui tenait
en une seule ligne à modifier dans le source, la faille avait durée au moins 2
ans et a été comblée sans *aucun* changelog ni commentaire, ce qui est pour le
moins "inhabituel".
Malheureusement les connaissances nécessaires pour
comprendre/appliquer/programmer de la crypto restent bien souvent
concentrées dans très peu de mains, qui sont souvent déjà appointées par des
gouvernements...

Et quand un gouvernement ne peut rien faire pour craquer une clé, il demande à
"ses" entreprises de racheter la chose (V. le récent rachat de skype par m$,
qui s'est empressé d'annoncer une coopération totale avec le gov. us, et
surtout a sur-payé skype d'environ 70%).
Et comme on pouvait s'y attendre, les autres dégradations ne se sont pas fait
attendre:
http://www.zdnet.com/blog/hardware/days-after-being-bought-by-microsoft-skype-starts-installing-crapware-on-windows-systems-without-consent/13015




Pour Skype le raisonnement est sans doute un peu plus juste, mais si
Microsoft "coopère" effectivement avec le gouvernement des EUA, la
nécessité d'empêcher Facebook de mettre la main sur Skype, et de contrer
Google+ et ses "bulles" vidéo basées sur Google Talk/Chat suffisent à
expliquer la surenchère.

L'avantage d'utiliser un standard comme aes en chiffrement c'est qu'il
est sous les feux de la rampe, de nombreux chercheurs rêvent de publier
un "crack" et soumettent aes à une évaluation permanente. Avec des
algorithmes plus "exotiques" on prend le risque qu'une faille existe
mais n'ait été découverte que par une partie (gouvernement), et passe
inaperçue de la communauté pour cause de manque d'intérêt.
Bref, pour son portable personnel aes est plus que suffisant, il vaut
mieux concentrer ses efforts sur la qualité et la sécurité de la clé de
chiffrement. De toute façon à certaines douanes il faut donner la clé si
on veut entrer dans le pays, là peu importe le type de chiffrement.

Un peu d'humour sur le sujet : http://xkcd.com/538/



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean-Marc Harang
Le #23681521
Le 24/08/2011 18:34, a écrit :

Ne pas confondre abaissement du seuil de solidité cryptographique
théorique et "craquage". AES n'est pas craqué aujourd'hui, ni en 256 ni
en 128 bits, on peut spéculer sur le fait que des organisations
gouvernementales disposent de moyens hors-norme (grappes d'ordinateurs
"quantiques"), mais ça reste des spéculations.



http://www.theinquirer.net/inquirer/news/2102435/aes-encryption-cracked

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
tv.debian
Le #23681571
Le 24/08/2011 18:39, Jean-Marc Harang a écrit :
Le 24/08/2011 18:34, a écrit :

Ne pas confondre abaissement du seuil de solidité cryptographique
théorique et "craquage". AES n'est pas craqué aujourd'hui, ni en 256 ni
en 128 bits, on peut spéculer sur le fait que des organisations
gouvernementales disposent de moyens hors-norme (grappes d'ordinateurs
"quantiques"), mais ça reste des spéculations.



http://www.theinquirer.net/inquirer/news/2102435/aes-encryption-cracked




Citation de l'article :

"This is not to say that anyone is in immediate danger and, according to
Bogdanov, although it is four times easier to carry out it is still
something of an involved procedure.

Recovering a key is no five minute job and despite being four times
easier than other methods the number of steps required to crack AES-128
is an 8 followed by 37 zeroes.

"To put this into perspective: on a trillion machines, that each could
test a billion keys per second, it would take more than two billion
years to recover an AES-128 key," the Leuven University researcher
added. "Because of these huge complexities, the attack has no practical
implications on the security of user data." Andrey Bogdanov told The
INQUIRER that a "practical" AES crack is still far off but added that
the work uncovered more about the standard than was known before.

"Indeed, we are even not close to a practical break of AES at the
moment. However, our results do shed some light into the internal
structure of AES and indicate where some limits of the AES design are,"
he said."

Attention aux titres racoleurs...

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Florian BLANC
Le #23681631
--Apple-Mail-30-890858283
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain;
charset=iso-8859-1

Je déclare la guerre des trolls ouverts :(

Mon petit Yves ne t'inquiète pas pour AES ... je te rappel : « Avec un trillion de machines, chacune pouvant tester un milliard de clés par seconde, cela prendrait plus de deux milliards d'années pour récupérer une clé AES 128 bits »

La base de ton topic étant : "Existe t-il un howto ou un tuto pour chiffre le /home/utilisateur?"

Essais de te faire une petite idée sur les différentes technos existantes puis implémante la en cherchant un petit tuto sur google et n'hésite pas à utiliser des mots anglais.

Personnellement je n'en ai pas sous le coude mais j'espère que si quelqu'un de la communauté en a un il te le fera partager.

Après si c'est pour un laptop ou une machine perso pause toi la question s'il te faut vraiment quelque chose d'efficace ou juste pour empêcher quelques petits malins qui utiliseraient des scripts kiddies :)

En espérant que quelqu'un puisse t'aider je te souhaite un bon amusemant.

Le 24 août 2011 à 18:39, Jean-Marc Harang a écrit :

Le 24/08/2011 18:34, a écrit :

Ne pas confondre abaissement du seuil de solidité cryptographique
théorique et "craquage". AES n'est pas craqué aujourd'hui, ni en 256 ni
en 128 bits, on peut spéculer sur le fait que des organisations
gouvernementales disposent de moyens hors-norme (grappes d'ordinateurs
"quantiques"), mais ça reste des spéculations.



http://www.theinquirer.net/inquirer/news/2102435/aes-encryption-cracked

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/





--Apple-Mail-30-890858283
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html;
charset=iso-8859-1

--Apple-Mail-30-890858283--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme