Existe t-il un howto ou un tuto pour chiffre le /home/utilisateur?

--001485f89ec439164804aaea5988
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

J'ai trouver ça :
http://blog.ddpo.be/2011/01/30/creation-dune-partition-chiffre-sur-debian-s queeze-avec-cryptsetup/
Je ne sais pas si ça correspond a tes attentes.

@+

Le 19 août 2011 22:43, Olivier Pavilla <olivier.pavilla@linux-squad.com> a
écrit :

Bonjour.

Je cherche une doc pour chiffrer à la volé le /home de l'utilisateur
comme le propose par exemple ubuntu.
J'ai trouvé ceci sur andesi

http://www.andesi.org/securite/mise-en-place-d-un-repertoire-utilisateur- chiffre-sous-debian-gnu-linux
J'ai dû loupé quelque chose car cela n'a pas marché. Et je n'ai pas
envie de réinstallé debian cent fois jusqu'à ce que ca marche.

--001485f89ec439164804aaea5988
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

J&#39;ai trouver ça :<br><a href="http://blog.ddpo.be/2011/01/30/creati on-dune-partition-chiffre-sur-debian-squeeze-avec-cryptsetup/" target="_b lank">http://blog.ddpo.be/2011/01/30/creation-dune-partition-chiffre-sur-de bian-squeeze-avec-cryptsetup/</a><br>

Je ne sais pas si ça correspond a tes attentes.<br><br>@+<br><br><div cla ss="gmail_quote">Le 19 août 2011 22:43, Olivier Pavilla <span dir="lt r">&lt;<a href="mailto:olivier.pavilla@linux-squad.com">olivier.pavilla@l inux-squad.com</a>&gt;</span> a écrit :<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Bonjour.<br>
<br>
Je cherche une doc pour chiffrer à la volé le /home de l&#39;utilisateu r<br>
comme le propose par exemple ubuntu.<br>
J&#39;ai trouvé ceci sur andesi<br>
<a href="http://www.andesi.org/securite/mise-en-place-d-un-repertoire-uti lisateur-chiffre-sous-debian-gnu-linux" target="_blank">http://www.andesi .org/securite/mise-en-place-d-un-repertoire-utilisateur-chiffre-sous-debian -gnu-linux</a><br>

J&#39;ai dû loupé quelque chose car cela n&#39;a pas marché. Et je n& #39;ai pas<br>
envie de réinstallé debian cent fois jusqu&#39;à ce que ca marche.<br >
<br>
</blockquote></div><br>

--001485f89ec439164804aaea5988--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/CAFX7de4Dbg=MUR9Bva9-2WkpOHdK9hJrR8_cOacKrSJyEfswUg@mail.gmail.com

On 20/08/11 08:56, Cédric Symédric wrote:

J'ai trouver ça :
http://blog.ddpo.be/2011/01/30/creation-dune-partition-chiffre-sur-debian-squeeze-avec-cryptsetup/
Je ne sais pas si ça correspond a tes attentes.

@+

Le 19 août 2011 22:43, Olivier Pavilla <olivier.pavilla@linux-squad.com
<mailto:olivier.pavilla@linux-squad.com>> a écrit :

Bonjour.

Je cherche une doc pour chiffrer à la volé le /home de l'utilisateur
comme le propose par exemple ubuntu.
J'ai trouvé ceci sur andesi
http://www.andesi.org/securite/mise-en-place-d-un-repertoire-utilisateur-chiffre-sous-debian-gnu-linux
J'ai dû loupé quelque chose car cela n'a pas marché. Et je n'ai pas
envie de réinstallé debian cent fois jusqu'à ce que ca marche.

Peut-être parle-t-il plutôt de libpam-encfs ?


Le tutoriel d'andesi parle de recompilation du noyau 2.4, de patch de la
commande mount : très vieux et réservé aux experts donc.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4E4F647D.2000301@rail.eu.org

Le 19/08/2011 22:43, Olivier Pavilla a écrit :

Bonjour.

Je cherche une doc pour chiffrer à la volé le /home de l'utilisateur
comme le propose par exemple ubuntu.
J'ai trouvé ceci sur andesi
http://www.andesi.org/securite/mise-en-place-d-un-repertoire-utilisateur-chiffre-sous-debian-gnu-linux
J'ai dû loupé quelque chose car cela n'a pas marché. Et je n'ai pas
envie de réinstallé debian cent fois jusqu'à ce que ca marche.

Bonsoir, je ne sais pas ce que tu désires faire exactement, il y a
plusieurs méthode pour chiffrer son répertoire /home. Ubuntu permet de
le faire avec ecryptfs et les cd "alternatifs" avec LUKS, L'installateur
Debian utilise LUKS+lvm pour fournir un système entièrement crypté (pas
seulement le ~). En ce qui concerne LUKS il y a une page dédiée en
français sur linuxpedia :

http://www.linuxpedia.fr/doku.php/expert/systeme_chiffre_luks_pam_cryptsetup


Pour ecryptfs je ne connais pas de tuto en français, il en existe de
bons en anglais sur les wiki d'Ubuntu et Arch pour ne citer que ces deux là.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4E50237F.8060403@googlemail.com

On Fri, 19 Aug 2011 22:43:05 +0200, Olivier Pavilla
<olivier.pavilla@linux-quad.com> wrote:

Je cherche une doc pour chiffrer à la voléE le /home de l'utili sateur

...
http://www.andesi.org/securite/mise-en-place-d-un-repertoire-utilisateur-ch iffre-sous-debian-gnu-linux

J'ai dû loupER quelque chose car cela n'a pas marché. Et je n'a i pas
envie de réinstallER debian cent fois jusqu'à ce que ca marche.

Ce type d'encryption est obsolète depuis 2 ans.

Cherche plutôt du côté de LUKS & dm-crypt; maintenant si c'e st juste pour
planquer ton pr0n des yeux aiguisés et accusateurs de ta bergère, encfs suffit
(voire un simple chmod 750 de ton home).
C'est aussi valable pour les infos moyennement importantes (banque, etc) en
déplaçant les fichiers voulus dans le directory encrypté et en les symlinkant
vers leurs emplacement originaux.

Si c'est pour planquer des infos *vraiment* importantes, ça ne sera de toute
façon pas suffisant: il faudra aussi encrypter le swap ainsi que les
directories utilisés par les temporaires (/tmp, /var/tmp, et ceux util isés
par *tous* les programmes utilisés).
Si c'est le cas, une encryption totale (et à 2 niveaux) est plus rapid e à
mettre en place; TrueCrypt par exemple (en évitant AES).

--
Preserve Wildlife! Throw a party today!

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20110820002606.36ad4772@anubis.defcon1

On Sat, Aug 20, 2011 at 12:26:06AM +0200, Jean-Yves F. Barbier wrote:

Si c'est le cas, une encryption totale (et à 2 niveaux) est plus rapide à
mettre en place; TrueCrypt par exemple (en évitant AES).

AES en général, ou seulement celui de TrueCrypt? Qu'est-ce
que tu reproches à AES et qu'est-ce que tu suggère à la
place?

Y.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20110824131036.GT13978@naryves.com

On Wed, 24 Aug 2011 15:10:37 +0200, Yves Rutschle
<debian.anti-spam@rutschle.net> wrote:

...

AES en général, ou seulement celui de TrueCrypt? Qu'est-ce
que tu reproches à AES et qu'est-ce que tu suggère à la
place?

AES en général, il n'a été poussé à la premi ère place que parce qu'il
offrait plus de facilités futures de cracking (moins de rounds, plus
d'attaques théoriques,...) et il est craqué niveau 128 bits depui s au moins 2
ans.
Serpent est un réel challenger, mais très malheureusement n'est
jamais implémenté sous sa forme complète, notamment on n'a j amais le nombre de
rounds complet (boîtes de permutation), ce qui le rend bcp plus faible.

Il est à noter que openssl n'a, à ma connaissance, jamais ré pondu sur cette
question (comme c'est d'ailleurs son habitude); en plus de cela, je les
soupçonne fortement de le faire exprès: se rappeler qu'il y a qq années une
faille de longue durée a été découverte (dsl j'ai plus le bookmark) qui tenait
en une seule ligne à modifier dans le source, la faille avait durà ©e au moins 2
ans et a été comblée sans *aucun* changelog ni commentaire, ce qui est pour le
moins "inhabituel".
Malheureusement les connaissances nécessaires pour
comprendre/appliquer/programmer de la crypto restent bien souvent
concentrées dans très peu de mains, qui sont souvent déjà   appointées par des
gouvernements...

Et quand un gouvernement ne peut rien faire pour craquer une clé, il d emande à
"ses" entreprises de racheter la chose (V. le récent rachat de skype p ar m$,
qui s'est empressé d'annoncer une coopération totale avec le gov. us, et
surtout a sur-payé skype d'environ 70%).
Et comme on pouvait s'y attendre, les autres dégradations ne se sont p as fait
attendre:
http://www.zdnet.com/blog/hardware/days-after-being-bought-by-microsoft-sky pe-starts-installing-crapware-on-windows-systems-without-consent/13015


--
Practice yourself what you preach.
-- Titus Maccius Plautus

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20110824160448.38c02af7@anubis.defcon1

Le 24/08/2011 16:04, Jean-Yves F. Barbier a écrit :

On Wed, 24 Aug 2011 15:10:37 +0200, Yves Rutschle
<debian.anti-spam@rutschle.net> wrote:

...

AES en général, ou seulement celui de TrueCrypt? Qu'est-ce
que tu reproches à AES et qu'est-ce que tu suggère à la
place?

AES en général, il n'a été poussé à la première place que parce qu'il
offrait plus de facilités futures de cracking (moins de rounds, plus
d'attaques théoriques,...) et il est craqué niveau 128 bits depuis au moins 2
ans.

????
https://www.schneier.com/blog/archives/2011/08/new_attack_on_a_1.html
https://www.schneier.com/blog/archives/2009/07/another_new_aes.html
https://secure.wikimedia.org/wikipedia/en/wiki/Advanced_Encryption_Standard

Ne pas confondre abaissement du seuil de solidité cryptographique
théorique et "craquage". AES n'est pas craqué aujourd'hui, ni en 256 ni
en 128 bits, on peut spéculer sur le fait que des organisations
gouvernementales disposent de moyens hors-norme (grappes d'ordinateurs
"quantiques"), mais ça reste des spéculations.
Wikileaks a publié une archive d'"assurance" chiffrée en aes 256 il y a
quasiment un an, elle n'a toujours pas été craquée.

Serpent est un réel challenger, mais très malheureusement n'est
jamais implémenté sous sa forme complète, notamment on n'a jamais le nombre de
rounds complet (boîtes de permutation), ce qui le rend bcp plus faible.

Un standard de chiffrement doit être fiable ET utilisable en terme de
ressources nécessaires au traitement des données, Serpent ne répondait
qu'à l'une de ces conditions. Personne n'a dit que Rijndael était
"supérieur" en terme de sécurité, juste que le rapport entre les
ressources consommées et la solidité du chiffrement était moins
favorable à serpent. Le choix par rapport à Twofish était plus subjectif
que pour Serpent.
Et rien n'empêche d'utiliser Serpent si on le souhaite, cryptsetup le
supporte parfaitement.

Il est à noter que openssl n'a, à ma connaissance, jamais répondu sur cette
question (comme c'est d'ailleurs son habitude); en plus de cela, je les
soupçonne fortement de le faire exprès: se rappeler qu'il y a qq années une
faille de longue durée a été découverte (dsl j'ai plus le bookmark) qui tenait
en une seule ligne à modifier dans le source, la faille avait durée au moins 2
ans et a été comblée sans *aucun* changelog ni commentaire, ce qui est pour le
moins "inhabituel".
Malheureusement les connaissances nécessaires pour
comprendre/appliquer/programmer de la crypto restent bien souvent
concentrées dans très peu de mains, qui sont souvent déjà appointées par des
gouvernements...

Et quand un gouvernement ne peut rien faire pour craquer une clé, il demande à
"ses" entreprises de racheter la chose (V. le récent rachat de skype par m$,
qui s'est empressé d'annoncer une coopération totale avec le gov. us, et
surtout a sur-payé skype d'environ 70%).
Et comme on pouvait s'y attendre, les autres dégradations ne se sont pas fait
attendre:
http://www.zdnet.com/blog/hardware/days-after-being-bought-by-microsoft-skype-starts-installing-crapware-on-windows-systems-without-consent/13015

Pour Skype le raisonnement est sans doute un peu plus juste, mais si
Microsoft "coopère" effectivement avec le gouvernement des EUA, la
nécessité d'empêcher Facebook de mettre la main sur Skype, et de contrer
Google+ et ses "bulles" vidéo basées sur Google Talk/Chat suffisent à
expliquer la surenchère.

L'avantage d'utiliser un standard comme aes en chiffrement c'est qu'il
est sous les feux de la rampe, de nombreux chercheurs rêvent de publier
un "crack" et soumettent aes à une évaluation permanente. Avec des
algorithmes plus "exotiques" on prend le risque qu'une faille existe
mais n'ait été découverte que par une partie (gouvernement), et passe
inaperçue de la communauté pour cause de manque d'intérêt.
Bref, pour son portable personnel aes est plus que suffisant, il vaut
mieux concentrer ses efforts sur la qualité et la sécurité de la clé de
chiffrement. De toute façon à certaines douanes il faut donner la clé si
on veut entrer dans le pays, là peu importe le type de chiffrement.

Un peu d'humour sur le sujet : http://xkcd.com/538/



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4E5527FD.2080203@googlemail.com

Le 24/08/2011 18:34, tv.debian@googlemail.com a écrit :

Ne pas confondre abaissement du seuil de solidité cryptographique
théorique et "craquage". AES n'est pas craqué aujourd'hui, ni en 256 ni
en 128 bits, on peut spéculer sur le fait que des organisations
gouvernementales disposent de moyens hors-norme (grappes d'ordinateurs
"quantiques"), mais ça reste des spéculations.

http://www.theinquirer.net/inquirer/news/2102435/aes-encryption-cracked

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4E55293C.8020004@c-s.fr

Le 24/08/2011 18:39, Jean-Marc Harang a écrit :

Le 24/08/2011 18:34, tv.debian@googlemail.com a écrit :

Ne pas confondre abaissement du seuil de solidité cryptographique
théorique et "craquage". AES n'est pas craqué aujourd'hui, ni en 256 ni
en 128 bits, on peut spéculer sur le fait que des organisations
gouvernementales disposent de moyens hors-norme (grappes d'ordinateurs
"quantiques"), mais ça reste des spéculations.

http://www.theinquirer.net/inquirer/news/2102435/aes-encryption-cracked

Citation de l'article :

"This is not to say that anyone is in immediate danger and, according to
Bogdanov, although it is four times easier to carry out it is still
something of an involved procedure.

Recovering a key is no five minute job and despite being four times
easier than other methods the number of steps required to crack AES-128
is an 8 followed by 37 zeroes.

"To put this into perspective: on a trillion machines, that each could
test a billion keys per second, it would take more than two billion
years to recover an AES-128 key," the Leuven University researcher
added. "Because of these huge complexities, the attack has no practical
implications on the security of user data." Andrey Bogdanov told The
INQUIRER that a "practical" AES crack is still far off but added that
the work uncovered more about the standard than was known before.

"Indeed, we are even not close to a practical break of AES at the
moment. However, our results do shed some light into the internal
structure of AES and indicate where some limits of the AES design are,"
he said."

Attention aux titres racoleurs...

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4E552D85.3080509@googlemail.com

--Apple-Mail-30-890858283
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain;
charset=iso-8859-1

Je déclare la guerre des trolls ouverts :(

Mon petit Yves ne t'inquiète pas pour AES ... je te rappel : « Avec un trillion de machines, chacune pouvant tester un milliard de clés par seconde, cela prendrait plus de deux milliards d'années pour récupérer une clé AES 128 bits »

La base de ton topic étant : "Existe t-il un howto ou un tuto pour chiffre le /home/utilisateur?"

Essais de te faire une petite idée sur les différentes technos existantes puis implémante la en cherchant un petit tuto sur google et n'hésite pas à utiliser des mots anglais.

Personnellement je n'en ai pas sous le coude mais j'espère que si quelqu'un de la communauté en a un il te le fera partager.

Après si c'est pour un laptop ou une machine perso pause toi la question s'il te faut vraiment quelque chose d'efficace ou juste pour empêcher quelques petits malins qui utiliseraient des scripts kiddies :)

En espérant que quelqu'un puisse t'aider je te souhaite un bon amusemant.

Le 24 août 2011 à 18:39, Jean-Marc Harang a écrit :

Le 24/08/2011 18:34, tv.debian@googlemail.com a écrit :

Ne pas confondre abaissement du seuil de solidité cryptographique
théorique et "craquage". AES n'est pas craqué aujourd'hui, ni en 256 ni
en 128 bits, on peut spéculer sur le fait que des organisations
gouvernementales disposent de moyens hors-norme (grappes d'ordinateurs
"quantiques"), mais ça reste des spéculations.

http://www.theinquirer.net/inquirer/news/2102435/aes-encryption-cracked

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4E55293C.8020004@c-s.fr

--Apple-Mail-30-890858283
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html;
charset=iso-8859-1

<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">Je déclare la guerre des trolls ouverts :(<div><br></div><div>Mon petit Yves ne t'inquiète pas pour AES ... je te rappel :&nbsp;«&nbsp;<i>Avec un trillion de machines, chacune pouvant tester un milliard de clés par seconde, cela prendrait plus de deux milliards d'années pour récupérer une clé AES 128 bits</i>&nbsp;»</div><div><br></div><div>La base de ton topic étant : "<span class="Apple-style-span" style="font-size: 12px; "><b>Existe t-il un howto ou un tuto pour chiffre le /home/utilisateur?"</b></span></div><div><span class="Apple-style-span" style="font-size: 12px; "><b><br></b></span></div><div>Essais de te faire une petite idée sur les différentes technos existantes puis implémante la en cherchant un petit tuto sur google et n'hésite pas à utiliser des mots anglais.</div><div><br></div><div>Personnellement je n'en ai pas sous le coude mais j'espère que si quelqu'un de la communauté en a un il te le fera partager.</div><div><br></div><div>Après si c'est pour un laptop ou une machine perso pause toi la question s'il te faut vraiment quelque chose d'efficace ou juste pour empêcher quelques petits malins qui utiliseraient des scripts kiddies :)</div><div><br></div><div>En espérant que quelqu'un puisse t'aider je te souhaite un bon amusemant.</div><div><br></div><div><div><div>Le 24 août 2011 à 18:39, Jean-Marc Harang a écrit :</div><br class="Apple-interchange-newline"><blockquote type="cite"><div>Le 24/08/2011 18:34, <a href="mailto:tv.debian@googlemail.com">tv.debian@googlemail.com</a> a écrit :<br><blockquote type="cite"><br></blockquote><blockquote type="cite">Ne pas confondre abaissement du seuil de solidité cryptographique<br></blockquote><blockquote type="cite">théorique et "craquage". AES n'est pas craqué aujourd'hui, ni en 256 ni<br></blockquote><blockquote type="cite">en 128 bits, on peut spéculer sur le fait que des organisations<br></blockquote><blockquote type="cite">gouvernementales disposent de moyens hors-norme (grappes d'ordinateurs<br></blockquote><blockquote type="cite">"quantiques"), mais ça reste des spéculations.<br></blockquote><blockquote type="cite"> &nbsp;&nbsp;<br></blockquote><a href="http://www.theinquirer.net/inquirer/news/2102435/aes-encryption-cr acked">http://www.theinquirer.net/inquirer/news/2102435/aes-encryption-cra cked</a><br><br>-- <br>Lisez la FAQ de la liste avant de poser une question :<br>http://wiki.debian.org/fr/FrenchLists<br><br>Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"<br>vers debian-user-french-REQUEST@lists.debian.org<br>En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org<br>Archive: http://lists.debian.org/4E55293C.8020004@c-s.fr<br><br></div></blockquote> </div><br></div></body></html>
--Apple-Mail-30-890858283--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/BABB16D2-6931-443E-8CB5-1E58817EB73A@gmail.com