Hibernation sur un portable avec disque chiffré

Le
Guilhem Bonnefille
Bonjour,

Depuis un bon moment je peste contre mon portable sous Debian qui
arrive parfois à se mettre en veille prolongé (hibernation) ou non.
Puis, par le plus grand des hasards, je crois avoir trouvé une raison
: ma swap est plus petite que ma RAM (1,5Go contre 2Go). J'en déduis
que le succès de la mise en veille doit donc être liée au fait que le
système arrive ou non à tout rentrer dans la swap avant de s'éteindre=
.
Et cela va empirer puisque j'ai demandé une extension de mémoire.

Bref, du coup je me dis qu'il est temps de remédier à cela. Et ça
tombe bien car il y a une partition de 4Go qui attends d'être utilisée
(un reliquat d'une installation de Windows fournie par le service
informatique de ma boite).

Là où le bas blesse, c'est que pour des raisons évidentes, mon syst=
ème
utilise des partitions chiffrées (LVM2 dans Luks). Je souhaiterai donc
que ma nouvelle swap soit aussi sécurisée que l'ancienne, sans que le
système soit plus compliqué à utiliser. Je m'explique.
Une des solutions que j'imagine consiste à créer une nouvelle
partition chiffrée, mais je ne voudrais pas avoir à mémoriser un
nouveau mot de passe pour la déchiffrer.
D'un autre coté, j'ai lu un article conseillant d'utiliser une swap
dont la clé de chiffrement est aléatoire (
https://www.antagonism.org/privacy/encrypted-swap-linux.shtml ). Mais
je ne vois pas bien comment ce système fonctionne avec une mise en
veille prolongée : au réveil de la machine, personne ne connait la cl=
é
pour déchiffrer la swap qui contient l'image du système.

Bref, je suis preneur de tous conseils ou liens que vous voudrez bien
me donner. Merci d'avance.
--
Guilhem BONNEFILLE
-=- JID: guyou@im.apinc.org MSN: guilhem_bonnefille@hotmail.com
-=- mailto:guilhem.bonnefille@gmail.com
-=- http://nathguil.free.fr/

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/AANLkTik+8HYqe_AVkwnq3oP9qMm78fc1YYhO1XP0pmes@mail.gmail.com
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jean-Yves F. Barbier
Le #22874291
On Thu, 2 Dec 2010 09:52:16 +0100, Guilhem Bonnefille

: ma swap est plus petite que ma RAM (1,5Go contre 2Go). J'en déduis



-25% n'est normalement pas un réel PB à condition de compresser.

que le succès de la mise en veille doit donc être liée au fait que le
système arrive ou non à tout rentrer dans la swap avant de s' éteindre.
Et cela va empirer puisque j'ai demandé une extension de mémoir e.



pas sûr que Nick passe: tu n'as pas été assez sage...

Là où le bas blesse, c'est que pour des raisons évidentes, mon système



http://www.cnrtl.fr/definition/bât

...
D'un autre coté, j'ai lu un article conseillant d'utiliser une swap
dont la clé de chiffrement est aléatoire (
https://www.antagonism.org/privacy/encrypted-swap-linux.shtml ). Mais
je ne vois pas bien comment ce système fonctionne avec une mise en
veille prolongée : au réveil de la machine, personne ne connait la clé
pour déchiffrer la swap qui contient l'image du système.



c'est justement pour éviter tout PB que la clé est aléatoire : elle n'est
valable que pour la session de boot en cours - donc pas une bonne solution
dans ton cas.

Autre solution: utiliser un fichier de swap au lieu d'une partition, comme
ça pas besoin de réentrer un (même) mot de passe.

Solution bcp plus logique: passer sous TrueCrypt.

--
Most Texans think Hanukkah is some sort of duck call.
-- Richard Lewis

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Guillaume Caron
Le #22899001
Hello,

Message du 02/12/10 14:35
De : "Jean-Yves F. Barbier" A :
Copie à :
Objet : Re: Hibernation sur un portable avec disque chiffré


On Thu, 2 Dec 2010 09:52:16 +0100, Guilhem Bonnefille
wrote:

> : ma swap est plus petite que ma RAM (1,5Go contre 2Go). J'en dédu is

-25% n'est normalement pas un réel PB à condition de compresser .

> que le succès de la mise en veille doit donc être liée a u fait que le
> système arrive ou non à tout rentrer dans la swap avant de s' éteindre.
> Et cela va empirer puisque j'ai demandé une extension de mémo ire.

pas sûr que Nick passe: tu n'as pas été assez sage...

> Là où le bas blesse, c'est que pour des raisons évidente s, mon système

http://www.cnrtl.fr/definition/bât

...
> D'un autre coté, j'ai lu un article conseillant d'utiliser une swa p
> dont la clé de chiffrement est aléatoire (
> https://www.antagonism.org/privacy/encrypted-swap-linux.shtml ). Mais
> je ne vois pas bien comment ce système fonctionne avec une mise en
> veille prolongée : au réveil de la machine, personne ne conna it la clé
> pour déchiffrer la swap qui contient l'image du système.

c'est justement pour éviter tout PB que la clé est aléatoi re: elle n'est
valable que pour la session de boot en cours - donc pas une bonne solutio n
dans ton cas.

Autre solution: utiliser un fichier de swap au lieu d'une partition, comm e
ça pas besoin de réentrer un (même) mot de passe.

Solution bcp plus logique: passer sous TrueCrypt.




En quoi TrueCrypt serait plus logique que LUKS ? Ce dernier est conçu spécifiquement pour Linux et il est forcément mieux intégr é.
De plus, un contournement existe déjà pour TrueCrypt et il consis te à modifier le bootloader pour récupérer la clef entrà ©e par l'utilisateur (il suffit de
chercher Evil Maid sur Google).


--
Most Texans think Hanukkah is some sort of duck call.
-- Richard Lewis

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/






--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean-Yves F. Barbier
Le #22899051
On Wed, 8 Dec 2010 13:44:35 +0000 (UTC), Guillaume Caron

...
En quoi TrueCrypt serait plus logique que LUKS ? Ce dernier est conçu
spécifiquement pour Linux et il est forcément mieux intégr é. De plus, un
contournement existe déjà pour TrueCrypt et il consiste à modifier le
bootloader pour récupérer la clef entrée par l'utilisateur (il suffit de
chercher Evil Maid sur Google).



Evidemment si la machine est untrusted ça ouvre la porte à toutes les
attaques, software comme hardware; même luks ne résiste pas à   une
réfrigération de la RAM et à sa relecture... (et on ne parle même pas d'un
evil BIOS implanté ou d'un chip's mod.)

--
A clever prophet makes sure of the event first.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme