Chiffrage gros volumes

Le
Gerald
Bonjour,

Utilisateur mac historique, je suis en recherche de solutions de
migration, point par point, pour les aspects et fonctions qui me sont
importants et je bloque sur le chiffrage à la volée de gros volumes
que permet, sous MacOS, FileVault 2.

L'essai que je viens de faire de Veracrypt ne soutient absolument pas
la comparaison, en particulier pour la mise en œuvre. Du moins
jusqu'à plus ample informé, raison de ce post.

S'agissant du chiffrage d'un volume de 3 To, ai-je raison de
constater que cela prend une trentaine d'heures ? Et pas en
arrière-plan ni avec possibilité d'interruption puis de reprise en
cours que permet Filevault ?

Je ne cherche pas à valoriser quoi que ce soit par rapport à quoi que
ce soit. Juste à trouver des solutions viables et inter-plateformes,
de préférence en open-source (sans obligation).

Peut-être suis-je parti sur une mauvaise piste ? Y a-t-il d'autres
solutions concurrentes ? On est d'accord que pour des dossiers
chiffrés de volume plus faible, VC fonctionne bien (même si on n'a
pas la fluidité d'une solution intégrée au système). J'ai ainsi créé
un dossier de 10 Go sur une clé USB en 6 minutes. Mais évidemment la
règle de trois est ensuite implacable pour 100 Go -> 60 minutes etc.

D'avance merci à ceux qui savent,

--
Gerald
  • Partager ce contenu :
Vos réponses Page 1 / 9
Trier par : date / pertinence
denis.paris
Le #26555150
Le 27/09/2020 à 06:19, Gerald a écrit :
Bonjour,
Utilisateur mac historique, je suis en recherche de solutions de
migration, point par point, pour les aspects et fonctions qui me sont
importants et je bloque sur le chiffrage à la volée de gros volumes
que permet, sous MacOS, FileVault 2.
L'essai que je viens de faire de Veracrypt ne soutient absolument pas
la comparaison, en particulier pour la mise en œuvre. Du moins
jusqu'à plus ample informé, raison de ce post.
S'agissant du chiffrage d'un volume de 3 To, ai-je raison de
constater que cela prend une trentaine d'heures ? Et pas en
arrière-plan ni avec possibilité d'interruption puis de reprise en
cours que permet Filevault ?
Je ne cherche pas à valoriser quoi que ce soit par rapport à quoi que
ce soit. Juste à trouver des solutions viables et inter-plateformes,
de préférence en open-source (sans obligation).
Peut-être suis-je parti sur une mauvaise piste ? Y a-t-il d'autres
solutions concurrentes ? On est d'accord que pour des dossiers
chiffrés de volume plus faible, VC fonctionne bien (même si on n'a
pas la fluidité d'une solution intégrée au système). J'ai ainsi créé
un dossier de 10 Go sur une clé USB en 6 minutes. Mais évidemment la
règle de trois est ensuite implacable... pour 100 Go -> 60 minutes etc.
D'avance merci à ceux qui savent,


Sur quel environnement tu veux implémenter un chiffrage? Je ne connais
pas Mac, mais sous linux il n'est nul besoin d'une application tierce,
le package cryptsetup fait parfaitement l'affaire, que ce soit pour
crypter un gros fichier (qui peut ensuite être monté en loop) ou
directement une partition (voire un disque en raw, mais je crois que ce
n'est pas recommandé).
Le temps de "création" me semble être un critère secondaire de choix, il
dépend du niveau de sécurité que l'on cherche. S'il s'agit de créer une
"enveloppe" en la remplissant de zéros, c'est très rapide mais pas très
sécure. Si on est parano il faut la remplir de caractères aléatoires, et
là en effet ça prend des heures, mais ce process que l'on peut lancer
pendant la nuit voire le poursuivre quelques jours pour les très gros
volumes n'est à faire qu'une seule fois.
A titre d'exemple, j'utilise un fichier de 300 Go monté en loop, ce qui
permet de le sauvegarder facilement quand il est fermé, j'ai lancé la
création de l'enveloppe un soir et j'ai pu travailler dessus le
lendemain matin. Il s'ouvre ensuite presque instantanément avec la bonne
passe-phrase.
cryptsetup est bien-sûr une solution libre.
Nicolas George
Le #26555152
Gerald , dans le message
Utilisateur mac historique, je suis en recherche de solutions de
migration, point par point, pour les aspects et fonctions qui me sont
importants et je bloque sur le chiffrage à la volée de gros volumes
que permet, sous MacOS, FileVault 2.
L'essai que je viens de faire de Veracrypt ne soutient absolument pas
la comparaison, en particulier pour la mise en œuvre. Du moins
jusqu'à plus ample informé, raison de ce post.

Les solutions « faciles » font oublier de se poser la question
fondamentale : POURQUOI veut-tu chiffrer ? Contre quel genre de menace
cherches-tu à te prémunir ? Ce n'est qu'avec la réponse à cette question que
tu pourras choisir la solution la plus adaptée à tes besoins.
Gerald
Le #26555155
Le 27 septembre 2020 à 10:35, denis.paris a écrit :
Sur quel environnement tu veux implémenter un chiffrage ?

Au départ sous Windows, mais il faut que ça puisse fonctionner aussi
sous MacOS et Linux. Et en écriture comme en lecture, d'où ce choix
de Veracrypt qui est annoncé multi-plateformes.
Le chiffrage de départ doit être fait sous MacOS, parce que le volume
de départ de la copie est formaté mac et illisible ailleurs (chiffré
Filevault).
Le chiffrage de destination doit être lisible sous Windows d'abord
(pour ceux de ma famille qui sont équipés ainsi) ET sous Raspbian
et/ou Linux, parce que je suis en train de préparer ma transition.
Pour cette raison, il devra aussi, au final, être "écrivable" sous
Linux ou Raspbian.
Je ne connais
pas Mac, mais sous linux il n'est nul besoin d'une application tierce,
le package cryptsetup fait parfaitement l'affaire, que ce soit pour
crypter un gros fichier (qui peut ensuite être monté en loop) ou
directement une partition (voire un disque en raw, mais je crois que ce
n'est pas recommandé).

Sous MacOS, on dispose d'une solution intégrée au système aussi, très
efficace, performante, transparente et indolore : les volumes
chiffrés, une fois donné le mdp, montent simplement au bureau et sont
chiffrés/déchiffrés "à la volée" par le système. C'est valable aussi
pour le volume de boot. C'est du chiffrage dur, qui énerve beaucoup
l'administration US...
Le temps de "création" me semble être un critère secondaire de choix, il
dépend du niveau de sécurité que l'on cherche. S'il s'agit de créer une
"enveloppe" en la remplissant de zéros, c'est très rapide mais pas très
sécure. Si on est parano il faut la remplir de caractères aléatoires, et
là en effet ça prend des heures, mais ce process que l'on peut lancer
pendant la nuit voire le poursuivre quelques jours pour les très gros
volumes n'est à faire qu'une seule fois.

Non, ce n'est pas secondaire, parce que ça bloque (quasi) l'ordi
pendant deux jours ! Et que, dans l'essai que j'en ai fait, le
résultat est lourd et difficilement manipulable. Pour 3 To, en USB3,
le temps de transfert normal des données est ensuite de 7 ou 8 heures
en non-chiffré, quid du ralentissement provoqué par le chiffrage ? En
cas d'échec, s'il faut reformater, rechiffrer, on atteint du temps
perdu à hauteur de plusieurs jours voire une semaine, ce n'est pas
une solution réaliste pour moi.
Donc, pour l'instant, la réponse serait :
- il n'y aurait pas une "meilleure" manière de se servir de Veracrypt
que celle que j'ai employée
- il n'y aurait pas de solution "meilleure" qui soit multiplateforme
(autre logiciel concurrent)
- AU SEIN de l'environnement Linux, il existe, au moins, cryptsetup
qui fonctionne bien
- la question du chiffrage des volumes n'est pas ressentie comme
prioritaire par les environnements non-mac.
Merci de vos réponses rapides, je vais poursuivre mes recherches.
--
Gerald
Gerald
Le #26555156
Le 27 septembre 2020 à 11:12, Nicolas George a écrit :
Les solutions « faciles » font oublier de se poser la question
fondamentale : POURQUOI veut-tu chiffrer ? Contre quel genre de menace
cherches-tu à te prémunir ? Ce n'est qu'avec la réponse à cette question que
tu pourras choisir la solution la plus adaptée à tes besoins.

Jusque là, et parce que ça m'était proposé, que c'était facile et
transparent, il me semblait évident de chiffrer *tous* ses volumes
par simple hygiène, un peu comme on ferme la porte à clé en sortant
de chez soi...
Un disque d'archives familiales (parce que c'est de cela qu'il
s'agit, en l'occurence) contient toute notre vie numérique :
factures, photos, correspondances... cela me chagrinerait que suite à
un cambriolage ou autre, le malfaisant puisse, en plus, se lancer à
bride abattue dans de l'usurpation d'identité ou autre... Pas toi ?
--
Gerald
pehache
Le #26555158
Le 27/09/2020 à 12:06, Gerald a écrit :
Je ne connais
pas Mac, mais sous linux il n'est nul besoin d'une application tierce,
le package cryptsetup fait parfaitement l'affaire, que ce soit pour
crypter un gros fichier (qui peut ensuite être monté en loop) ou
directement une partition (voire un disque en raw, mais je crois que ce
n'est pas recommandé).

Sous MacOS, on dispose d'une solution intégrée au système aussi, très
efficace, performante, transparente et indolore : les volumes
chiffrés, une fois donné le mdp, montent simplement au bureau et sont
chiffrés/déchiffrés "à la volée" par le système. C'est valable aussi
pour le volume de boot. C'est du chiffrage dur, qui énerve beaucoup
l'administration US...

Je te rassure pour l'administration US, il est fort probable qu'elle ait
les moyens de déchiffrer ou décrypter les volumes FileVault !
Le temps de "création" me semble être un critère secondaire de choix, il
dépend du niveau de sécurité que l'on cherche. S'il s'agit de créer une
"enveloppe" en la remplissant de zéros, c'est très rapide mais pas très
sécure. Si on est parano il faut la remplir de caractères aléatoires, et
là en effet ça prend des heures, mais ce process que l'on peut lancer
pendant la nuit voire le poursuivre quelques jours pour les très gros
volumes n'est à faire qu'une seule fois.

Non, ce n'est pas secondaire, parce que ça bloque (quasi) l'ordi
pendant deux jours ! Et que, dans l'essai que j'en ai fait, le
résultat est lourd et difficilement manipulable. Pour 3 To, en USB3,
le temps de transfert normal des données est ensuite de 7 ou 8 heures
en non-chiffré, quid du ralentissement provoqué par le chiffrage ? En
cas d'échec, s'il faut reformater, rechiffrer, on atteint du temps
perdu à hauteur de plusieurs jours voire une semaine, ce n'est pas
une solution réaliste pour moi.

Je ne comprends pas très bien... Ca bloque l'ordi, oui et non : pendant
ce temps rien n'empêche de faire autre chose. Le chiffrement n'occupe pas
tous les coeurs, si ?
Par ailleurs pour ton usage il me semble que créer une simple "enveloppe"
comme dit DP serait suffisant. C'était l'option "quick format" dans
TrueCrypt, je ne sais pas si ça s'appelle toujours comme ça dans
VeraCrypt. Dans ce cas la création du volume chiffré est très rapide.
denis.paris
Le #26555165
Le 27/09/2020 à 12:06, Gerald a écrit :
Le 27 septembre 2020 à 10:35, denis.paris a écrit :
Le temps de "création" me semble être un critère secondaire de choix, il
dépend du niveau de sécurité que l'on cherche. S'il s'agit de créer une
"enveloppe" en la remplissant de zéros, c'est très rapide mais pas très
sécure. Si on est parano il faut la remplir de caractères aléatoires, et
là en effet ça prend des heures, mais ce process que l'on peut lancer
pendant la nuit voire le poursuivre quelques jours pour les très gros
volumes n'est à faire qu'une seule fois.

Non, ce n'est pas secondaire, parce que ça bloque (quasi) l'ordi
pendant deux jours ! Et que, dans l'essai que j'en ai fait, le
résultat est lourd et difficilement manipulable. Pour 3 To, en USB3,
le temps de transfert normal des données est ensuite de 7 ou 8 heures
en non-chiffré, quid du ralentissement provoqué par le chiffrage ? En
cas d'échec, s'il faut reformater, rechiffrer, on atteint du temps
perdu à hauteur de plusieurs jours voire une semaine, ce n'est pas
une solution réaliste pour moi.

La manipulation de volumes de plusieurs To prend de toutes façons
beaucoup de temps quand il s'agit de les transférer / sauvegarder: en
quoi la solution Mac permettrait de gagner du temps? Et à quel type
d'échec devrait-on s'attendre avec une autre solution? Tous les
produits, utilisés correctement, fonctionnent.
Pour l'impact du chiffrement à la volée, je pense qu'il est négligeable
en lecture car le décodage est très rapide, en sans doute perceptible en
écriture dépendant des performances du processeur, en restant dans des
limites raisonnables car personnellement je n'ai pas noté de baisse
notable même en écriture, on est limité par le débit disque et/ou du
réseau. En SSD ce serait sans doute très différent, mais le volume de
données sera bien plus petit.
Gerald
Le #26555179
Le 27 septembre 2020 à 12:29, pehache a écrit :
Je te rassure pour l'administration US, il est fort probable qu'elle ait
les moyens de déchiffrer ou décrypter les volumes FileVault !

Je te rassure aussi : il n'y a *aucune* chance pour que ce que je
chiffre puisse les intéresser fût-ce d'un pouillème ;-)
Je ne comprends pas très bien... Ca bloque l'ordi, oui et non : pendant
ce temps rien n'empêche de faire autre chose. Le chiffrement n'occupe pas
tous les coeurs, si ?

Si, et bizarrement : ça occupe bien les six processeurs "en
alternance" sans les saturer (comme le ferait un rip vidéo), c'est
juste marqué 100%, mais l'ordi devient, progressivement, au fil du
cryptage, quasi inutilisable. La "permutation mémoire" atteint dans
les 5 Go (alors que j'ai déjà 16 Go de RAM), rien que le passage d'un
"space" à l'autre prend plusieurs secondes, par saccades, je peux
tout juste lire du texte, et encore, en étant patient sur le scroll !
MAIS, je n'ai pas réessayé dans un contexte différent (vu le temps !)
juste confirmé, en test sur une clé avec un volume chiffré de petite
taille, la proportionnalité des temps de chiffrage, et je suis passé
à l'épisode "enquête" auprès d'éventuels autres utilisateurs pour
savoir si je dékhonne quelque part ou si c'est normal.
J'ai choisi le forum linux pour plusieurs raisons :
- compétence technique des intervenants (et courtoisie, etc. !)
- qui peut le plus peut le moins (s'agissant d'un logiciel
multiplateforme, si ça fonctionne sur la plateforme minoritaire, il y
a des chances que ça fonctionne chez les majoritaires)
- ciblant la partie la plus sensible de mon projet : la transition
Linux. Un logiciel qui ne fonctionnerait que Mac/Win ne serait pas
recevable.
Par ailleurs pour ton usage il me semble que créer une simple "enveloppe"
comme dit DP serait suffisant. C'était l'option "quick format" dans
TrueCrypt, je ne sais pas si ça s'appelle toujours comme ça dans
VeraCrypt. Dans ce cas la création du volume chiffré est très rapide.

Ben... euh... non ! Car c'est bien l'option que j'avais choisie !
D'une image disque virtuelle créée dans un volume lui-même non
chiffré. Image de 2,7 To, donc, max autorisé sur un disque de 3 To.
Disque formaté en exFat et image itou (pour l'interopérabilité).
Pour une fois, ce qui m'intéresserait, c'est de trouver quelqu'un qui
me dise "chez moi ça marche" ! ;-)
Merci à toi !
--
Gerald
jp willm
Le #26555184
Bonjour,
Le 27/09/2020 à 06:19, Gerald a écrit :
Utilisateur mac historique, je suis en recherche de solutions de
migration, point par point, pour les aspects et fonctions qui me sont
importants et je bloque sur le chiffrage à la volée de gros volumes
que permet, sous MacOS, FileVault 2.

Adrien a publié récemment un tuto intéressant et bien fait à ce sujet :
@+
--
jp willm
http://willms.yj.fr/willms/index.html
pehache
Le #26555187
Le 27/09/2020 à 06:19, Gerald a écrit :
Bonjour,
J'ai ainsi créé
un dossier de 10 Go sur une clé USB en 6 minutes. Mais évidemment la
règle de trois est ensuite implacable... pour 100 Go -> 60 minutes etc.

J'avais raté ce point : "clé USB"
Les clé USB, même les bonnes, sont en général *beaucoup* plus lentes que
les HDD. Je suppose que quand tu envisages de créer une volume chiffré
de 3To c'est sur un HDD, donc tu ne peux absolument pas extrapoler les
temps que tu as mesurés sur une clé.
--
"...sois ouvert aux idées des autres pour peu qu'elles aillent dans le
même sens que les tiennes." (ST sur fr.bio.medecine)
"Je suis ATARIste, et j'ai bien l'intention que l'on me respecte ici."
(FLC sur fr.comp.sys.atari)
pehache
Le #26555191
Le 27/09/2020 à 15:48, pehache a écrit :
Le 27/09/2020 à 06:19, Gerald a écrit :
Bonjour,
J'ai ainsi créé
un dossier de 10 Go sur une clé USB en 6 minutes. Mais évidemment la
règle de trois est ensuite implacable... pour 100 Go -> 60 minutes etc.

J'avais raté ce point : "clé USB"
Les clé USB, même les bonnes, sont en général *beaucoup* plus lentes que
les HDD. Je suppose que quand tu envisages de créer une volume chiffré
de 3To c'est sur un HDD, donc tu ne peux absolument pas extrapoler les
temps que tu as mesurés sur une clé.

Je viens de retester avec TrueCrypt (qui est l'ancêtre de VeraCrypt) sur
mon iMac 2011, en créant une image chiffrée de 10Go (avec toutes options
par défaut) :
Sur le HDD interne : TrueCrypt sature le débit du disque à environ
100Mo/s. Temps de création 1mn40s, le process occupe 45% de CPU environ,
et une occupation mémoire négligeable (quelques dizaines de Mo).
Sur le SSD interne : TrueCrypt sature le débit du disque à environ
220Mo/s. Temps de création 40s environ, le process occupe 80% de CPU
environ.
--
"...sois ouvert aux idées des autres pour peu qu'elles aillent dans le
même sens que les tiennes." (ST sur fr.bio.medecine)
"Je suis ATARIste, et j'ai bien l'intention que l'on me respecte ici."
(FLC sur fr.comp.sys.atari)
Poster une réponse
Anonyme