Hibernation sur un portable avec disque chiffré

Le
Guilhem Bonnefille
Bonjour,

Depuis un bon moment je peste contre mon portable sous Debian qui
arrive parfois se mettre en veille prolong (hibernation) ou non.
Puis, par le plus grand des hasards, je crois avoir trouv une raison
: ma swap est plus petite que ma RAM (1,5Go contre 2Go). J'en dduis
que le succs de la mise en veille doit donc tre lie au fait que le
systme arrive ou non tout rentrer dans la swap avant de s'teindre=
.
Et cela va empirer puisque j'ai demand une extension de mmoire.

Bref, du coup je me dis qu'il est temps de remdier cela. Et a
tombe bien car il y a une partition de 4Go qui attends d'tre utilise
(un reliquat d'une installation de Windows fournie par le service
informatique de ma boite).

L o le bas blesse, c'est que pour des raisons videntes, mon syst=
me
utilise des partitions chiffres (LVM2 dans Luks). Je souhaiterai donc
que ma nouvelle swap soit aussi scurise que l'ancienne, sans que le
systme soit plus compliqu utiliser. Je m'explique.
Une des solutions que j'imagine consiste crer une nouvelle
partition chiffre, mais je ne voudrais pas avoir mmoriser un
nouveau mot de passe pour la dchiffrer.
D'un autre cot, j'ai lu un article conseillant d'utiliser une swap
dont la cl de chiffrement est alatoire (
https://www.antagonism.org/privacy/encrypted-swap-linux.shtml ). Mais
je ne vois pas bien comment ce systme fonctionne avec une mise en
veille prolonge : au rveil de la machine, personne ne connait la cl=

pour dchiffrer la swap qui contient l'image du systme.

Bref, je suis preneur de tous conseils ou liens que vous voudrez bien
me donner. Merci d'avance.
--
Guilhem BONNEFILLE
-=- JID: guyou@im.apinc.org MSN: guilhem_bonnefille@hotmail.com
-=- mailto:guilhem.bonnefille@gmail.com
-=- http://nathguil.free.fr/

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/AANLkTik+8HYqe_AVkwnq3oP9qMm78fc1YYhO1XP0pmes@mail.gmail.com
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jean-Yves F. Barbier
Le #22874291
On Thu, 2 Dec 2010 09:52:16 +0100, Guilhem Bonnefille

: ma swap est plus petite que ma RAM (1,5Go contre 2Go). J'en déduis



-25% n'est normalement pas un réel PB à condition de compresser.

que le succès de la mise en veille doit donc être liée au fait que le
système arrive ou non à tout rentrer dans la swap avant de s' éteindre.
Et cela va empirer puisque j'ai demandé une extension de mémoir e.



pas sûr que Nick passe: tu n'as pas été assez sage...

Là où le bas blesse, c'est que pour des raisons évidentes, mon système



http://www.cnrtl.fr/definition/bât

...
D'un autre coté, j'ai lu un article conseillant d'utiliser une swap
dont la clé de chiffrement est aléatoire (
https://www.antagonism.org/privacy/encrypted-swap-linux.shtml ). Mais
je ne vois pas bien comment ce système fonctionne avec une mise en
veille prolongée : au réveil de la machine, personne ne connait la clé
pour déchiffrer la swap qui contient l'image du système.



c'est justement pour éviter tout PB que la clé est aléatoire : elle n'est
valable que pour la session de boot en cours - donc pas une bonne solution
dans ton cas.

Autre solution: utiliser un fichier de swap au lieu d'une partition, comme
ça pas besoin de réentrer un (même) mot de passe.

Solution bcp plus logique: passer sous TrueCrypt.

--
Most Texans think Hanukkah is some sort of duck call.
-- Richard Lewis

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Guillaume Caron
Le #22899001
Hello,

Message du 02/12/10 14:35
De : "Jean-Yves F. Barbier" A :
Copie à :
Objet : Re: Hibernation sur un portable avec disque chiffré


On Thu, 2 Dec 2010 09:52:16 +0100, Guilhem Bonnefille
wrote:

> : ma swap est plus petite que ma RAM (1,5Go contre 2Go). J'en dédu is

-25% n'est normalement pas un réel PB à condition de compresser .

> que le succès de la mise en veille doit donc être liée a u fait que le
> système arrive ou non à tout rentrer dans la swap avant de s' éteindre.
> Et cela va empirer puisque j'ai demandé une extension de mémo ire.

pas sûr que Nick passe: tu n'as pas été assez sage...

> Là où le bas blesse, c'est que pour des raisons évidente s, mon système

http://www.cnrtl.fr/definition/bât

...
> D'un autre coté, j'ai lu un article conseillant d'utiliser une swa p
> dont la clé de chiffrement est aléatoire (
> https://www.antagonism.org/privacy/encrypted-swap-linux.shtml ). Mais
> je ne vois pas bien comment ce système fonctionne avec une mise en
> veille prolongée : au réveil de la machine, personne ne conna it la clé
> pour déchiffrer la swap qui contient l'image du système.

c'est justement pour éviter tout PB que la clé est aléatoi re: elle n'est
valable que pour la session de boot en cours - donc pas une bonne solutio n
dans ton cas.

Autre solution: utiliser un fichier de swap au lieu d'une partition, comm e
ça pas besoin de réentrer un (même) mot de passe.

Solution bcp plus logique: passer sous TrueCrypt.




En quoi TrueCrypt serait plus logique que LUKS ? Ce dernier est conçu spécifiquement pour Linux et il est forcément mieux intégr é.
De plus, un contournement existe déjà pour TrueCrypt et il consis te à modifier le bootloader pour récupérer la clef entrà ©e par l'utilisateur (il suffit de
chercher Evil Maid sur Google).


--
Most Texans think Hanukkah is some sort of duck call.
-- Richard Lewis

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/






--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean-Yves F. Barbier
Le #22899051
On Wed, 8 Dec 2010 13:44:35 +0000 (UTC), Guillaume Caron

...
En quoi TrueCrypt serait plus logique que LUKS ? Ce dernier est conçu
spécifiquement pour Linux et il est forcément mieux intégr é. De plus, un
contournement existe déjà pour TrueCrypt et il consiste à modifier le
bootloader pour récupérer la clef entrée par l'utilisateur (il suffit de
chercher Evil Maid sur Google).



Evidemment si la machine est untrusted ça ouvre la porte à toutes les
attaques, software comme hardware; même luks ne résiste pas à   une
réfrigération de la RAM et à sa relecture... (et on ne parle même pas d'un
evil BIOS implanté ou d'un chip's mod.)

--
A clever prophet makes sure of the event first.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme