Truecrypt

Le 3 août 2009 12:20, Goldy<goldy@goldenfish.info> a écrit :

Il faut se rendre à l'évidence, la totalité des données est perdu si tu
perds la clé, le seul moyen de récupérer les donner est de retrouve r la
clé. Ou alors passer par la brute force (et attendre quelques millions
d'années).

C'est même la raison d'être du chiffrement que d'empêcher de retrouve r
les données facilement. Le chiffrement est une sécurité de très hau t
niveau et il faut toujours prendre beaucoup de précaution pour ne pas
perdre la clé car les risques sont à la hauteur de la sécurité.

Quand il devient simple de forcer un chiffrement, celui-ci disparait.

--
Kévin

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

* Kevin Hinault <hinault@gmail.com> [2009-08-03 12:35:21 +0200] wrote :

Le 3 août 2009 12:20, Goldy<goldy@goldenfish.info> a écrit :
> Il faut se rendre à l'évidence, la totalité des données est perdu si tu
> perds la clé, le seul moyen de récupérer les donner est de retrouver la
> clé. Ou alors passer par la brute force (et attendre quelques millions
> d'années).

C'est même la raison d'être du chiffrement que d'empêcher de retrouver
les données facilement. Le chiffrement est une sécurité de très haut
niveau et il faut toujours prendre beaucoup de précaution pour ne pas
perdre la clé car les risques sont à la hauteur de la sécurité.

Quand il devient simple de forcer un chiffrement, celui-ci disparait.

Quelqu'un sait ce que vaut dm_crypt par rapport à Truecrypt ?

--
.''`. Edi Stojicevic
: :' : Debian GNU/Linux user, admin & developer - http://www.debian.org
`. `~' French speaking Debian website founder - http://www.debianworld.org
`- GPG Key Id : 0x1237B032

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

Edi Stojicevic a écrit :

Quelqu'un sait ce que vaut dm_crypt par rapport à Truecrypt ?

A ma connaissance, tu ne peux pas accéder à tes données dm_crypt depuis un OS Microsoft,
contrairement à TrueCrypt. Ce qui me ferait choisir TrueCrypt pour des clés USB et dm_crypt pour des
partitions Linux sur disque dur.

N'ayant pas besoin d'un accès depuis un OS MS, je n'utilise que dm_crypt/LVM, tant pour les swap que
les partitions systeme et données. Pour des raisons de facilité, je n'ai pas chiffré /boot, bien que
ce soit théoriquement possible (mais je n'en ai pas vu l'intéret).

Je ne suis pas certain que tu puisses avoir ta racine et ton swap sur du TrueCrypt. De même, je ne
sais pas si tu peux utiliser facilement du LVM sur du TrueCrypt. Ces deux points sont donc à vérifier.

Fanfan

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

Bonjour

François Cerbelle nous disait il y a peu :

Edi Stojicevic a écrit :

Quelqu'un sait ce que vaut dm_crypt par rapport à Truecrypt ?

A ma connaissance, tu ne peux pas accéder à tes données dm_crypt depuis un
OS Microsoft, contrairement à TrueCrypt. Ce qui me ferait choisir TrueCrypt
pour des clés USB et dm_crypt pour des partitions Linux sur disque dur.

FreeOTFE le permet : http://www.freeotfe.org/

N'ayant pas besoin d'un accès depuis un OS MS, je n'utilise que
dm_crypt/LVM, tant pour les swap que les partitions systeme et données.
Pour des raisons de facilité, je n'ai pas chiffré /boot, bien que ce soit
théoriquement possible (mais je n'en ai pas vu l'intéret).

Je ne suis pas certain que tu puisses avoir ta racine et ton swap sur du
TrueCrypt. De même, je ne sais pas si tu peux utiliser facilement du LVM
sur du TrueCrypt. Ces deux points sont donc à vérifier.

Fanfan

--

Cordialement,
Bernardo.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

Edi Stojicevic a écrit :
....

Quelqu'un sait ce que vaut dm_crypt par rapport à Truecrypt ?

plausible denyability pour TC, rien pour dm-crypt.

Pour faire simple & rapide: tu te fais pêcho avec un portable sous dm-crypt,
et t'es bon pour Guantamera (ah, nan, Guantanamo) parce que ça se voit: tu
ne peux rien cacher, et si tu donnes la clé, tout est décodé; même scénario
avec TC => on ne peut rien te faire (!A partir du moment où tu utilises un jail,
hein, pas juste TC sec) parce qu'une fois entré dans TC avec la 1ère clé que
tu as donné tout ce que l'attaquant voit c'est (éventuellement) des données
ainsi qu'un gros fichier contenant des caractères paraissant aléatoires
(correspondant, bien sur, à ton 2nd niveau d'encryption); l'avantage, c'est que
même un calculateur ne peut pas établir que le gros fichier est en fait un
container de data.

Donc, avantage TC question risques externes & découverte (et aussi à cause de
la double clé).
La qualité de protection est la même puisque les algos sont les même (mais avantage
qd même pour TC puisque 2 niveaux, et parce que c'est du 256 bits et pas moins)
inconvénient TC: demande plus de puissance CPU.

Il est à noter que dans tous les cas 128bits pour une encryption destinée à rester
secrête un certain temps (disons 10 ans) c'est insuffisant: si la loi fr permet
128bits, c'est qu'il-y-a plus que de fortes présomptions que les Sces de l'état
deliquescent (pléonasme dans ce pays:) sont à même de décoder au moins 3-4bits
de plus (voire bcp plus).
Bien sur pas si facilement que cela; sauf à espérer qu'une nouvelle formule mathématique
ne booste par x1000 ou plus la vitesse de calcul.
Mais il ne faut pas sous-estimer non-plus la puissance de calcul "cachée" de l'état,
qui selon mon estimation est constituée d'un monstrueux grid incluant météo, cnrs,
universités et autres services (l'accouchement n'a pas du se faire sans mal, puisqu'ici
la concentration des choses règne en maître :)

JY

--
Boston:
An outdoor Betty Ford Clinic.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

* Jean-Yves F. Barbier <12ukwn@gmail.com> [2009-08-03 13:42:55 +0200] wrote :

[...]

> Quelqu'un sait ce que vaut dm_crypt par rapport à Truecrypt ?

plausible denyability pour TC, rien pour dm-crypt.

Pour faire simple & rapide: tu te fais pêcho avec un portable sous dm-crypt,
et t'es bon pour Guantamera (ah, nan, Guantanamo) parce que ça se voit: tu
ne peux rien cacher, et si tu donnes la clé, tout est décodé; même scénario
avec TC => on ne peut rien te faire (!A partir du moment où tu utilises un jail,
hein, pas juste TC sec) parce qu'une fois entré dans TC avec la 1ère clé que
tu as donné tout ce que l'attaquant voit c'est (éventuellement) des données
ainsi qu'un gros fichier contenant des caractères paraissant aléatoires
(correspondant, bien sur, à ton 2nd niveau d'encryption); l'avantage, c'est que
même un calculateur ne peut pas établir que le gros fichier est en fait un
container de data.

Donc, avantage TC question risques externes & découverte (et aussi à cause de
la double clé).
La qualité de protection est la même puisque les algos sont les même (mais avantage
qd même pour TC puisque 2 niveaux, et parce que c'est du 256 bits et pas moins)
inconvénient TC: demande plus de puissance CPU.

Existe-t-il un moyen d'avoir ces différents niveaux avec dm-crypt ?

--
.''`. Edi Stojicevic
: :' : Debian GNU/Linux user, admin & developer - http://www.debian.org
`. `~' French speaking Debian website founder - http://www.debianworld.org
`- GPG Key Id : 0x1237B032

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

François Cerbelle a écrit :

A ma connaissance, tu ne peux pas accéder à tes données dm_crypt depuis
un OS Microsoft, contrairement à TrueCrypt. Ce qui me ferait choisir
TrueCrypt pour des clés USB et dm_crypt pour des partitions Linux sur
disque dur.

wai, et ça marche aussi avec osx

N'ayant pas besoin d'un accès depuis un OS MS, je n'utilise que
dm_crypt/LVM, tant pour les swap que les partitions systeme et données.
Pour des raisons de facilité, je n'ai pas chiffré /boot, bien que ce
soit théoriquement possible (mais je n'en ai pas vu l'intéret).

Je ne suis pas certain que tu puisses avoir ta racine et ton swap sur du
TrueCrypt.

ben si: à partir du moment où tu boot sur TC (pour le swap sur la drnière
version, jsais pô, mais il existe un utilitaire: cryptoswap, qui est en fait
un plugin de TC pour les utilisations hors "boot tout TC")

De même, je ne sais pas si tu peux utiliser facilement du LVM
sur du TrueCrypt. Ces deux points sont donc à vérifier.

nan, on ne peut point mon bon (et je ne vois pas l'avantage, ni même la
justification, puisque l'on utilise en Gal les choses dans leur ordre
naturel)

--
I am a jelly donut. I am a jelly donut.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

Edi Stojicevic a écrit :
...

Existe-t-il un moyen d'avoir ces différents niveaux avec dm-crypt ?

ben tu peux le bricoler, mais:
* comme ça n'est pas prévu à la base pour cela, la qté de calculs va être élevée
(il va falloir que ça calcule et l'encryption niveau 2 et le niveau 1 en même
temps)
* ça se verra

--
All the waters of the earth are in the armpit of the Great Frog.
-- R. Crumb

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

Jean-Yves F. Barbier a écrit :

nan, on ne peut point mon bon (et je ne vois pas l'avantage, ni même la
justification, puisque l'on utilise en Gal les choses dans leur ordre
naturel)

Justement, il m'est plus facile de redimmensionner un volume LVM posé sur une couche chiffrée qu'un
volume chiffré posé sur du LVM (ou non, d'ailleurs). C'est pour cela que j'utilise :
LVM sur RAID sur dm_crypt ! Je ne veux jamais avoir à retailler les partitions chiffrées. Sinon,
bonjour les évolutions !

En plus, d'un point de vue logique, on me vole un disque ou une clé, mais pas une partition ! ;-)
Alors, autant que l'attaquant ne sache même pas la structure du disque : si le disque contenait des
partitions, du RAID, ...

Dans tous les cas, les combinaisons entre ces couches ne manquent pas et plusieurs combinaisons
répondent à chaque besoin et on peut en utiliser une au choix.

Fanfan

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

François Cerbelle a écrit :

Jean-Yves F. Barbier a écrit :

nan, on ne peut point mon bon (et je ne vois pas l'avantage, ni même la
justification, puisque l'on utilise en Gal les choses dans leur ordre
naturel)

Justement, il m'est plus facile de redimmensionner un volume LVM posé
sur une couche chiffrée qu'un volume chiffré posé sur du LVM (ou non,
d'ailleurs). C'est pour cela que j'utilise :
LVM sur RAID sur dm_crypt ! Je ne veux jamais avoir à retailler les
partitions chiffrées. Sinon, bonjour les évolutions !

dans ce cas, pourquoi utiliser LVM ontop?
(et ça n'est pas logique de poser du RAID sur du dm-crypt)

En plus, d'un point de vue logique, on me vole un disque ou une clé,
mais pas une partition ! ;-) Alors, autant que l'attaquant ne sache même
pas la structure du disque : si le disque contenait des partitions, du
RAID, ...

je ne cherche pas la controverse, mais si "on" te pique des données encryptées,
c'est en règle Gale que le "on" sait exactement ce qu'il fait, ou qu'un
autre "on" a bien expliqué la chose au 1er "on". Honhon.
(Abstraction faite de ceux qui le font juste pour nuire.)

Et comme la toute 1ère des sécurités informatique est physique...

JY
--
Tagline, you're it!

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org