Vous voulez un schéma de chiffrement de disque Linux facile à utiliser


11

Dans le but de protéger les informations personnelles en cas de vol d'un ordinateur portable, je cherche le meilleur moyen de crypter un système Linux.

Inconvénients du chiffrement du disque entier, y compris l'échange:

  • L'invite de mot de passe de pré-démarrage est assez moche et non polie, apparaissant cachée parmi les messages de démarrage (quelque chose comme Splashy peut-il gérer cela?)
  • Vous devez vous connecter deux fois (si vous avez un écran de connexion GDM et avez besoin de plusieurs utilisateurs)

Inconvénients du chiffrement de dossier individuel à l'aide de libpam-mount ou similaire:

  • Seul le dossier de départ de l'utilisateur est crypté (alors que / etc, / var etc peut également contenir des informations sensibles).
  • Le fichier d'échange n'est pas chiffré, il y a donc probablement une fuite de données sensibles
  • Pas moyen d'hiberner en toute sécurité.

J'utilise Debian Linux si cela est important. N'a pas besoin d'être ridiculement sécurisé, mais souhaite avoir la tranquillité d'esprit qu'un voleur ne peut pas voler mon identité, mes coordonnées bancaires, mes connexions VPN, etc. s'il est volé alors qu'il est en veille / en veille prolongée.

Connaissez-vous des moyens de résoudre l'un de mes problèmes ci-dessus?

Réponses:


7

Votre problème est commun: principalement le difficile équilibre entre sécurité et convivialité.

Ma suggestion est d'utiliser une version légèrement modifiée d'une approche mixte:

  • en utilisant un logiciel multiplateforme comme TrueCrypt, préparez un ou plusieurs volumes chiffrés pour vos données personnelles que vous n'utilisez PAS quotidiennement (coordonnées bancaires, mots de passe enregistrés, dossiers médicaux, etc.)
  • la raison d'utiliser plusieurs volumes est que vous souhaiterez peut-être les sauvegarder sur différents supports ou utiliser différents schémas de chiffrement: par exemple, vous voudrez peut-être partager vos dossiers de santé avec quelqu'un d'autre et leur dire votre phrase secrète (qui devrait être différent de celui utilisé pour les autres volumes)
  • l'utilisation d'un logiciel multiplateforme «standard» signifie que vous pourrez récupérer vos données à partir d'un autre système d'exploitation à la volée, si votre ordinateur portable est volé / endommagé
  • le chiffrement du disque entier est souvent lourd et difficile. Bien qu'il y ait des attaques pour cela (voir l' Evil Maid Attack, il s'avère utile si vous avez peur de ce qui pourrait arriver si les gens ont accès à l' ensemble du système. Par exemple, si vous utilisez un ordinateur portable d'entreprise, accès administratif et il y a des clés VPN qui ne devraient pas être volées
  • les mots de passe mis en cache pour la messagerie / le web / les applications sont un autre problème: peut-être voudrez-vous chiffrer uniquement votre répertoire personnel? Pour optimiser les performances et la sécurité / convivialité, vous pouvez:
    • crypter tous les répertoires personnels
    • lien logiciel vers un répertoire non chiffré sur votre système de fichiers pour les données que vous ne voulez pas perdre (musique, vidéo, etc.)

Encore une fois, n'oubliez pas que tout se résume à la valeur de ce que vous avez à perdre, par rapport à la valeur de votre temps et de votre coût de récupération.


Vos conseils sont tous bons, mais pour moi personnellement, je préfère opter pour dm-crypt / luks que Truecrypt simplement parce qu'il est pris en charge par ma distribution. Si vous êtes intéressé, il est possible de décrypter et de monter un tel volume à partir de Windows ou d'un autre disque de démarrage maintenant.
thomasrutter

TrueCrypt sécurise-t-il les volumes chiffrés pendant l'hibernation?
Craig McQueen

@thomasrutter: Je comprends. En tant qu'utilisateur mac, j'ai préféré opter pour une solution avec une gamme plus large d'OS pris en charge à l'époque.
lorenzog

J'ai attribué la prime à votre réponse parce que même si elle ne résout pas tous mes problèmes, elle est utile et contient de bons conseils. Ta!
thomasrutter


1

Vous pouvez utiliser pend drive pour stocker les clés de chiffrement. Pour une meilleure sécurité, il doit être protégé par mot de passe, mais ce n'est pas obligatoire.

http://loop-aes.sourceforge.net/loop-AES.README regardez l'exemple 7.


Merci pour la suggestion, même si je suis inquiet que la clé USB soit volée, perdue, etc., je préfère probablement un autre mot de passe.
thomasrutter

1

Je suis encore relativement nouveau sur Linux, mais je pensais que lorsque vous installez le système, il y avait un moyen d'activer le chiffrement du disque entier. De plus, TrueCrypt a un package .deb.

Je n'avais pas encore utilisé le chiffrement de disque sur Linux, alors peut-être que ces options ont des problèmes comme vous le décrivez ci-dessus. En ce qui concerne la connexion multi-utilisateur, peut-être que TrueCrypt peut être configuré pour utiliser un fichier de clé sur un lecteur USB. De cette façon, tout ce dont vous avez besoin est l'ordinateur portable et la clé USB pour accéder aux fichiers sur l'ordinateur portable.

J'apprends toujours Linux moi-même, j'espère donc que cela vous aidera.


Oui, Debian (et probablement d'autres distributions) peut faire le cryptage du disque entier dans le programme d'installation, et c'est bien aussi - mais souffre des problèmes dans cette première série de puces que j'ai postées. En dehors de cela, cette option (c'est-à-dire le volume Luks avec des volumes logiques) est probablement la meilleure option que je connaisse jusqu'à présent.
thomasrutter

0

Qu'est-ce qui vous inquiète? Quels vecteurs d'attaque? Avant de pouvoir prendre au sérieux la sécurité, vous devez avoir des réponses à ces deux questions.

Les "informations personnelles" suggèrent que vous vous inquiétez de choses comme le vol d'identité, les espions occasionnels, etc. Quelque chose comme un logiciel de trousseau suffit pour protéger les informations de connexion bancaire, etc., mais n'est pas pratique pour de grandes quantités d'informations.

Si vous avez beaucoup de données que vous souhaitez protéger, des informations auxquelles vous n'avez pas besoin d'accéder rapidement et pour lesquelles vous êtes prêt à payer un petit montant récurrent gratuit, alors le S4 d'Amazon est une bonne option, supprimant totalement les soucis physiques l'accès, de sorte que la sécurité est réduite à la gestion des clés, qui, encore une fois, est résolue de manière adéquate par le logiciel de trousseau. Amazon ne voit pas le contenu de ce que vous stockez de cette façon, mais uniquement le résultat chiffré. Bien sûr, cela signifie que si vous vous trompez et perdez les clés, Amazon ne peut pas vous aider.

Dans le troisième cas, où vous voulez un accès relativement rapide à une grande quantité de données, je recommande d'utiliser non pas le cryptage du disque entier, mais le cryptage de la partition entière, selon la suggestion de chinmaya. Le cryptage par répertoire est une nuisance, et je ne le recommande pas: demandez au système de classement de faire le travail.


Vecteur d'attaque: un voleur vole mon ordinateur portable alors qu'il est éteint ou en mode hibernation. Le voleur veut trouver des informations sur moi, des photos de moi ou mes mots de passe sur divers sites Web, sur les sites Web que je visite ou sur
lesquels
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.