[Ubuntu-QC] Encrypter les données ?

Yannick Pavard yannick.pavard at lavoixdulibre.info
Dim 15 Mai 21:31:24 UTC 2011 

Fabian,

Ouf ! Ca c'est de la réponse ! Il est vrai que cela fait plusieurs 
années maintenant que je souhaite avoir la possibilité d'encrypter mes 
courriels, alors je note ton tuto pour un jour prochain.

Pour ce qui est de l'encryption de l'ordinateur, j'ai peur de me le 
faire demander par ma job prochainement, donc je prend de l'avance.

Toutefois j'hésite maintenant, est ce que je fais juste le home ou tout 
le disque ? Toutes mes données sont dans home, je n'ai rien d'important 
ailleurs, sauf peut être les bases de données mysql, car même mon 
public_html se trouve dans mon home.

Alors pourquoi se faire "chier" à encrypter le reste si ce n'est 
ralentir la machine pour rien ? Surtout que tu dis qu'il faut une 
version spéciale d'ubuntu (en passant je suis toujours sous Linux Mint 
et j'attendrais la prochaine version quand je vais acheter mon nouvel ordi).

Encrypter le home se fait lors de l'installation aussi ? il me semble 
avoir vu cette option dernièrement avec Ubuntu 11.04.

J'ai un système de backup sur un NAS donc je pourrais récupérer les 
données du NAS via un rsync sur mon home encrypté et ca devrait 
fonctionner ?

Gros merci !

PS : Il y a aussi la solution de prendre un disque "encryptable" lors de 
l'achat du ThinkPad (si c'est lui que je prend), mais est ce que ca 
n'est pas trop abusé ? Je sais que Marc Deslauriers nous le conseil, 
mais si la version de base du home est bien suffisante. Cela dépend 
toujours des données que l'on souhaite protéger, si c'est pour le 
travail j'imagine que c'est peut être nécessaire, si c'est juste des 
courriels persos, bof

On 2011-05-15 00:06, Fabián Rodríguez wrote:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> On 05/14/2011 06:20 PM, Yannick Pavard wrote:
>> Bonjour,
>>
>> Est ce que quelqu'un connait quelque chose concernant l'encryption des
>> données sous Ubuntu ? Est ce facile à mettre en place, fiable, quels
>> sont les contraires, etc...
>>
>> Merci d'avance
>>
> Il y en a long à dire...
>
> Personellement je classe me besoins en 3 catégories:
> 1- Chiffrement de fichiers (avec OpenPGP)
> 2- Chiffrement de répertoire personnel (Encrypted Home Directory)
> 3- Chiffrement complet (Full Disk Encryption)
>
> 1&  2 sont disponibles avec toutes les versions d'installateur. 3 est
> seulement disponible avec l'installateur Alternate (ou les versions
> DVD). Cependant il y a une discussion[1] et un bug[2] pour rendre 3
> disponible sur les LiveCD :)
>
> Personellement j'utilise 3 pour mes besoins personnels (ordi familial et
> perso), et 2 sur chaque poste où j'ai un compte à protéger des autres
> usagers (ex: compte "support" pour un poste publique). Parfois je
> combine. Attention si tu chiffres le disque complet de l'ordi familial -
> quitte pas vers une île sans accès Internet sans partager le mot de
> passe avec ta conjointe :D (j'avais prévu le coup).
>
> J'utilise rarement 1 à moins d'avoir affaire à des fichiers de mots de
> passe ou des fichiers en transit (courriel/stockage externe/cloud). "Ça
> dépends!". Il y a qqs. années j'avais écrit un guide sur le chiffrement
> avec Thunderbird[3]. Maintenant il y en a plusieurs autres en ligne!
>
> Côté fiabilité dis-toi qu'il y a toujours plus de risque plus tu ajoutes
> des couches de complexité à ton schéma de sécurité. En cas de panne
> matérielle par exemple, des outils de récupération de données ne seront
> pas très pratiques... un bon backup (chiffré aussi pourquoi pas) n'est
> pas en option.
>
> J'utilise 3 aussi pour tout mon stockage externe, c'est assez simple
> (proposé dans System>  Admin.>  Disk utility ou par ligne de
> commande[4]). Quand on réinsère un dispositif USB ainsi chiffré, Ubuntu
> présente une jolie question pour le mot de passe, c'est très réussi. Ça
> fonctionne par défaut et automatiquement avec un LiveCD donc je ne me
> soucie même plus de compatibilité avec Windows mais si tu es curieux va
> voir le projet FreeOTFE[5].
>
> Pour 3 c'est assez facile à mettre en place mais on doit le faire à
> l'installation - convertir un disque non-chiffré en chiffré se fait bien
> par ligne de commande mais faut faire ça sans stress ni enfants autour
> :) Concernant la fiabilité de cette méthode rien ne vaut un bon backup
> (au risque de me répéter)... le seul problème que j'ai eu par le passé
> était d'upgrader Ubuntu et me retrouver sans partition root du à des
> bugs dans cryptsetup (!)[6]. Ça fait ch... mais depuis 3 versions je
> n'ai pas ce problème.
>
> Pour 2 tu peux le faire à la création d'un usager par interface
> graphique ou tu peux convertir un répertoire home existant d'un usager
> en répertoire chiffré - c'est bien expliqué dans la doc officielle[7].
>
> Je te suggère d'essayer, tester et retester et surtout des backups avant
> de chiffrer des trucs importants à triple tour. Surtout ne chiffre
> jamais qq chose avec un mot de passe compliqué que tu n'as noté nulle
> part et dont tu ne te sers jamais - il y a une option "always remember
> this passphrase" pour le chiffrement complet de disques que je n'utilise
> jamais, ça m'oblige à me rappeler de ces mots de passe. Je compte pas le
> nombre de fois que j'ai vu des utilisateurs chiffrer des trucs (ou créer
> des clés OpenPGP, SSH, etc.) avec des mots de passe
> ultra-sécuritaires... qu'ils oubliaent immédiatement!
>
> Je suis curieux d'entendre la réponse de Marc Deslauriers, car la
> sécurité et plus son domaine que le mien si je ne me trompe pas.
>
> Si ça intéresse qq'un parmi mes ateliers conférences j'en donne un pour
> démystifier les aspects de la sécurité personnelle à l'aide de logiciels
> libres[7].
>
> Pour terminer, si qq'un se demande pourquoi devrait-on chiffrer nos
> données... je dirais simplement "parce qu'on peut" :)
>
> Bonne lecture!
>
> A+
>
> Fabian
>
>
> [1] http://ubuntuforums.org/showthread.php?t=1752568
> [2] https://bugs.launchpad.net/ubuntu/+source/ubiquity/+bug/245399
> [3]
> http://www.fabianrodriguez.com/blog/2005/01/30/guide-pour-chiffrer-son-courriel-avec-enigmail-et-thunderbird
> [4]
> http://www.fabianrodriguez.com/blog/2009/01/21/easy-removable-storage-encryption-that-works-with-hardy-and-intrepid
> [5] http://www.freeotfe.org/
> [6]
> https://bugs.launchpad.net/ubuntu/+source/cryptsetup/+bug/428435/comments/59
> [7] https://help.ubuntu.com/community/EncryptedHome
> [8]
> http://www.fabianrodriguez.com/blog/2004/11/28/computer-security-lecture-at-atwater-library
>
> - --
> Fabián Rodríguez
> http://wiki.ubuntu.com/MagicFab
> ~
> Local Community ("LoCo") team contact pour Ubuntu Québec
> http://wiki.ubuntu.com/QuebecTeam
>
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.4.11 (GNU/Linux)
> Comment: PGP/Mime available upon request
> Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
>
> iEYEARECAAYFAk3PUSkACgkQfUcTXFrypNWZGQCg5hUG6yCOudGoFDwZw2Lg16Ud
> X5EAoOsOfJRErhGB2Vum3l9DE7HUW+fg
> =WtNP
> -----END PGP SIGNATURE-----
>

-- 
Yannick Pavard / Collectif "La voix du libre"
Émission de radio sur les logiciels libres
http://www.lavoixdulibre.info/

Plus d'informations sur la liste de diffusion Ubuntu-quebec