Disque "entièrement" chiffré ^^

9 replies [Last post]
compa
Offline
Joined: 03/26/2015

Salut

A l'installation de Trisquel on a une option de "chiffrement du disque entier" et je trouve que cette expression est trompeuse parce qu'elle donne l'impression que toutes les données sont chiffrées alors qu'en fait ça concerne uniquement le dossier /home du système. D'autant qu'en continuant l'installation on nous propose encore de chiffrer ce dossier. Pourquoi on aurait besoin de le chiffrer si on vient de le faire ? et pourtant ...

Si vous avez installé le système sur le disque en utilisant tout le disque comme moi, vous obtenez 3 partitions comme ça (avec sudo fdisk -l) :

Périphérique Amorçage Début Fin Blocs Id. Système
/dev/sda1 * 2048 39063551 19530752 83 Linux
/dev/sda2 39065598 625141759 293038081 5 Étendue
/dev/sda5 39065600 625141759 293038080 83 Linux

Là je pensais que sda1 était juste la partition de boot (amorçage) et que la partition sda5, dans la partition étendue sda2, contenait tout le système mais c'est pas le cas.

En tapant sudo lvdisplay, vous avez la liste des volume logiques qui sont créés dans sda5. Vous voyez ça :

--- Logical volume ---
LV Path /dev/trisquel-vg/swap_1
LV Name swap_1
VG Name trisquel-vg
etc...

--- Logical volume ---
LV Path /dev/trisquel-vg/home
LV Name home
VG Name trisquel-vg
etc...

Là on a un volume créé pour la swap (utile quand la mémoire vive est pleine) et un autre pour le dossier home uniquement, pas de "root" à l'horizon. Parce que la racine du système (/) se trouve dans la première partiton sda1 qui elle n'est pas chiffrée. Du coup on peut lire en clair les logs de connexion, les logiciels installés, pas mal d'info dans ce genre.

Enfin, je trouve ça bizarre de la part d'Ubuntu d'utiliser l'expression "Full disk encryption" alors qu'on ne fait que chiffrer le home en utilisant l'espace restant ...

compa
Offline
Joined: 03/26/2015

Ah oui pour celles/ceux que ça intéresse, j'ai trouvé cette discussion sur le forum anglais :

https://trisquel.info/en/forum/full-disk-encryption-possible

Magic Banana

I am a member!

Offline
Joined: 07/24/2010

Pour vraiment tout chiffrer (sauf /boot je suppose), il y a cette documentation : https://trisquel.info/en/wiki/full-disk-encryption-install

Il te faudra alors entrer la phrase de passe lors du démarrage du système d'exploitation.

nmrk.n
Offline
Joined: 11/01/2013

Comme pour toute option d'installation automatique on ne sait pas trop ce que cela fait.

Le seul moyen de maîtriser son informatique c'est de la faire soi-même, qui plus est en partant de tout sous forme de code source.

Bien entendu, au préalable, il faut avoir le loisir de lire le code source et avoir la capacité de le comprendre.

C'est dire l'illusion dans laquelle on peut parfois être.

Car en admettant que ta partition racine ait été cryptée qu'est-ce qui peut te faire croire qu'elle est vraiment inaccessible pour tout le monde si tu n'as pas décortiqué le code source de tout ce que tu utilises et compilé toi-même ?

En bref, soit on fait partie de ceux "qui n'ont rien à cacher", soit ce sont de tout autres moyens qu'il faut déployer, et encore à moins d'être Dieu de quoi peut-on être sûr ?...

Tu t'étonnes que ta racine n'aie pas été cryptée, tu pourrais aussi t'étonner du fait que lvm a été utilisé, non ?

Et /home, tu l'as demandée, tu la voulais séparée ?

Et la swap, tu l'as demandée, tu en voulais une ?

Là je pensais que sda1 était juste la partition de boot (amorçage)

19 Gio ? !

http://hoper.dnsalias.net/tdc/index.php?pages/Documentation-LVM

http://linux.developpez.com/lvm/

http://www.devloprog.org/admin/2011/09/27/linux-unix-opeation-sur-les-vg-et-lv/

https://fr.wikipedia.org/wiki/Gestion_par_volumes_logiques

http://korben.info/comment-chiffrer-une-partition-systeme-linux-ici-ubuntu.html#comment-164907

merci

compa
Offline
Joined: 03/26/2015

Ouai enfin l'intérêt d'Ubuntu et Trisquel c'est de s'adresser à un public plus large justement, donc ils devraient faire un peu gaffe à la façon de présenter les choses, essayer de rendre les choses plus compréhensibles. Au moins mettre un peu de texte au début pour expliquer les différents modes d'installation.

En bref, soit on fait partie de ceux "qui n'ont rien à cacher", soit ce sont de tout autres moyens qu'il faut déployer, et encore à moins d'être Dieu de quoi peut-on être sûr ?...

Quand même pas là, heureusement y'a des moyens pour chiffrer ses données qui fonctionnent et que tt le monde peut utiliser !

A part ça merci pour la doc sur LVM, justement je m'intéresse au sujet en ce moment.

D'ailleurs dans ton 1er lien il y a écrit :

"Il n’y a pas de limitations « étranges » comme avec les partitions (primaire, étendue, etc.)."

C'est dommage qu'Ubuntu mélange les deux alors, ça serait pas plus simple d'utiliser seulement LVM ? Je pense qu'ils doivent trainer leur vieux sytème de partitionnement d'une version à l'autre. Enfin ils pourraient proposer une installation juste avec LVM ...

---
SVP Comment on fait les quote ?
OK merci :)

Magic Banana

I am a member!

Offline
Joined: 07/24/2010

Car en admettant que ta partition racine ait été cryptée qu'est-ce qui peut te faire croire qu'elle est vraiment inaccessible pour tout le monde si tu n'as pas décortiqué le code source de tout ce que tu utilises et compilé toi-même ?

Une confiance envers le projet Trisquel (qui part des sources), envers les développeurs du logiciel (qui nous laissent étudier son code source) et envers ceux qui étudient ce code source.

La situation est bien meilleure qu'avec le logiciel privateur où l'utilisateur reçoit un binaire dont seul les développeurs ont la recette de fabrication. On peut donc facilement y cacher du code malveillant (spyware, backdoor, etc.). La tentation (potentiellement forcée par des services secrets) d'abuser l'utilisateur est alors grande. Dans le monde des applications pour smartphone, ça en devient même un "business model" !

Et les choses s'améliorent encore dans le monde de GNU/Linux. Debian conduit notamment une initiative pour un système reproductible, où l'utilisateur peut vérifier sans peine que les binaires qu'il a reçus correspondent aux sources : https://wiki.debian.org/ReproducibleBuilds/About

Bref, je ne suis pas d'accord avec toi lorsque tu écris, en substance, que "sans connaissance en programmation, on ne peut pas contrôler son informatique, fut-elle une informatique 100% libre" : grâce à la combinaison de la liberté d'étudier le code source (pour savoir ce qu'il fait vraiment) et la liberté de redistribuer des versions modifiées de ce code source, le travail des utilisateurs programmeurs (seuls capables d'exercer ces libertés) profitent à tous les utilisateurs (qui exercent donc ces même liberté indirectement, au travers de la communauté).

nmrk.n
Offline
Joined: 11/01/2013

Et les choses s'améliorent encore dans le monde de GNU/Linux. Debian conduit notamment une initiative pour un système reproductible, où l'utilisateur peut vérifier sans peine que les binaires qu'il a reçus correspondent aux sources : https://wiki.debian.org/ReproducibleBuilds/About

En fait je suis d'accord avec toi et encore plus avec le projet ci-dessus mais je me suis volontairement fait l'avocat du diable en me positionnant comme super parano.

Pour ce qui est des ordiphones il est scandaleux que l'on ne puisse pas par défaut être maître de sa machine par des moyens normaux c'est à dire avoir la possibilité d'être administrateur ni pouvoir désinstaller certains logiciels qui sont par défaut imposés et non désinstallables par les moyens habituels.

merci.

nmrk.n
Offline
Joined: 11/01/2013

SVP Comment on fait les quote ?

Sur ce forum quote = < code >Citation< /code > sans les espaces.

merci

Mangy Dog

I am a member!

I am a translator!

Offline
Joined: 03/15/2015

Ainsi que strong (sans les espaces)
< strong > < /strong >
strong

< code >< strong >code strong strong code < /strong >< /code >
code strong strong code

;-)

Magic Banana

I am a member!

Offline
Joined: 07/24/2010

J'utilise < cite >citation< /cite > (sans les espaces) :

citation