[Chiffrement] Chiffrer le disque dur d'un ordi portable

[Garett]

Bonjour à tous,

Je souhaiterai chiffrer le disque de mon ordinateur portable et même si cette option apparait de plus en plus lors de la procédure d'installation d'autre distrib, cela ne semble pas être le cas pour ArchLinux.
J'ai fait quelques recherches sur le forum mais les sujets semblent remonter à quelques années et je recherche des informations plus récentes.

1. Quel "type" de chiffrement est possible/disponible :

• chiffrer que le /home ?
• chiffrer l'ensemble du disque dur ?

2. Quel est le moment propice pour effectuer cette tache ?

• au cours de l'installation ?
• après l'installation ?
• autre ?

3. Quel est la solution la plus répandu pour cette opération ?

Je cherche avant tout à faire quelque chose de propre, donc si vous avez des conseils supplémentaires pour moi, je suis preneur.

Merci à tous et bonne continuation.

[jc51]

bonjour

tu as regardé ça http://wiki.archlinux.fr/Encryption_avec_eCryptf

[Garett]

Merci pour ta réponse.

La page ne semble pas exister mais j'en ai entendu parler, au même titre que LUKS.
Ce qui me ramène au point 3 : y a-t-il une méthode à privilégier ?

[floflo77890]

Sinon tu as truecrypte qui est un très bon logiciel et assez facile d'utilisation.

[Tucnacek]

Cette page pourrait être utile.
Quant à Truecrypt, je crois qu'il gère la création de volumes qui seront ensuite chiffrés mais pas le chiffrement des disques en eux-mêmes.

[floflo77890]

Il me semble qu'ont peut chiffrer la totalité d'un disque avec TrueCrypt.

[Tucnacek]

Je viens de vérifier et... Tu as raison floflo77890.
En passant...

[Garett]

Merci pour vos messages.

Après avoir vu le lien proposé par Tucnacek, il semblerait que dm-crypt offre le plus de fonctionnalité.
Reste juste à savoir ce qui est le mieux : chiffrer juste le /home ou tout le disque ?

et je n'ai pas eu de réponse pour ma seconde question :
Il y a un moment spécifique pour réaliser cette opération ?

[floflo77890]

Non il n'y a pas de moment spécifique pour effectuer cette opération elle peut être fait à tous moments.

[nico88]

Bonjour,

La solution la plus simple de crypter le systéme d'exploitation est d'utiliser cryptsetup et donc dm-crypt qui permet de chiffrer intégralement (a part "boot") de maniére transparente.

Reste juste à savoir ce qui est le mieux : chiffrer juste le /home ou tout le disque ?

Je te conseillerai de chiffrer intégralement ton disque dur pour plus de sécurité, aprés il n'y pas de probléme a avoir le /home de crypté tu peux les monter automatiquement avec le cryptab et utiliser un fichier clé.

et je n'ai pas eu de réponse pour ma seconde question :
Il y a un moment spécifique pour réaliser cette opération ?

Le plus simple est de crypté son systéme avant de lancer l'installation des paquet en utilsant le live cd d'installation.

Code : Tout sélectionner

cryptsetup luksFormat -c aes-xts-plain64 -s 512 -h 512 /dev/sdax
cryptsetup luksOpen /dev/sdax root
mke2fs -L root -t ext4 /dev/mapper/root
mount /dev/mapper/root /mnt

Pour génerer un fichier clé fait un dd if=/dev/random of=ou tu veux mettre la clé + nom bs=64 count=1 et rajoute --key-file=enplacement de la clé + nom avant le luksFormat

remplace bien sur le x de /dev/sdax par le n° de la partion que tu veux crypté , répeté les opération autant de fois que tu a de partion a crypté en remplacent le root de la deuxiéme ligne par le nom de la partiton et le /mnt de la troisiéme ligne par le point de montage ( exemple: /mnt/home), ensuite tu n'a plus qu'a continuer l'installation comme indiqué dans le wiki ( attention il y'a des changement a faire dans la config de grub pour que cela fonctionne (cf module dm-crypt, et ligne du noyau dans grub.cfg + fstab.)

En éspérant t'avoir aidé a y voir plus clair

[floflo77890]

Ou sinon tu peut protéger ton disque dur integralement grâce au bios. En gros tu rentre dans le bios tu protèges ton disque dur avec un mot de passe et à chaques démarrages de pc juste après la page de démarrage il te demande le mot de passe.

[benjarobin]

Tu ne protège rien du tout de cette manière ou alors je n'ai pas compris. La sécurité est la même qu'un mot de passe de session, enfin guère plus élevé, un coup de tournevis et le problème n'est plus...
Cela n’empêche personne, une fois qu'il a accès physiquement au PC de récupérer le disque dur.

[floflo77890]

Je n'avais pas penssé à cette éventualitée.

[Garett]

Merci à tous pour vos réponses et à nico88 pour toutes ces précisions.
Je pense avoir de quoi me lancer dans cette operation.

Je vais essayer de faire ça prochainement et je viendrais faire un retour ici.