J'aime beaucoup le cryptage du disque pour sécuriser mes fonds, mais mon problème est que je n'éteins pratiquement jamais mon ordinateur. J'ai une vie très active et l'éteindre totalement tous les soirs n'est pas du tout pratique, donc tout au plus je le suspends/verrouille. J'ai l'impression que cet écran de verrouillage ne fait pas grand-chose contre un attaquant qui pourrait avoir l'ordinateur entre les mains. Ai-je raison ? Le cryptage du disque est-il inutile si je n'éteins jamais mon ordinateur ? Existe-t-il un logiciel permettant d'activer le cryptage de l'écran de verrouillage ?
Réponses
Trop de publicités?J'ai pensé la même chose et c'est ainsi que j'ai trouvé votre question.
Mais j'ai ensuite réalisé que les programmes ne peuvent pas vraiment continuer à fonctionner si toutes les données (y compris leur propre code) sont soudainement cryptées. Et les données peuvent se trouver dans la RAM de toute façon si les programmes sont en cours d'exécution.
Le seul moyen de crypter les choses est donc que tous les programmes cessent de fonctionner, ce qui ne se produit pas en cas de verrouillage.
Cryptage intégral du disque est une excellente mesure de sécurité, mais elle est considérée comme un moyen d'empêcher l'accès physique aux données de la machine. Avant le cryptage des disques, il suffisait d'accéder physiquement à un disque dur pour accéder aux données. Lorsque vous êtes en mesure de retirer le disque dur, vous pouvez utiliser n'importe quel autre système pour consulter les données, de sorte que vous ne pouvez pas considérer qu'il est sécurisé simplement parce que quelqu'un ne connaît pas votre mot de passe racine.
Il est tout à fait possible d'avoir un système crypté qui a prise en charge de la suspension sur disque . Cette méthode, combinée à la sécurisation de votre mémoire vive et de tout échange, est une méthode imparfaite pour assurer votre sécurité dans votre situation.
Une fois que vous avez contribué à la protection contre les menaces physiques, vous devez examiner la vulnérabilité du système lui-même. En connectant votre machine à l'internet, vous l'exposez à des problèmes potentiels. Si vous êtes suffisamment sérieux, vous devriez envisager d'utiliser un système crypté de "stockage à froid", où vous limitez la connectivité, ou n'interagissez que par le biais d'une clé USB ou d'un port série.
D'autres options consistent à ajouter des couches supplémentaires de cryptage à vos données et à ne les déverrouiller que lorsqu'elles sont utilisées. Il s'agit de tirer parti de la possibilité de conserver les données cryptées le plus longtemps possible et de ne les décrypter qu'en cas de besoin. no pour suggérer un usage excessif de cryptage multiple/cascade . Cela signifie que tout adversaire ayant accès au système devrait prendre le temps de décrypter les données. À moins, bien sûr, que vous ne laissiez les données déverrouillées ou que vous ne laissiez la clé à un endroit accessible. En outre, il existe de nombreuses façons de cacher des données dans des données et utiliser tampons à usage unique pour mieux sécuriser les informations.
Même en cryptant les données et en ne laissant pas les clés disponibles pour les ensembles de données individuels, quelqu'un disposant de suffisamment de temps et d'accès pourrait éventuellement déverrouiller les données. Dans le cas de données telles que les mots de passe, il est possible d'atténuer ce problème en changeant fréquemment les mots de passe et en recryptant l'ensemble de données avec une nouvelle clé à ce moment-là. Pour les données qui doivent être gardées secrètes pendant une période plus longue, et si vous disposez d'un lieu physiquement sûr, une solution simple peut consister à stocker les données cryptées sur une clé USB que vous ne connectez à la machine qu'en cas de besoin, puis à placer la clé dans un coffre-fort.
Autorités de certification qui fournissent des services adéquats stockage des clés fournissent de bons exemples de la manière de sécuriser les données dans des situations qui requièrent un mélange de sécurité et de praticité d'utilisation.
Je répondrai d'abord à la question, puis je proposerai une option de cryptage pour l'écran de verrouillage.
Vous avez raison de dire que vos données ne sont pas cryptées lorsque l'écran de verrouillage est visible. Si vous utilisez le chiffrement intégral du disque (FDE), vos données sont déchiffrées au démarrage avant l'affichage de l'écran de connexion et le restent jusqu'à ce que le système soit mis hors tension. Si, comme le PO, vous avez utilisé le cryptage du répertoire personnel, vos données sont décryptées lorsque vous vous connectez à votre compte et restent cryptées jusqu'à ce que vous vous déconnectiez de votre compte, ce qui peut se produire lors de la déconnexion ou de l'arrêt du système. Le fait que vos données soient décryptées lorsque vous êtes connecté ne rend pas le cryptage inutile. Si quelqu'un accède physiquement à votre ordinateur, le seul moyen de contourner votre écran de connexion est d'entrer votre mot de passe actuel ou de redémarrer le système et de modifier certains fichiers. En cas de redémarrage, votre système (FDE) ou vos fichiers utilisateur (chiffrement du répertoire personnel) seront chiffrés, ce qui vous protégera contre toute divulgation. À ma connaissance, il n'existe pas de porte dérobée qui permettrait à une personne assise devant votre clavier de contourner l'écran de verrouillage, à moins qu'elle ne dispose déjà d'une forme de contrôle à distance.
Si votre système a été compromis et qu'une porte dérobée a été créée pour permettre à un pirate d'accéder à distance, votre système sera vulnérable à chaque fois que votre système ou vos fichiers seront décryptés. Aucun chiffrement ne vous sera utile dans ce cas. Les seules solutions pour protéger vos fichiers sont 1) de les mettre hors ligne, ainsi que le système, et 2) de supprimer le logiciel malveillant.
Option de cryptage de l'écran de verrouillage :
Si vous souhaitez pouvoir crypter vos fichiers à chaque fois que vous verrouillez votre écran, vous avez encore la possibilité de le faire. Vous pouvez créer un conteneur de fichiers cryptés et y conserver vos fichiers sensibles. Ensuite, vous pouvez soit verrouiller manuellement le conteneur de fichiers avant de verrouiller votre écran, soit écrire un simple script qui verrouillerait le conteneur de fichiers et ensuite l'écran. De cette manière, vos fichiers peuvent être cryptés même lorsque votre système est en cours d'exécution. Il vous suffira de décrypter le conteneur de fichiers lorsque vous voudrez l'utiliser.
Tout cela peut être réalisé avec VeraCrypt ou si, comme moi, vous préférez utiliser LUKS...
#-------------------- Setup --------------------#
dd of=~/encrypted-fc count=0 seek=1 bs=1G # bs should reflect maximum desired
# container size. This command creates
# a sparse file that will grow
sudo cryptsetup luksFormat ~/encrypted-fc # set up file container encryption
sudo cryptsetup luksOpen ~/encrypted-fc enc-fc # decrypt the file container
sudo mkfs.ext4 /dev/mapper/enc-fc # create a file system in the container
sudo cryptsetup luksClose enc-fc # lock (encrypt) the file container
#--------------------- Usage ---------------------#
sudo cryptsetup luksOpen ~/encrypted-fc enc-fc # decrypt the file container
sudo mount /dev/mapper/enc-fc /your/mount/point # mount decrypted container
sudo umount /dev/mapper/enc-fc # umount decrypted container
sudo cryptsetup luksClose enc-fc # lock (encrypt) the file container
Je suis presque sûr qu'il est inutile d'avoir un cryptage de disque si l'on n'éteint jamais l'ordinateur. Mais je peux me tromper.
Mais si vous ne l'éteignez jamais, il ne démarrera jamais sur l'écran qui décrypte votre disque dur. Il est donc pratiquement toujours non crypté.
Avez-vous une partition /home qui est cryptée ? Si c'est le cas, si quelqu'un devait la voler, il n'aurait pas accès à tous les fichiers de votre compte d'utilisateur, et donc, si elle nécessite votre mot de passe d'utilisateur, elle serait sûre.
En résumé, si seul votre disque dur est crypté, c'est inutile. Si vous avez une partition /home séparée, vous devriez être tranquille si elle est cryptée car ils ne peuvent pas accéder à ces fichiers.